Согласие на обработку персональных данных: подписывать или нет?
В последнее время к нам всё чаще обращаются обеспокоенные родители, которым школа, детский сад или учреждение дополнительного образования предложили подписать согласие на обработку широчайшего набора персональных данных очень широкого спектра включающее согласие на передачу этих данных неограниченному кругу третьих лиц. Перечень может включать в себя, например, данные о зарплате родителей, рабочем и спальном месте ребёнка и т.д.. Родители опасаются, что эти данные потом могут быть использованы против семьи, например, органами ювенальной юстиции.
Опасения эти не лишены оснований, и вот почему. У нас в стране действует система ювенальной юстиции. Не сумев в 2013-м году ввести эту систему законодательно, чиновники ввели её на практике. Дело в том, что современная ювенальная юстиция — это не какой-то отдельный орган с соответствующей вывеской. Это, прежде всего, идеология, угнездившаяся в головах чиновников.
Центральное положение этой идеологии — презумпция виновности родителей. Ювенал совершенно уверен в том, что родители представляют потенциальную опасность для своих детей. И предотвратить эту опасность могут только они, чиновники. Самый лучший способ спасти ребёнка от родителей — изъять его и. передать опекунам. Чем опекуны, воспитывающие ребёнка за деньги лучше родителей, спрашивать бессмысленно. Они ведь «проверены» и «прошли специальную подготовку»!
То, что ювенальная юстиция существует — факт, установленный, в том числе РВС, к которой обращаются пострадавшие семьи. Мы собрали статистику по таким случаям в один доклад, который был передан президенту. Можете ознакомиться с ним и вы.
Как действует ювенальная юстиция? В семью приходят с проверкой обнаруживают какое-либо неблагополучие (реальное или мнимое, обнаружение производится зачастую «на глазок») и под предлогом этого неблагополучия изымают детей, заставляя родителей подписать документы, дающие на это право или служащие основанием для будущего изъятия. Это может быть согласие на помещение ребёнка в реабилитационный центр, протокол, фиксирующий факт неблагополучия и т.п. После этого вернуть себе ребёнка становится зачастую непростой задачей.
Однако есть один важный момент. Ювеналы, в лице инспектора ПДН или работника управления опеки и попечительства не могут прийти просто так. Они должны получить некий сигнал извне, свидетельствующий о возможном неблагополучии. Сейчас это может быть обращение соседей, родственников или работников образовательного учреждения. По понятным причинам все эти люди, как правило, не хотят доносить на семью и тем самым навлекать на неё беду. В отсутствии такого обращения сведения о том, как учится ребёнок, сколько получают его родители, в каких условиях живёт ребёнок и семья, могут стать основанием для визита проверяющих.
Например, сведения о том, что ребёнок получил двойку в четверти по какому-либо предмету в совокупности со сведениями о неполном составе семьи и невысоком доходе родителя могут дать повод ювеналам говорит об угрозе интересам ребёнка и начать «защищать» эти узко понимаемые интересы путём изъятия ребёнка из семьи и передачи в другую, более благополучную в финансовом отношении, семью. Которой к тому же будут платить за воспитание вашего ребёнка. И которые, не исключено, смогут «отблагодарить» ювенала за такой «подарок».
Именно поэтому приходится оберегать персональные данные о семье от попадания в руки «третьих лиц», которые вполне могут оказаться теми самыми ювеналами. Но как, защищаясь, не превратиться в современных луддитов? Ведь некоторые персональные данные действительно необходимы школам, учителям и другим участникам учебного процесса.
К счастью, действующий закон по защите персональных данных 152-ФЗ от 27 июля 2006 года) позволяет ограничивать не только перечень собираемых данных, но также список допускаемых к персональным данным (далее — ПД) лиц, а также цели, в которых эти данные могут использоваться. Кроме того, другие федеральные законы могут разрешать использование ПД без разрешения владельцев (или их представителей) определённым субъектам для определённых целей. Например, школы не обязаны спрашивать разрешение на использование минимального набора ПД, требуемых для организации учебного процесса.
Впрочем, этого набора школам, как правило, не хватает, например, для ведения электронного дневника и тогда, зачастую, родителям предлагается подписать согласие на использование самого широкого перечня персональных данных для любых целей, включая передачу третьим лицам. Не обязательно школа делает это из каких-то злонамеренных побуждений. Это может быть спущенная «сверху» бумага, либо школа таким образом страхуется от будущей работы: вдруг понадобятся ещё какие-нибудь данные для новых целей, так давайте получим разрешение на всё и сразу!
Нередко директора или учителя так прямо и говорят: «если не подпишете это согласие — не сможете принимать участие в конкурсах и олимпиадах». Это лукавство. Никто не мешает вписать в документ как «третьих лиц» организаторов конкурсов и олимпиад и, указав набор данных, которые обычно предоставляются на такие мероприятия, вписать соответствующую цель в список. В крайнем случае, ничто не мешает вам подписывать разрешения на использование ПД для конкретных олимпиад хоть каждый день. Конечно это дополнительная работа для школы, но ведь не вы диктуете правила игры. Эта ситуация вам так же неприятна, как и школе. Поэтому в такой ситуации лучше попытаться найти компромисс, не поступаясь безопасностью своей семьи. Один из вариантов был описан выше.
Самое главное правило, которого необходимо придерживаться: Вы должны хорошо понимать, для чего даются те или иные данные. Первый пункт девятой статьи закона о защите персональных данных (ОЗПД) гласит:
«Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным».
Поэтому: обязательно досконально выясните, зачем нужны те или иные данные, как они будут использоваться. Уточните, будут ли данные передаваться третьим лицам, кому именно и зачем. Добейтесь того, чтобы всё это было отражено в подписываемом согласии.
Этот процесс может идти неформально, например, путём переговоров с директором. В этом деле школа должна быть безусловно на стороне родителей. Но если по какой-то причине администрация учебного заведения упирается и отказывается сообщить запрашиваемую информацию, либо внести необходимые исправления в Согласие на обработку персональных данных, приходится действовать официально. О том, как это сделать, смотрите нашу памятку (скоро будет).
Великий мечтатель Томас Мор грезил о государстве, в котором законы будут немногочислены и настолько просты, что их может понять и использовать каждый. Мы практически дожили это этого времени. Сейчас каждый может прочитать любой действующий закон (если есть доступ в интернет, то сделать это можно очень быстро и практически бесплатно), а язык, которым изложены законы вполне понятен практически любому гражданину (в начале XVI века, когда была написана знаменитая «Утопия» это было не так). Осталось использовать полученные преимущества себе на благо.
Согласие собственников на обработку персональных данных
Считается, для того, чтобы работать с персональными данными собственников, необходимо с каждого из них собрать согласие на обработку персональных данных. Это и верно, и нет, — зависит от ситуации.
Сегодня мы расскажем, в каких случаях согласие на обработку персональных данных нужно получить и что делать, если собственник его не даёт.
Персональные данные собственников
1 июля 2017 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Теперь есть 7 составов правонарушений, за которые управляющие компании могут привлечь к административной ответственности за нарушение законодательства о персональных данных.
Ужесточилась административная ответственность за нарушение требований ст. 13.11 КоАП РФ – суммарный размер штрафа может составить 275 000 рублей. Многие управляющие компании не знают, как правильно работать с ПД.
Для них 4 октября мы провели вебинар «7 ошибок при работе с персональными данными, за которые УО получит штраф». Мы рассказали об обязанностях оператора ПД, дали рекомендации по выполнению требований статьи 13.11 КоАП РФ и отдельно внимание уделили вопросу получения согласия на обработку ПД.
Когда нужно получить согласие на обработку ПД
Если вы управляющая компания и у вас нет согласия на обработку ПД от собственников, но вы их обрабатываете внутри организации и не отдаёте их в сторонние организации, в таком случае согласие на обработку персональных данных не требуется.
Если вы будете передавать персональные данные собственников третьим лица, согласие на обработку нужно обязательно получить. При этом лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать отдельное согласие субъекта ПД на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.
- Если это разрешает Федеральный закон. Так, например, для размещения информации в ГИС ЖКХ согласия на обработку ПД не нужно.
- Если вы передаёте данные платёжному агенту и расчётным центрам (ч. 16 ст. 155 ЖК РФ).
Когда вы привлекаете представителя для расчётов с собственниками и нанимателями жилых помещений и взимания платы за жилое помещение и коммунальные услуги, согласие субъектов ПД на передачу персональных данных таким представителям не требуется.
Но в договоре между вами и представителем необходимо закрепить положение о конфиденциальности персональных данных (ч. 10 ст. 3, ч. 4 ст. 6, ч. 1 ст. 7 № 152-ФЗ).
Каким должно быть согласие на обработку ПД
- в договоре управления,
- в договоре ресурсоснабжения,
- в уставе товарищества собственников жилья.
Роскомнадзор советует оформлять его в письменной форме отдельным документом. Единственный минус такой позиции – управляющая компания может физически не собрать со всех субъектов персональных данных такое согласие.
Субъект ПД принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Полные требования к содержанию согласию описаны в ч. 4 ст. 9 № 152-ФЗ.
- конкретным,
- информированным,
- осознанным.
- ФИО, адрес субъекта персональных данных или его представителя, реквизиты документа, удостоверяющего его личность;
- наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
- цель обработки персональных данных;
- перечень ПД, на обработку которых дают согласие;
- наименование или ФИО и адрес лица, обрабатывающего ПД по поручению оператора;
- перечень действий с ПДн, на совершение которых даётся согласие;
- общее описание используемых оператором способов обработки ПД;
- срок действия согласия субъекта ПД;
- подпись субъекта ПД;
- условия прекращения работы с персональными данными.
Согласие на обработку ПД в договоре управления МКД
Согласие на обработку персональных данных можно включить в приложение к договору управления МКд. Договор управления МКД собственники заключают с управляющей компанией в письменной форме. Составляется один документ и подписывается сторонами (ст. 162 ЖК РФ).
Решение ОСС в МКД, принятое по вопросам, отнесённым к компетенции такого собрания, обязательно для всех собственников помещений в МКД, в том числе для тех собственников, которые не участвовали в голосовании (ч. 5 ст. 46 ЖК РФ).
Условия договора управления МКД одинаковы для всех собственников помещений в МКД (ч. 4 ст. 162 ЖК РФ). Согласно пп. «б» п. 4 постановления Правительства РФ от 15.05.2013 № 416, УО собирает, обновляет и хранит информацию о собственниках и нанимателях помещений в МКД.
Эта позиция не единственно правильная, судебной практики по этому вопросу нет.
Согласие обработку ПД в договоре о предоставлении КУ
Согласие на обработку персональных данных можно прописать в договоре о предоставлении коммунальных услуг.
- в письменной форме;
- путём совершения потребителем действий, свидетельствующих о его намерении потреблять КУ или о фактическом потреблении таких услуг (конклюдентные действия).
Договор считается заключённым с момента, когда потребитель начал пользоваться коммунальными услугами и оплачивать их. Это значит, что потребитель согласен со всеми условиями договора, в том числе на обработку персональных данных.
Если собственник не даёт согласия на обработку ПД
Заставить собственника дать согласие на обработку персональных данных нельзя. Но можно пытаться убедить. Здесь всё зависит от красноречия представителей управляющей компании.
Но перед этим советуем прочитать определение Конституционного Суда РФ от 28.01.2016 № 100-О. Конституционный Суд сделал ряд заключений, которые в будущем могут повлиять на работу управляющих компаний в целом.
Например, для исполнения договора управления управляющая организация обязана заручиться согласием собственников на обработку персональных данных. Согласие может быть включено в качестве условия в договор управления.
Но всё равно, бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных. Это значит, что если субъект заявляет, что не давал вам согласие, вы должны доказать, что в какой-то форме его получили, например, это условие было было включено в качестве условия в договор управления МКД.
Возможность предоставления оператором персональных данных третьему лицу согласия субъекта ПД, нельзя рассматривать как нарушение конституционного права на получение юридической помощи.
Надо подписать разрешение на использование персональных данных при получении компенсации за гараж?
Согласно ст.ст.6,9 Федерального закона «О персональных данных», обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года N 57-ФЗ «О государственной охране».
Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.
В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
Таким образом, так как для выплаты компенсации необходимы Вами персональные данные, Вам нужно подписать согласие.
С уважением, адвокат Анатолий Антонов, управляющий партнер адвокатского бюро «Антонов и партнеры».