Согласие на обработку биометрических данных образец

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Согласие на обработку биометрических данных образец». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Озаботиться вопросом легализации процессов, связанных с использованием ПДн, на практике приходится всем ИП и предприятиям. Но не все понимают, что нужно подготовить целый пакет документов и осуществить ряд организационных действий, чтобы защитить личную информацию работников и клиентов. Сократить время и избежать ошибок удастся, доверившись специалистам нашего центра, которые досконально разбираются в законодательстве и могут оказать профессиональную помощь на любом этапе формирования и оптимизации СЗПДн.

Основные действия, которые необходимо выполнить для того, чтобы деятельность была организована в соответствии со статьями ФЗ-152 и подзаконными актами:

  • составление текста политики обработки и защиты информации, а также согласия на обработку персональных биометрических данных;
  • разработка внутренних распоряжений относительно заполнения и хранения документов (приказ об утверждении), назначения ответственных за защиту ПДн лиц;
  • публикация на официальном сайте и/или в мобильном приложении, распечатка для предоставления по запросу проверяющих служб;
  • включение в каждую онлайн-форму, где нужно вводить сведения о себе, ссылки на пользовательское соглашение и графу с подтверждением согласия на использование ПДн.

Отдельно следует продумать систему защиты, чтобы избежать несанкционированного доступа.

Согласие на обработку биометрических персональных данных

Бланк согласия на обработку персональных данных не имеет законодательно утвержденной формы. При его оформлении нужно только соблюсти обязательность включения в него сведений, предусмотренных п. 4 ст. 9 закона № 152-ФЗ. Каждый получатель персональной информации может разработать форму согласия самостоятельно, отразив в ней необходимый ему перечень сведений и особенности их обработки.

Согласно действующему законодательству обработка большей части персональных данных о человеке должна осуществляться с его письменного согласия. Определенной формы у документа, содержащего такое согласие, не имеется, однако установлен перечень обязательной информации, которая должна быть включена в него. Итоговый перечень необходимых персональных данных разрабатывает получатель этих сведений.

Источники:

  • Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»
  • Трудовой кодекс РФ

Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.

Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.

Сейчас согласие необходимо писать почти повсеместно:

  • при подаче документов на ребенка в садик или школу;
  • при трудоустройстве;
  • при заключении договора с банком, страховой компанией и т.д.

Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.

Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • сведения из паспорта, трудовой книжки и прочих документов;
  • а также некоторые характеристики его личности.

При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.

В частности их условно можно поделить на три основных вида:

  1. общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
  2. биометрические (физиологические особенности индивида, его внешние параметры)
  3. специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.

По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.

Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.

Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.

В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).

Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Это требование тесно связано с требованием об информированности и, в частности, со способом информирования / запроса на дачу согласия. Согласие должно быть дано путем заявления или четкого утвердительного действия. Молчание или бездействие не может считаться согласием. В этом случае предполагается, что согласие не дано.

Формы согласия (путем заявления) включают в себя не только заявления в письменной форме. Это может быть все что угодно, в том числе запись устных переговоров. При записи разговора обязательно информирование о сборе данных и о том, что запрашивается согласие.

Встречаются ситуации, когда сервис или веб-сайт запрашивает согласие онлайн через заранее отмеченный чек-бокс, и что-то вроде кнопки «Далее». Вместо собственноручного проставления отметки о согласии используется отметка, проставленная сервисом (веб-сайтом) по умолчанию. Здесь согласие считается выраженным неопределенно, т.к. для отказа от согласия пользователю онлайн сервисов необходимо провести отмену заранее предустановленных одобрений.

Часто такими предустановленными чек-боксами «грешат» сервисы по бронированию билетов, отелей и прочие. Одновременно с бронированием билета они проставляют ваше согласие с покупкой страховок от отмены рейса, потери, страхование жизни и прочие услуги. Оставим за рамками данной статьи законность такого способа продажи дополнительных услуг. Важно то, что даже если клиент согласится (случайно) с покупкой такой страховки, вряд ли он мог дать свое информированное и недвусмысленное согласие на передачу своих данных третьим лицам (страховым компаниям и прочим).

Для ряда случаев Регламент GDPR требует, чтобы согласие было явно выраженным. Как правило, это ситуации сбора специальных категорий данных (например, о здоровье), передачи в третьи страны без адекватного уровня защиты персональных данных, или принятия автоматизированных решений в отношении владельца данных. Здесь рекомендуется (хотя не требуется в жесткой форме) оформлять согласие в виде документа (формы), подписанного владельцем данных. Согласие может выражаться и иными способами: направлением фото документа, электронного письма и т.д. Допускается фиксировать согласие путем записи устных переговоров, если во время разговора сообщается вся необходимая информация.

Пример из Руководства: Для специальных ситуаций рекомендуется применение двух- или многоуровневых подтверждений согласия. Например, в отдельном электронном письме указывается, для каких специальных целей запрашивается согласие, какие данные будут обрабатываться. Пользователя просят направить ответное письмо со словами «Я согласен». Это позволяет убедиться, что пользователь не случайно проставил отметку в чек-боксе или направил ответное письмо, не дочитав запрос до конца.

Помните, что отзыв согласия должен быть реализован таким же легким способом, каким давалось согласие. Хотя Регламент не требует, чтобы механизм отзыва согласия на 100 % совпадал с механизмом его подтверждения.

Пример из Руководства: При покупке билетов на музыкальный фестиваль согласие на обработку данных в целях маркетинга подтверждалось путем клика «Да» или «Нет». Но для отзыва согласия требуется позвонить в офис продавца билетов с 8 утра до 5 вечера. Это недопустимая ситуация в рамках GDPR, нарушающая условие о легкости отзыва согласия.

Не забывайте, что информация о праве человека отозвать свое согласие должна быть предоставлена ему до получения согласия, в самом запросе о согласии. Одновременно, необходимо сообщить, как реализовать это право. Это означает, что самый простой и эффективный способ сообщить об этом – просто предложить механизм отзыва в самом тексте запроса, в личном кабинете, в мобильном приложении или в ином сервисе. Механизм отзыва согласия должен быть интуитивно понятным человеку.
«Механизм отзыва согласия должен быть интуитивно понятным человеку» — тот случай, когда опытный UX-designer просто необходим.
Пример: Использование в электронных письмах ссылки «Отписаться от рассылки» («Unsubscribe») для отказа от получения уведомлений – простой и удобный способ. Он позволяет быстро найти любое письмо и отозвать согласие. Можно добавить отдельную кнопку или ссылку в личном кабинете пользователя. С понятным текстом, вроде «Отказаться от обработки персональных данных». Далее вы можете или просто удалить все данные пользователя, или же предложить ему опции, какие данные удалить, а какие оставить.

Очевидно, что какие-то оставшиеся данные в отсутствие удаленных данных могут стать бесполезными. Об этом нужно заранее предупредить пользователя, что будут удалены все связанные данные, а не только выбранные.

Пример: Можно отдельно удалить данные платежной карты клиента интернет-магазина без ущерба для контактных данных. Но если удалить все контактные данные, включая ФИО пользователя, то данные платежной карты без них не нужны. Так как не понятно, кому и куда доставлять товар.

Здесь все просто. Нужны постоянный мониторинг и актуализация. Согласие – не статичный документ, а часть динамической системы данных. Любое изменение, связанное с получением новых данных или использованием уже имеющихся, но для иных целей (например, планируется передача третьим лицам), требует обновления ранее полученного согласия. Если вам удалось выстроить логичную систему обработки персональных данных, включая понятные связи между категориями (видами) данных, целями и основаниями их обработки, конкретными действиями по обработке, сроками и иными элементами, вам не составит труда оперативно запросить новое согласие. В идеале данный процесс должен быть автоматизированным.

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

  • ФИО;
  • контактные данные;
  • перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Примеры:

  • работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
  • работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
  • продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
  • покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.

Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.

Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.

Примеры:

  • работодатель, обрабатывающий ПД своих работников;
  • продавец, обрабатывающий ПД клиентов-граждан;
  • госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
  • владельцы сайтов, собирающие ПД пользователей сайта.

Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.

Согласие на обработку ПД должно быть оформлено:

  • письменно, если того требует закон (см. выше);
  • в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).

Пункты, которые обязательно должно содержать письменное согласие:

  • Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
  • название организации или Ф.И.О. и адрес оператора;
  • цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
  • перечень ПД, которые будет обрабатывать оператор;
  • информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
  • перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
  • срок, на который выдано согласие;
  • способ отзыва согласия;
  • подпись.

Как ужесточились требования к работе с персональными данными в 2021 году

Причин может быть несколько:

  • оператор хочет получить возможность обрабатывать ПД в целях, не связанных с выполнением договора; самый распространенный случай – нужно согласие на рассылку рекламных материалов;
  • оператор не понимает или не знает о случаях, в которых не требуется получение согласия;
  • оператор хочет перестраховаться.

Вы сможете проще решить свой вопрос в офисе банка — например, оформить карту. Для подтверждения вашей личности хватит взгляда в камеру. Технология в ближайшее время заработает во всех офисах.

Распознавание лица используется также в торговых точках и при входе на сайты банка и партнёров по Сбер ID.

При звонке в контактный центр пригодится голосовая биометрия — оператор задаст меньше вопросов для подверждения личности.

В магазинах со специальными терминалами можно совершать покупки без карты — просто посмотрите в камеру.

Как это работает

  1. Подпишите согласие на обработку биометрических данных в приложении, банкомате или в офисе банка.
  2. Подключите услугу, «Оплата одним взглядом» в мобильном приложении.
  3. Покупайте товары не доставая карту, одним взглядом.
  1. 1Алгоритм «запоминает» лицо человека по особым чертам
  2. 2​Набор таких отличительных черт он хранит в виде шаблона, по которому узнаёт нашу внешность.
  3. 3​Алгоритм нельзя обмануть при помощи грима или фотографии, но он узнает вас даже с новой причёской, макияжем или бородой.

Персональные данные: ответы на популярные вопросы

Сейчас СберБанк пользуется технологиями распознавания голоса от «Центра речевых технологий», для лица — VisionLabs.

Мы выбираем лучшие методы точности распознавания и скорости работы. Банк вместе с производителями постоянно улучшает выбранные методы, чтобы обеспечить максимальную безопасность и лучший клиентский опыт.

Какие карты поддерживаются:

  • Основные дебетовые карты, в том числе моментальные
  • Рублёвые кредитные карты

Какие карты не поддерживаются:

  • Дополнительные дебетовые карты
  • Мультивалютные и валютные кредитные карты

Если вы уже сдали биометрию в Сбере, то достаточно подключить сервис в настройках карты. Есть и другой способ: зайдите в свой профиль приложения СберБанк Онлайн → «Сбер ID» → «Оплата одним взглядом» → следуйте подсказкам.

Если вы ещё не сдавали биометрию, это удобно сделать онлайн. В том же разделе «Сбер ID» найдите подраздел «Распознавание по лицу и голосу», следуйте подсказкам.

Обязанность Норма Закона № 99-З
1. Обеспечивать на всех этапах обработки персональных данных справедливое соотношение интересов всех заинтересованных лиц Пункт 2 ст.4
2. Обеспечивать соразмерность обработки персональных данных заявленным целям их обработки Пункт 2 ст.4
3. При изменении целей обработки персональных данных получать на это отдельное согласие Пункт 4 ст.4
4. Принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их (а также корректировать по запросам субъектов данных) Пункт 7 ст.4, п.1 ст.16
5. Хранить персональные данные не дольше, чем это требуют заявленные цели обработки Пункт 8 ст.4
6. Предоставлять субъекту данных информацию обо всех условиях обработки персональных данных.

Важно! Рекомендуется разработать стандартные формы для различных категорий персональных данных
Абзацы 2, 5 п.1 ст.16
7. Предоставлять пользователю отдельный документ (в письменном или электронном виде), в котором простым и ясным языком разъяснить субъекту данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия Часть 2 п.5 ст.5
8. Получать согласие на обработку персональных данных от субъектов данных.

Важно! Рекомендуется обеспечить фиксацию и хранение соответствующих данных, так как согласно п.7 ст.5 Закона № 99-З обязанность доказывания получения согласия субъекта персональных данных возлагается на оператора
Абзац 3 п.1 ст.16
9. Обеспечивать защиту персональных данных Абзац 4 п.1 ст.16
10. При обработке специальных персональных данных принимать комплекс мер, направленных на предупреждение рисков, которые могут возникнуть при этом для прав и свобод субъектов персональных данных Пункт 3 ст.8
11. Соблюдать процедуры и условия трансграничной передачи данных Статья 9
12. При получении заявления от субъекта персональных данных при наличии установленных оснований прекратить обработку данных, осуществить их удаление (или, в зависимости от технических возможностей, блокирование) и уведомить субъекта об этом Абзац 7 п.1 ст.16
13. По запросу субъекта персональных данных предоставлять ему в доступной форме информацию о том, какие его данные обрабатываются и как (категории, сроки, источники и т. п.), кому они передавались Абзац 5 п.1 ст.16
14. В установленном порядке уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных Абзац 8 п.1 ст.16
15. Выполнять указания уполномоченного органа по защите прав субъектов персональных данных по изменению, блокированию или удалению недостоверных или полученных незаконным путем персональных данных Абзац 9 п.1 ст.16

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Согласие на обработку персональных данных, разрешенных их субъектом для распространения, должно содержать следующую информацию:

РЕКВИЗИТ СОГЛАСИЯ

1 Фамилия, имя, отчество (при наличии) субъекта персональных данных
2 Контактная информация – номер телефона, адрес электронной почты или почтовый адрес субъекта
3 Сведения об операторе-организации:
  • наименование;
  • адрес в ЕГРЮЛ;
  • ИНН;
  • ОГРН (если известен субъекту персональных данных).

Сведения об операторе – физическом лице:

  • фамилия, имя, отчество (при наличии);
  • место жительства или место пребывания;

Сведения об операторе – ИП:

  • фамилия, имя, отчество (при наличии);
  • ИНН;
  • ОГРН (если известен субъекту персональных данных).
4 Сведения об информационных ресурсах оператора, посредством которых будет предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта

Это адрес, состоящий из:

  • наименования протокола (http или https), сервера (www), домена, имени каталога на сервере;
  • имя файла веб-страницы.
5 Цель (цели) обработки персональных данных
6 Категории и перечень персональных данных, на обработку которых дано согласие:
  • персональные данные (Ф.И.О. (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, о субъекте персональных данных);
  • специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
  • биометрические персональные данные.
7 Категории и перечень персональных данных, для обработки которых субъект устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта)
8 Условия, при которых полученные персональные данные оператор, осуществляющий их обработку, может передавать (заполняется по желанию субъекта):
  • только по своей внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников;
  • либо с использованием информационно-телекоммуникационных сетей (Интернет);
  • либо без передачи полученных персональных данных.
9 Срок действия согласия

В завершение отметим, что как такого бланка Согласия на обработку персональных данных, разрешенных их субъектом для распространения, Роскомнадзор не приводит. Поэтому каждая организация (ИП, физлицо) формируют его на своё усмотрение, но с обязательным приведением перечисленных 9 реквизитов.

Как поясняет Роскомнадзор, для того, чтобы личные данные человека считались биометрическими, должны соблюдаться следующие условия:

  1. В данных должны отображаться физиологические и биологические особенности субъекта.
  2. Используя эту информацию, можно с лёгкостью распознать личность человека.
  3. Для установления личности, обработкой данных должен заниматься оператор.

Эти три фактора должны осуществляться одновременно.

ВАЖНО! Биометрическими данными могут быть только такие данные, которые используются именно для идентификации личности.

Например, результаты анализов или рентгеновские снимки — не биометрические данные.
А вот когда они будут переданы следствию, тогда они будут таковыми являться.
В лице оператора выступают только государственные структуры.

К БПД относятся:

  • дактилоскопические данные (отпечатки пальцев);
  • радужка глаза;
  • ДНК-анализы;
  • фотография человека (в том числе, на электронном носителе), используемая для прохода на какую-либо территорию;
  • параметры роста и веса.

Биометрические данные условно подразделяются на две основные группы:

  1. Данные физиологического характера, которые касаются каких-то особенностей тела (отпечатки пальцев, скан руки, ДНК-анализ, рисунок радужки глаза, голос, запах человека, распознавание лица).
  2. Поведенческие факторы, характеризующие поведение человека в тех или иных ситуациях (условиях). Например: речь, походка, эмоциональная реакция и др.

Биометрические данные используются в следующих случаях:

  • для распознавания черт преступника и поиска его местонахождения;
  • для предотвращения террористических операций;
  • для розыска пропавших лиц;
  • для помощи следственным органам в раскрытии какого-либо дела;
  • для идентификации сотрудников организации и пропуска их на рабочее место.

В соответствии с законом, посвященном персональным данным, биометрические данные включают в себя физиологические и биологические особенности человека со следующими характеристиками:

  1. дактилоскопические данные
  2. радужную оболочку глаз
  3. анализы ДНК
  4. рост, вес
  5. образ лица
  6. особенности строения тела
  7. фотография
  8. видеозапись
  9. аудиозапись голоса
  10. другие данные

Как видно из приведенного списка, рассматриваемые персональные данные включают в себя информацию, которая для каждого человека является индивидуальной, и установить личность по соответствующим данным не составляет труда. Надо сказать, что в некоторых банках начали фиксировать биометрические данные клиентов, а именно, осуществляется фотографирование и запись голоса.

Закон не вменяет в обязанности человека сдавать биометрические данные, поскольку это право.

Следовательно, лицо может просто сказать, что не хочет предоставлять информацию о своих биометрических данных и отказывается от этого.

Если тот или иной сотрудник, например, банка, будет настаивать, то можно попросить его назвать конкретную норму права, которая говорит об обязанности лица предоставлять банку свою биометрию. Сотрудник назвать такую норму не сможет и, скорее всего, прекратит всякие действия по настаиванию на предоставлении биометрии.

На форумах в интернете еще встречаются такие рассказы, когда на просьбу сдать свою биометрию, люди отвечают, скорее всего, в шутку, что им вера не позволяет сдавать биометрию и все просьбы и уговоры якобы прекращаются.

Операторы, которые получили информацию о биометрии человека, обязаны обеспечить ее защиту и использовать только в установленных законом случаях. Поскольку информация о лице, как правило, хранится в базах данных, соответственно, оператор обязан обеспечить защиту таких баз данных.

Однако, какие бы меры по защите биометрических персональных данных, как и иных данных, не принимали, всегда найдутся люди, которые могут продать информацию о рассматриваемых персональных данных, могут взломать базу данных и т.п.

Каждый человек, может сам попытаться защитить свои персональные данные, в том числе, биометрические. Для защиты не следует лишний раз соглашаться предоставлять свои данные, не следует указывать их везде, где просят. С биометрическими персональными данными проще, т.е. не согласился их предоставлять и все. С обычными же персональными данными все не так просто. Например, часто при заполнении любых анкет, например, потенциальные работодатели просят указать в ней все, а именно, ФИО, дату и место рождения, место проживания и что самое интересное паспортные данные. Очень интересно, зачем в анкете указывать паспортные данные? Не стоит указывать информацию, которая не может понадобиться оператору.

А что делать в случае нарушения прав, разглашения данных? В этом случае, необходимо обратиться к руководителю организации, сотрудник которой разгласил данные, или откуда произошла «утечка информации», и попросить провести проверку с принятием мер к сотруднику, которого можно уволить и/или привлечь к ответственности. Однако, установить иногда лицо, которое разгласило данные, является затруднительно.

Если нарушаются права лица, чьи персональные данные используются, тогда можно обратиться в правоохранительные органы. Например, встречаются случаи, когда на лицо оформляется кредит, при этом человек не брал такой кредит, а оформило кредит какое-то неизвестное третье лицо. В таком случае подлежит возбуждению уголовное дело, а с банком, скорее всего, нужно будет судиться и признавать кредитный договор недействительным.

Идентификации личности. Биометрические персональные данные и что это такое?

г. Екатеринбург, пер. Отдельный, 5

остановка транспорта Гагарина

Трамвай: А, 8, 13, 15, 23

Автобус: 61, 25, 18, 14, 15

Троллейбус: 20, 6, 7, 19

Маршрутное такси: 70, 77, 04, 67


Под обработкой персональных данных подразумевается любое действие с данными, которые могут быть использованы для установления личности субъекта персональных данных.

Это означает, например, что фотографирование человека, то есть фиксирование его биометрических признаков внешности не является обработкой персональных данных субъекта, пока изображение не будет подвергнуто действиям по выявлению идентифицирующих биометрических признаков.

Можно ли обрабатывать биометрические персональные данные без разрешения субъекта данных?


На основании статьи 11 Федерального закона от 27.07.2006 года для обработки биометрических персональных данных нужно письменное согласие субъекта этих данных, кроме некоторых случаев, указанных в законодательстве.

Без разрешения субъекта данных можно обрабатывать его биометрию в целях:

— оперативно-розыскной деятельности;

— необходимости осуществления процессов государственной службы;

— реализации уголовно-исполнительной системы;

— противодействия терроризму или коррупции;

— обеспечения системы обороны или безопасности государства;

— обеспечения транспортной безопасности;

— и других, установленных законодательством случаях.

Нельзя проводить идентификацию личности человека по биометрическим данным без его письменного согласия в частных и коммерческих интересах организаций и физических лиц.

Претендент на визу дает разрешение на обработку личных данных. Федеральный закон «О персональных данных» гарантирует конфиденциальность сведений и наказание должностных лиц за их разглашение.

Приватная информация о человеке включает такие сведения:

  • фамилию, полностью имя и отчество;
  • указанный в паспорте адрес регистрации по месту жительства;
  • семейное положение;
  • полученное образование, профессию, организацию, предоставившую работу;
  • источник и размер доходов, включая заработную плату, пенсию, стипендию, депозиты, кредитные карточки;
  • принадлежность к национальности, этнической группе;
  • вероисповедание;
  • здоровье: заболевания, особенности физиологии;
  • имеющиеся долги банкам и частным лицам, по алиментам, задолженности.

Перечень личных данных закон указанными выше не ограничивает. Это основные сведения, но могут затребовать дополнительные. Поэтому важно предварительно ознакомиться с образцом бланка той страны, куда планируется поездка.

Основные моменты заполнения бланка разрешения для несовершеннолетних детей не отличаются от документа для взрослых.

Существуют только некоторые нюансы:

  1. Заполняются оба раздела формуляра. При этом важно не перепутать, куда какая информация вносится. Первый раздел касается заявителя — ребенка. Если ему не исполнилось 14 лет, нет паспорта, данные берутся из свидетельства о рождении.
  2. Вторая часть касается представителей (родителей или опекуна) — вносится информация о них. Если бланк заполняет один родитель, от второго требуется письменное согласие на проведение таких действий. Личные данные о нем также вносятся в раздел. Полномочия родителя подтверждаются свидетельством о браке, опекуна — соответствующим документом.
  3. Документ подписывает представитель, как лицо, которое заполняло бланк.
  4. В еще одной графе указывают основания, которые позволяют представителю заполнять и подписывать документ: свидетельство о рождении, опека, заверенная нотариусом доверенность.

Российское законодательство запрещает использовать сведения личного характера без разрешения граждан. Поэтому для оформления визы требуется предоставить такую информацию и дать согласие на ознакомление с ней сотрудников. Разрешение — дело добровольное, никто не может заставить дать о себе личные сведения. Закон предоставляет право отказаться от подачи информации приватного характера.

Без согласия визовые центры и туристические фирмы откажутся принимать документы для выезда за границу. Если это не первая поездка, виза уже оформлялась, разрешение может сохраниться. Так бывает в случаях, когда согласие бессрочное или оформлено на продолжительное время, срок действия еще не закончился. Но это не гарантия, что не придется давать согласие повторно.

Разрешение пользоваться личными данными при оформлении визы в большинстве случаев бессрочное. Закон предоставляет гражданам право в любой момент обратиться в организацию, где сохраняются сведения, с требованием аннулировать согласие.

Заполняется бланк на отзыв разрешения или пишется заявление в свободной форме. В нем содержатся обязательные сведения о заявителе, операторе, ссылки на ФЗ-152.

Причину отзыва указывать необязательно. Специалисты должны принять заявление. Писать его лучше в 2 экземплярах, оставив 1 у себя с пометкой о регистрации документа.

Туроператорам или визовым центрам отводится 30 дней, чтобы удовлетворить заявку. Они обязаны прекратить пользоваться приватной информацией, по возможности уничтожить ее.

До принятия 519-ФЗ все виды обработки ПД могли быть прописаны в одном согласии. С 1 марта 2021 года правила изменились: человек может дать согласие на обработку персональных данных, но в тоже время не разрешить их распространять. Попробую на примерах и в схемах объяснить нюансы.

Обработка — это любое действие с персональными данными, в том числе:

  • сбор, запись, систематизация;
  • накопление, хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование, удаление, уничтожение персональных данных.

Из этого следует, что распространение — это один из случаев передачи персональных данных. Он отличается от предоставления и доступа к персональным данным. Соответственно и согласия для этих случаев обработки разные.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Основным отличием распространения от предоставления является определение получателей данных.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц. По сути — это их публикация:

  • размещение профилей в соцсетях;
  • публикация данных о сотрудниках на корпоративных сайтах, форумы;
  • сайты с объявлениями, отзывами, вакансиями.
  • публикации в газетах, журналах;
  • печатные рекламные буклеты с контактами, ФИО и фото сотрудников;
  • публикация результатов спортивных мероприятий на интерактивных мониторах;
  • визитки, возможно.

Если вы планируете распространять персональных данные для неопределённой аудитории, то необходимо получать согласие на распространение персональных данных. В этом согласии субъект персональных данных должен прямо вам разрешить это делать.

Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ

Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания.

Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.



Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *