Требуется ли согласие физического лица (в том числе ИП) на обработку персональных данных при заключении договора с организацией?

09.04.2015

Физические лица (в том числе ИП), заключая договор на поставку и оказание услуг с различными организациями, предоставляют свои персональные данные. Необходимо ли организации брать письменное согласие на обработку персональных данных с физических лиц?

Если у организации с физическим лицом, заключен договор, то обработка персональных данных может осуществляться без согласия на обработку персональных данных при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях исполнения заключенных с ними договоров поставки (оказания услуг).

Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу.

Оператором персональных данных , как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Согласно ст. 6 Закона № 152-ФЗ обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3. обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);
4. обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ “Об организации предоставления государственных и муниципальных услуг”, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
5. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8. обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9. обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10. осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных);
11. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Например, допускается обработка персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).

Итак, обработка персональных данных физических лиц (в том числе ИП) может осуществляться без согласия субъекта на обработку персональных данных в следующем случае:

• если у организации заключены договоры поставки ( оказания услуг) при условии, что персональные данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях заключения с ними соответствующих договоров.

Источник: http://xn--80akhviedcdkd0l.xn--p1ai/articles/trebuetsya-li-soglasie-fizicheskogo-litsa-v-tom-chisle-ip-na-obrabotku-personalnykh-dannykh-pri-zakl/

Обработка персональных данных в 2018: как избежать штрафа

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

Основание	Размер штрафа
Физлица	Должностные лица	Юрлица	ИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн	предупреждение или штраф — от 1000 до 3000 руб.	предупреждение или штраф — от 5000 до 10 000 руб.	предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта	от 3000 до 5000 руб.	от 10 000 до 20 000 руб.	от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн	от 700 до 1500 руб.	от 3000 до 6000 руб.	от 15 000 до 30 000 руб.	от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработке	предупреждение или штраф — от 1000 до 2000 руб.	предупреждение или штраф — от 4000 до 6000 руб.	предупреждение или штраф — от 20 000 до 40 000 руб.	предупреждение или штраф — от 10 000 до 15 000 руб.
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)	предупреждение или наложение штрафа в размере от 1000 до 2000 руб.	предупреждение или штраф — от 4000 до 10 000 руб.	предупреждение или штраф — от 25 000 до 45 000 руб.	предупреждение или штраф — от 10 000 до 20 000 руб.
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования	от 700 до 2000 руб.	от 4000 до 10 000 руб.	от 25 000 до 50 000 руб.	от 10 000 до 20 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн	предупреждение или наложение административного штрафа — от 3000 до 6000 руб.

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

• Являюсь ли я оператором персональных данных?
• Распространяется ли на меня закон о персональных данных?
• Как уведомить Роскомнадзор об обработке персональных данных?
• Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

• ФИО (вместе и даже по отдельности)
• дата рождения
• адрес
• телефон
• email
• фотография
• ссылка на персональный сайт
• ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

• ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
• цель обработки ПДн;
• перечень ПДн, на обработку которых субъект дает согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
• срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
• подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

• относятся к субъектам, которых связывают с оператором трудовые отношения;
• получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
• являются общедоступными ПДн;
• включают только ФИО субъектов ПДн;
• нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
• включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
• обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

• в случае обезличивания персональных данных;
• в отношении общедоступных персональных данных;
• если данные включают только фамилии, имена и отчества субъектов персональных данных;
• для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
• если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
• если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

Мне не страшен ваш NDA

Это громкая и страшная аббревиатура из трёх неприличных букв. Хотите поучаствовать в тендере, устраиваетесь на работу, нужно получить данные — вам подсовывают эту бумажку, мол, подпиши сначала, а то нашли дураков без NDA тебе что-нибудь рассказывать.

При этом в большинстве случаев вы ничего сверхсекретного или коммерчески важного не узнаете, но процедура подписания NDA стала неким таинством посвящения, которое стороны выполняют не особо задумываясь над смыслом.

Это так же как вы неизбежно получите требование вместе с учредительными документами предоставить выписку из ЕГРЮЛ не старше 30 дней.

Хотя всё доступно в онлайне, все распечатывают эту выписку из интернета, заверяют её и передают контрагенту, который даже не смотрит её, потому что всё есть в интернете. Ну, вы поняли, короче, отечественную любовь к таинствам.

Немного теории

Давайте сразу оговоримся, что мы говорим сейчас о коммерческих отношениях. Потому что гостайна, служебная тайна и персональные данные — совершенно другая тема. Так вот, NDA – это по-нашему «соглашение о неразглашении конфеиденциальной информации». Звучит уже не так грозно, но всё равно не совсем понятно. Давайте разбираться.

Чисто обывательски, какой смысл в этой бумажке? Чтобы вы не растрезвонили что-то важное, что может дать преимущество конкурентам или разорить компанию. А в какой это форме? Соглашение. Ну, то есть договор. За договоры у нас отвечает гражданский кодекс РФ (ГК РФ).

Если вы почитаете оглавление к ГК РФ не читайте, оно очень большое, то вы там такого договора не найдёте. Но ничего страшного в этом нет, так как в кодексе поименованы только самые распространённые (или важные) договоры, но никто не запрещает изобрести свой собственный договор или придумать новый другим законом.

В ГК РФ на этот случай созданы специальные общие правила, регулирующие отношения сторон.

Чтобы как-то устаканить буйную фантазию сочинителей всяких NDA, законодатель наваял целый закон «О коммерческой тайне». Можете почитать, он небольшой — на несколько страниц. После прочтения сего творения многих начинают посещать мрачные думы.

По российскому праву, чтобы NDA работал, нужно выполнить требования этого закона, т. е. установить режим конфиденциальной информации. А что для этого надо сделать? За этим мы идём в п. 1 ст. 10 Закона о коммерческой тайне:

1. определить перечень (!) информации, составляющей коммерческую тайну;
2. установить порядок обращения с такой информацией и порядок контроля за соблюдением такого порядка;
3. ограничить доступ к такой информации (в том числе физически);
4. вести учёт всех лиц, кто получил доступ к такой информации или кому она была передана;
5. внести в договоры с работниками пункты, которые обязывают соблюдать всё вышеизложенное и ознакомить их со всеми этими порядками и порядками порядков;
   ИсключениеИП без работников соответственно не должен этого делать, плюс на него не распространяются пп. 1 и 2, что логично иначе похоже на какую-то шизофрению.
6. наконец-то подписать NDA с контрагентом;
7. перед тем как передать информацию нанести на материальные носители или документы гриф «Коммерческая тайна» и указать обладателя информации;
   Пример из практикиКак пример отрывок из решения по делу N А40-83833/15-15-646: “Ни Договор, ни иные документы, относящиеся к рассматриваемому спору, не имеют грифа или маркировки «Коммерческая тайна» и не являются объектами коммерческой тайны.
   Таким образом, Исполнитель не нарушал условий Соглашения о конфиденциальности от 06 марта 2013 г., требования Заказчика о взыскании штрафной неустойки в указанной части являются незаконными и необоснованными“.
8. только потом передать эту информацию.

Текст закона1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя: 1) определение перечня информации, составляющей коммерческую тайну; 2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; 3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана; 4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; 5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации (для юридических лиц — полное наименование и место нахождения, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства). И как нам говорит п. 2 ст. 10 Закона о коммерческой тайне, если вы не выполнили хотя бы одно из вышеперечисленных условий, то ваше NDA что угодно, но только не NDA. Фиг вам2. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи.
На самом деле, это не бюрократические придирки. Если вы внимательно перечитаете требования, то это по сути минимальный стандарт доказывания. Без какого-то из этих пунктов можно ли будет определённо установить, что информация действительно важная и она ушла без вашего ведома? Сложновато. Как с коммерческой тайной опростоволосились

Источник: https://habr.com/ru/post/423071/

Компания использует персональные данные клиентов. Кому их можно передать без согласия субъекта?

Вопросы использования компаниями персональных данных клиентов находятся под пристальным вниманием законодателя и контролирующих органов. В настоящее время установлен достаточно широкий перечень требований к получению согласия клиента и обработке полученных данных.

Многие такие требования закреплены в подзаконных актах, и хозяйствующим субъектам оказывается достаточно проблематично отследить вносимые в них изменения. При этом подход контролирующих лиц может оказаться довольно формальным, что ведет к применению мер административной ответственности.

В особенности это касается вопросов передачи персональных данных третьим лицам (например, коллекторским агентствам), а также использования их в маркетинговых целях. Судебная практика в данной сфере также достаточно противоречива.

Поэтому компаниям важно не только тщательно отслеживать актуальные изменения законодательства, но и анализировать подходы судебных органов, чтобы избежать ответственности за нарушение требований о защите персональных данных.

Для передачи персональных данных клиента нужно его прямое письменное согласие

Общие правила привлечения юридического лица к административной ответственности установлены в КоАП РФ.

Однако особенностью данного вида ответственности является необходимость полного установления фактических обстоятельства дела в момент принятия решения о привлечении к ответственности или об отказе в привлечении.

То есть уполномоченный орган должен не только соблюсти порядок привлечения лица к ответственности, но и установить весь объем обстоятельств, который позволил бы установить виновность именно данного лица в совершении правонарушения.

Зачастую применение мер ответственности также осложняется спецификой общественных отношений, в рамках которых было совершено нарушение норм действующего законодательства.

С учетом специфики экономической деятельности объектом административного правонарушения, как правило, становятся охраняемые законом персональные данные физического лица.

При этом защита персональных данных чаще всего осуществляется в рамках общественных отношений, в которых физическое лицо выступает в качестве более слабой (с правовой точки зрения) стороны, а потому нуждается в существенной правовой поддержке со стороны законодателя.

Защита персональных данных физических лиц регулируется положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

При этом такая защита подразумевается и имеет особо важное значение при осуществлении с такими данными следующих операций: хранение, обработка и передача.

Любая деятельность, связанная с этими операциями в отношении персональных данных, должна осуществляться с соблюдением требований законодательства. А в случае несоблюдения таких требований нарушитель может быть привлечен к административной ответственности.

Наиболее широко персональные данные физических лиц используются кредитными организациями, в отношениях с которыми физические лица выступают потребителями предлагаемых экономических продуктов. При этом существует сразу несколько возможных нарушений требований законодательства о защите персональных данных со стороны кредитных организаций.

Первой группой нарушений является использование персональных данных физических лиц кредитными организациями при заключении ими договоров с так называемыми «коллекторами».

При этом следует отметить, что практике известны два различных вида таких договоров: договор уступки прав требования (цессии) между кредитной организацией и коллекторским агентством и агентский договор между указанными сторонами.

В обоих случаях для исполнения договоров необходима и подразумевается передача персональных данных физического лица, которое не исполняет принятые на себя обязательства по возврату полученного кредита.

При заключении такого рода договоров кредитная организация рискует быть привлеченной к ответственности, поскольку передача персональных данных заемщика юридическому лицу, которое не обладает лицензией на осуществление соответствующей деятельности, может быть признана нарушением действующего законодательства. Как правило, основанием для привлечения кредитной организации к ответственности при нарушении требований законодательства о защите персональных данных является отсутствие письменного согласия физического лица на передачу своих персональных данных (хотя в соответствии с требованиями законодательства такое согласие является обязательным и должно быть выражено в соглашении между субъектом и оператором персональных данных). Согласие должно быть выражено в письменной форме, быть ясным и недвусмысленным.

Передать данные клиента без его согласия можно для защиты интересов оператора

При разрешении вопроса о привлечении юридических лиц к ответственности за нарушение законодательства о персональных данных судебные органы сталкиваются со следующей правовой коллизией. Передача персональных данных заемщика действительно запрещена без его прямого письменного согласия.

Однако законодатель предусмотрел ряд случаев, в которых такая передача возможна и без согласия заемщика.

В частности, оператор вправе проводить обработку персональных данных без согласия физического лица, если такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (физическое лицо).

Также исключением являются случаи, в которых обработка персональных данных без согласия субъекта необходима для осуществления прав и законных интересов оператора (п. 5, 7 ст. 6; п. 2 ст. 9 ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»). Очевидно, что привлечение третьего субъекта осуществляется оператором (кредитной организацией) для защиты своих законных интересов, поскольку со стороны заемщика имеет место неисполнение принятых на себя обязательств.

Источник: https://www.vegaslex.ru/analytics/publications/the_company_uses_your_personal_data_to_whom_they_can_be_transferred_without_the_consent_of_the_subje/

Бухгалтерские и аудиторские термины — Audit-it.ru

Соглашение о неразглашении представляет собой юридический договор, который заключается двумя сторонами договора с целью взаимного обмена знаниями или другой информацией с ограничением к ней доступа третьим лицам.

Соглашение о неразглашении является эффективным инструментом защиты ценной информации и применяется для предотвращения утечки любой секретной (конфиденциальной) информации: от коммерческой тайны до персональных данных.

Отметим, что действующее законодательство крайне мало регулирует форму и содержание соглашения о неразглашении. Поэтому, сторонам договора необходимо быть очень внимательными при составлении этого документа.

Цель составления соглашения

Составляя соглашение о неразглашении, его участники ставят перед собой такие цели:

• обязать другую сторону не раскрывать полученные конфиденциальные сведения;

• в случае нарушения данного обязательства привлечь виновных к ответственности и заставить их компенсировать убытки.

Виды соглашения о неразглашении

Можно выделить два основных вида соглашения о неразглашении:

• Взаимное соглашение о неразглашении. При такой форме соглашения обе стороны делятся информацией, которая должна оставаться закрытой для доступа третьим лицам.

На практике такого рода соглашения наиболее часто заключаются при слияниях компаний.

• Одностороннее соглашение. В этом случае одна сторона договора доверяет определённые сведения другой стороне, но таким образом, чтобы информация осталась закрытой для третьих лиц, исходя из соображений секретности или патентного права.

Наиболее частый случай заключения таких соглашений встречается при оформлении трудовых отношений.

Например, некоторые трудовые договоры, заключённые между организацией – работодателем и сотрудником компании содержат положения, которые ограничивают возможность использовать или распространять «конфиденциальную информацию» фирмы.

С кем заключается соглашение о неразглашении

Для полного контроля за передаваемыми сведениями договор о неразглашении информации необходимо заключать с любым лицом, которому они предоставляются. Такое соглашение могут заключить между собой организации. Это делается в том случае, если конфиденциальность контракта для обеих сторон очень важна.

Также соглашение о неразглашении может быть заключено между организацией – работодателем и сотрудником компании. Так, при приеме на работу сотрудника организация-работодатель подписывает договор о конфиденциальности с работником. После подписания неразглашение этих сведений станет для работника обязанностью.

Форма и содержание соглашения о неразглашении

Действующим законодательством какие-либо конкретные требования к документу о неразглашении не предъявляются.

Следовательно, стороны сами могут установить не только форму, но и содержание соглашения о неразглашении.

Форма соглашения о неразглашении

Условие о неразглашении может быть выражено в виде:

• согласия одной из сторон не разглашать полученную информацию;

• отдельного документа, подписанного сторонами;

• раздела в договоре (например, стороны могут предусмотреть пункт договора о конфиденциальности и неразглашении информации).

соглашения о неразглашении

При составлении соглашения о неразглашении необходимо прописать все условия договора как можно детальнее.

В договоре о неразглашении необходимо указать следующие важные моменты:

• определение объекта договорных отношений (конфиденциальные сведения);

• реквизиты сторон (если это юридическое лицо, то должно быть указано его наименование, ИНН, ОГРН, адрес; для физического лица – Ф.И.О., адрес регистрации, паспортные данные);

• какие сведения считаются секретными и не подлежат разглашению (нужно как можно конкретнее описать, какая информация считается секретной);

• детальный перечень сведений, которые не являются конфиденциальными;

• права и обязанности участников в отношении ограничения доступа к конфиденциальной информации;

• порядок передачи данных (лично под подпись в бумажном виде, в электронном виде и т. п.);

• список доверенных лиц, которым конфиденциальные сведения могут быть раскрыты частично или в полном объеме;

• перечень ситуаций, которые будут признаны нарушением соглашения о неразглашении;

• меры ответственности за разглашение секретной информации;

• срок действия договора, на протяжении которого участники обязаны выполнять условия соглашения. Срок соглашения о неразглашении может предусматриваться сторонами. Если отдельное указание на это отсутствует, договор не имеет срока годности.

Отметим, что если сотрудничество носит длительный характер, и материалы передаются неоднократно, то недостаточно иметь подписанное соглашение о конфиденциальности.

В этом случае необходимо каждый раз составлять акт приема-передачи секретной информации.

При этом в этом акте следует максимально детально указывать сведения, которые передаются.

Структура соглашения о неразглашении

Ориентировочная структура документа может выглядеть следующим образом:

• Вводная часть. Здесь указывают наименование документа, дату и место его составления, перечисляются стороны соглашения.

• Раздел «Предмет соглашения». Здесь перечисляют информацию, попадающую под режим конфиденциальности.

• Раздел «Обязательства и ответственность сторон». В этом пункте прописывают меры ответственности за разглашение конфиденциальной информации и требования по ее защите. Также здесь можно указать, какие именно обстоятельства не будут являться нарушением заключенного соглашения (к примеру, раскрытие информации по письменному запросу органов государственной власти).

• Раздел «Прочие условия». В этот пункт можно включить порядок действий сторон при наступлении чрезвычайных ситуаций.

• Раздел «Адреса, реквизиты и подписи сторон».

Последствия за нарушение соглашения о неразглашении

Нарушение соглашения о конфиденциальности может нанести владельцу засекреченных сведений серьезный ущерб.

Лицо, допустившее разглашение данных без согласия их владельца, может быть привлечено:

• к дисциплинарной ответственности, в том числе увольнение работника предприятия. Этот пункт может быть применен только к сотрудникам компании;

• административной ответственности. Такая ответственность наступает только за разглашение сведений, доступ к которым ограничен законом. Статья 13.14 КоАП РФ предусматривает для нарушителей штрафные санкции в следующем размере:

• для граждан – от 500 до 1000 руб.;

• для должностных лиц – от 4000 до 5000 руб.;

• гражданско-правовой ответственности. В этом случае можно требовать возмещения убытков или выплаты штрафа, если такие условия указаны в договоре о неразглашении.

• уголовной ответственности. Если злоумышленник намеренно собирал информацию, составляющую коммерческую или охраняемую законом тайну, с целью дальнейшего разглашения, то ему придется отвечать по статье 183 УК РФ. Эта статья предусматривает в т.ч. лишение свободы сроком до 7 лет, если разглашение повлекло тяжкие последствия.

Выводы

Руководители многих организаций стремятся защитить ценные сведения от попадания в руки конкурентов. С этой целью они заключают с партнерами по бизнесу, нанятым персоналом и другими лицами, имеющими доступ к важным сведениям, соглашение о неразглашении конфиденциальной информации. Такие меры дают относительную гарантию безопасности и помогают избежать утечки данных.

Действующее законодательство крайне мало регулирует форму и содержание соглашения о неразглашении. Поэтому сторонам договора необходимо быть очень внимательными при составлении этого документа.

Источник: https://www.audit-it.ru/terms/agreements/soglashenie_o_nerazglashenii.html