Когда необходимо отправлять уведомления в Роскомнадзор
Уведомлять Роскомнадзор о планах обрабатывать личную информацию будет необходимо и в случаях, когда эти сведения (абз. 2 пп. “а” п. 14 ст. 1 Проекта Федерального закона N 101234-8):
- относятся к работникам;
- принадлежат контрагентам оператора, а он использует персональные данные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
- нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.
Уведомление можно отправить в виде бумажных документов по почте, либо в электронном виде. Инструкции для каждого варианта на сайте РКН.
После обработки уведомления Роскомнадзор включит оператора в свой реестр. Проверить наличие оператора персональных данных в реестре можно на сайте Роскомнадзора.
Сейчас в этих и некоторых других случаях извещать Роскомнадзор не нужно. Оператор должен будет до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту (пп. “б” п. 9 ст. 1 проекта ФЗ).
Трансграничная передача данных
Также с 1 марта 2023 года компании будут обязаны уведомлять РКН в случае, если они отправляют персональные данные из РФ за границу. При этом при определении трансграничной передачи будет учитываться не страна регистрации принимающей стороны, а расположение инфраструктуры. В отдельных случаях контролирующие органы могут ограничить передачу персональных данных за границу. Кроме того, вводится принцип экстерриториальности для российского законодательства о персональных данных. Таким образом, обработка персональных данных граждан РФ за границей также будет объектом регулирования соответствующих органов государственной власти РФ.
Обязанность уведомления об инцидентах
Нужно будет работать с госсистемой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ. В частности, через нее придется сообщать об инцидентах, из-за которых произошла утечка личных сведений в течение 24 часов после происшествия, с указанием предполагаемых причин инцидентов и мерах по их устранению (абз. 2 п. 11 ст. 1 проекта ФЗ). 11.08.2022 На заседании Общественного совета при Роскомнадзоре необходимость этого изменения Роскомнадзор обосновал так: “Это необходимо, чтобы как можно быстрее снизить доступность таких баз персональных данных в интернете. Также обработка персональных данных станет возможна только в целях договора, в котором нет условий, ограничивающих человека в его праве контролировать свои персональные данные – получать информацию об обработке, требовать удаления или уничтожения данных, не соглашаться с передачей данных третьим лицам.”.
19.12.2022 Подать информацию об инцидентах и результатах их внутренних расследований можно по ссылкам с сайта РКН, пройдя идентификацию ЕСИА (Госуслуги).
Раннее такая обязанность возлагалась только на компании-операторов критической инфраструктуры. Все они с 2018 года были обязаны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), созданной на основании Указа Президента РФ №31с от 15.01.2013. Информация, собранная в указанной системе, обрабатывается Национальным координационном центре по компьютерным инцидентам (НКЦКИ) и все операторы, подлючённые к ГоСОПКА, имеют доступ к актуальной информации об утечках, критических уязвимостях и кибератаках на объекты критической инфраструктуры. Новый закон, по-видимому, распространит аналогичные практики на всех операторов персональных данных. Подключение к системе ГоСОПКА осуществляется с помощью компаний, настроивших безопасную передачу данных с этой системой и предоставляющих услуги по подключению новых компаний (чаще всего это операторы связи, либо компании, работающие в сфере кибербезопасности). С 1 марта 2023 года Роскомнадзор будет вести учёт инцидентов в специализированном реестре.
Что в этом хорошего
У потребителей есть законное право вернуть магазину просроченный товар и получить назад заплаченные деньги. Фактическое исполнение раньше было плохим (как сейчас с ПД): покупатель униженно доказывал просрочку, 20 минут ждал чека да ещё мог напороться на хамство.
Однажды «Вкусвилл» объявил, что без проблем вернёт деньги за товары, — не только за некачественные, но и за те, что не понравились по вкусу. Магазин добавил к законодательной норме свою и заметно повысил лояльность клиентов.
Сегодня у бизнеса есть такая же возможность получить конкурентное преимущество за счёт работы с ПД. Настройте прозрачное управление согласиями для пользователей — и используйте это как маркетинговый ход.
На Западе так уже делают:
Фрагмент политики конфиденциальности приложения Flo. Компания разговаривает о данных дружелюбно: понятным языком, с хорошим оформлением, картинками
Концепт простого интерфейса для управления согласиями в подростковой соцсети
Обновить согласия на обработку ПД, политику конфиденциальности и локальные акты
Что изменилось в законе.Закон утвердил принципы договора с субъектом персональных данных. Договор не должен:
-
содержать положения, которые ограничивают права и свободы.
-
устанавливать случаи обработки ПД несовершеннолетних, кроме некоторых случаев, например сбора данных образовательными организациями.
-
предусматривать заключение при бездействии лица.
От пользователя требуется активное выражение согласия на сбор и обработку ПД. К примеру, он поставит галочку в чекбоксе, под которым размещена ссылка на текст согласия и политики конфиденциальности.
Вводится дополнительное требование к согласию: оно должно быть предметным и однозначным.
Что нужно сделать бизнесу.Доработать тексты договоров с клиентами, согласий, политики обработки ПД и пользовательских соглашений в соответствии с новыми принципами.
Альбина Кудрявцева, юрист для онлайн-школ и онлайн-проектов
Закрепите в согласии чёткую цель сбора персональных данных — это и есть предметность. Например, организация собирает данные и передаёт в банк для начисления зарплаты. Значит, в согласии нужно указать “перечисление заработной платы” в качестве цели и наименование банка. Однозначность подразумевает ясное и конкретное выражение согласия — без вариантов.
Для каждой цели сбора персональных данных пропишите в политике конфиденциальности:
-
категории персональных данных и их субъектов;
-
способы, сроки обработки и хранения;
-
порядок уничтожения ПД.
Целями сбора может быть заключение договора, оказание услуг, рекламная кампания.
Проверьте, чтобы политика конфиденциальности была опубликована на всех страницах сайта, на которых идёт сбор личной информации.
Ответственность. За обработку ПД с нарушением требований к согласию юридическое лицо будет оштрафовано на сумму от 30 до 150 тысяч. За повторное нарушение штраф составит до полумиллиона.
Несоблюдение правил опубликования политики конфиденциальности влечёт для организации штраф до 60 тысяч рублей.
Обновлённый 152-ФЗ основан на принципе экстерриториальности. Он распространяется не только на отечественных операторов, но и на иностранных юридических и физлиц, если они обрабатывают личные данные россиян на основании договора или с их согласия.
Уведомлять Роскомнадзор о начале обработки, изменении или завершении обработки ПД
Что изменилось в законе. Все операторы персональных данных обязаны подать уведомление в Роскомнадзор и вступить в единый реестр операторов. Из этого правила есть исключения, причем с 1 сентября исключений стало меньше. Можно не уведомлять Роскомнадзор, если:
-
Данные обрабатываются в целях защиты безопасности государства и общественного порядка, а также транспортной безопасности.
-
Оператор обрабатывает данные исключительно без средств автоматизации.
Также организации обязаны информировать Роскомнадзор о прекращении обработки ПД или об изменении ранее представленной информации. На выполнение требования закон отводит десять рабочих дней.
Что нужно сделать бизнесу. Если вы собираетесь обрабатывать персональные данные, отправьте уведомление в территориальный орган Роскомнадзора. Удобнее всего сделать это через официальный портал. Можно сформировать бумажный документ и отправить по почте, либо направить онлайн с помощью электронной подписи или Госуслуг.
Не забывайте в 10-дневный срок сообщать госоргану об изменениях в ПД или о прекращении их обработки. Все необходимые формы уведомлений есть в Приложениях к Приказу Роскомнадзора от 30.05.2017 № 94.
Ответственность. За непредставление сведений госорганам предусмотрен штраф: для должностных лиц — от 300 до 500 руб., для организаций — от 3 тысяч до 5 тысяч руб.
Что нового еще предлагает Роспотребнадзор
Изменения вносятся в статью 16 закона от 7 февраля 1992 года № 2300-1 «О защите прав потребителей». Они соответствуют руководящим принципам Организации Объединенных Наций для защиты интересов потребителей, принятых Резолюцией Генеральной Ассамблеи ООН 22.12.2015 г., в числе которых защита личной информации и использование механизмов получения согласия на сбор и использования личных данных потребителей. Также изменения соответствуют п. 48 рекомендаций Совета Организации экономического сотрудничества и развития (ОЭСР) по защите прав потребителей в электронной торговле от 24 марта 2016 № C(2016)13. Согласно этим рекомендациям, компании должны защищать конфиденциальность потребителя, гарантируя, что их практика в отношении сбора и использования потребительских данных является законной, прозрачной и справедливой.
Ипотека для ИТ-специалистов: что важно знать
Поддержка ИТ-отрасли
Законопроект предусматривает также перечень недопустимых условий договора, ущемляющих права потребителей. К таким условиям могут быть отнесены, например: односторонний отказ от исполнения обязательства или одностороннего изменения условий обязательства хозяйствующим субъектом; нарушение права потребителя на свободный выбор территориальной подсудности споров; уменьшение размера законной неустойки; ограничение потребителя в средствах и способах защиты нарушенных прав; установление незаконных штрафных санкций или иных обязанностей (обременений) потребителя, препятствующих свободной реализации права, установленного статьей 32 настоящего Закона. Так, например, условие договора, определяющее, что в случае расторжения договора по инициативе потребителя предоплата не возвращается, не соответствует положению статьи 32 закона «О защите прав потребителей» и нарушает право потребителя.
Данные поправки обусловлены тем, что за последние семь лет возросло количество нарушений, связанных с включением в договоры с потребителями условий, ущемляющих их права. Если в 2010 г. было выявлено более 6,6 тысяч таких нарушений, то в 2016 г. – уже более 8 тысяч. При этом в договоры с потребителями, как показывает правоприменительная практика, продолжают включаться условия, которые неоднократно признавались в судах недопустимыми.
Как изменения в законе повлияют на работу бизнеса
Пока получается картина, что предпринимателям придется сделать упор на работу с документами. Потому что под действие закона попадают типовые ситуации, когда используются персональные данные:
- Взаимодействие с банками. Отправка данных для оформления зарплаты или других выплат.
- ЧОП. Для оформления пропуска на территорию предприятия или офисного здания.
- Медицинские центры и страховые компании. Осмотры или диспансеризация сотрудников, ОМС.
- Образовательные учреждения. Учеба или повышение квалификации сотрудников.
- Туристическая сфера. При покупке билетов и бронировании проживания в командировках.
Наверное, больше всего проблем появится в рекламных и маркетинговых акциях. Например, компания получила от партнеров базу мобильных номеров для обзвона. По новым правилам, люди из базы должны дать согласие на это. Поэтому они могут потребовать, чтобы им не звонили и перестали давать контакты на сторону. В принципе они могут пожаловаться и в контролирующие органы.
Сергей Белов считает, что в ближайшее время правила продвижения бизнеса поменяются:
С этим согласен и Александр Штыров:
Закон о персональных данных 2021 не принесет радикальных изменений для бизнеса, но теперь придется аккуратнее работать с любыми данными клиентов и сотрудников.
Специалисты рекомендуют привести в порядок документы и переписать соглашения.
В какие сроки и по какой форме подать уведомление
Сейчас уведомить о сборе персданных можно через форму, утвержденную приказом Роскомнадзора от 30.05.2017 № 94, в тексте приказа есть и порядок заполнения формы. Перечень сведений, которые нужно указать в уведомлении, приведен в ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.
В ведомстве предупредили, что скоро будут утверждены новые формы, но до этого оператор вправе воспользоваться текущей формой (Информация Роскомнадзора от 01.09.2022).
Составить и отправить уведомление нужно в местное отделение Роскомнадзора одним из способов:
-
на бумаге заказным письмом через Почту России;
-
в электронном виде через сайт Роскомнадзора — понадобится сертификат КЭП;
-
в электронном виде через ЕСИА.
В текущей форме уведомления нет некоторых полей, которые появятся в новой форме документа согласно частям 3 и 3.1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. А значит после утверждения новой формы работодателям придется передать уведомление о внесении изменений в ранее внесенные сведения: отдельно указать категории персданных, которые запрашиваете, а еще для каждой цели обработки данных указать категории персданных и категории лиц, которым принадлежат эти данные, и пояснить, что вы делаете с этими данными и на каком правовом основании.
Роскомнадзор сообщил, что предельный срок для отправки уведомления не назван и 1 сентября 2022 — не крайний срок (Информация Роскомнадзора от 01.09.2022). Вероятно, при такой трактовке ведомство не будет штрафовать тех, кто задержался с подачей уведомления. Но все же рекомендуем не откладывать эту задачу и воспользоваться текущей формой уведомления, а после утверждения новой внести дополнения в ранее переданные сведения.
В уведомлении нужно указать дату, с которой оператор начали обработку персданных. Специалисты Роскомнадзора разъяснили, что такой датой считается день государственной регистрации компании или ИП (информация пресс-службы Роскомнадзора от 25.08.2022).
Кому нужно защищать персональные данные
Любое предприятие или организация для своей работы взаимодействует как минимум с бухгалтерией и кадрами, а также поддерживает клиентскую базу, поэтому практически все юридические лица и индивидуальные предприниматели по закону должны обязательно защищать ПДн.
Защищать персональные данные нужно как минимум, чтобы обеспечить выполнение требований регуляторов, чтобы в результате проверок не понести наказание за отклонения от требований. Но кроме этого мотива нужно помнить, что количество киберугроз и выявленных инцидентов растёт год от года, и это при том, что почти все компании и организации переводят в формат онлайн многие бизнес-процессы. Защита персональных данных – отличный повод создать эффективную систему защиты своего бизнеса от кибератак.
Трудовые отношения
Как передавать персональные данные сотрудников в рамках групп компаний
Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе.
Поскольку каждая компания выступает как отдельный оператор, то необходимо получать письменное согласие работника на передачу его персональных данных от одной компании в другую (ч. 4 ст. 9 Закона “О персональных данных”).
Если в группу компаний входит иностранное юридическое лицо, то необходимо оформлять не только согласие, но и договор поручения на обработку персональных данных.
Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании
Да, нужно. Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”).
В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника.
Что подразумевают под персональными данными
В Федеральном законе №152-ФЗ произошли изменения. Согласно новой редакции от 14.07.22, оператор больше не вправе осуществлять сбор персональных данных без уведомления уполномоченного органа. С 1 сентября 2022 года юрлица и индивидуальные предприниматели обязаны сообщить в Роскомнадзор о том, что намерены их обрабатывать.
К персональным данным в этом случае относят информацию, которую:
- получают и обрабатывают в рамках ТК РФ и иных федеральных законов, касающихся трудовых отношений;
- получают при заключении договоров с физлицами, используют только внутри компании и не предоставляют данные третьим лицам;
- разрешено распространять с согласия физлица;
- будут использовать в качестве пропуска физлица на территорию компании и аналогичных ситуациях.
К ним также относятся личные сведения:
- содержащие в себе только Ф.И.О. физлица;
- касающиеся участников общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями.
Обновить положения, касающиеся получения биометрических ПД
Что изменилось в законе. Предоставление биометрии не является обязательным условием для заключения договора. Исключения связаны лишь с осуществлением правосудия и исполнением судебных актов. В остальных случаях оператор не имеет права отказать пользователю в обслуживании, если тот не хочет сдавать, например, отпечаток пальца.
Что нужно сделать бизнесу. В текст договора с клиентами добавить пункт «Предоставление биометрических персональных данных не является обязательным. Отказ в их предоставлении не влечет отказа оператора в обслуживании».
Ответственность. Наказание за обработку ПД, не предусмотренную законодательством, закреплено в ст. 13.11 КоАП. Должностное лицо оштрафуют на сумму от 10 до 20 тысяч, а компанию — на сумму от 60 до 100 тысяч рублей.
Биометрическая идентификация, наравне с открытым банкингом и искусственным интеллектом, помогает снижать издержки и повышать эффективность финуслуг. Но только, если действовать в рамках закона. Прочтите, как выдержать баланс между внедрением технологий и требованиями госорганов.
Порядок составления положения о персональных данных сотрудников в 2022 году
Законодательно не предусматривается определенной формы и содержания о работе с перс. данными сотрудников, поэтому следует придерживаться следующих пунктов:
- Общие положения с указанием предмета утверждения, регулируемых аспектов и начала действия.
- Указание всей информации, которую должен предоставить сотрудник для обработки личных сведений с указанием конкретных сроков предоставления данных.
- Фиксирование периода хранения перс. данных работников и способы их защиты. Указание перечня лиц, имеющих доступ к этой информации и правила предоставленного доступа.
- Предмет применения персональных данных и рамки их применения.
- Указание правил, согласно которым возможно направлять информацию сотрудников по запросам ведомств, юридических и физических лиц.
- Закрепление гарантии конфиденциальности перс. данных и их сохранность для работников с указанием их законных прав на случай неправомерного использования информации.
Нанимателю разрешается указывать другие положения в локальных документах организации, например, меры ответственности за нарушения порядка применения информации.
Работодатель не имеет права:
- Разглашать персональные данные сотрудника третьим лицам без наличия согласия работника в письменном виде, кроме ситуаций, когда данное действие необходимо во избежание угрозы здоровью и жизни человека.
- Передавать личные сведения сотрудника в коммерческих целях без его согласия в письменном виде.
- Направлять запросы о состоянии здоровья сотрудника, если это не предусмотрено родом профессиональной деятельности.
- Принимать и обрабатывать сведения сотрудника о его членстве в различных общественных организациях.
Наниматель обязан:
- В ходе принятия каких-либо решений, касающихся интересов сотрудника, работодатель обязан основываться на перс. данных работника, которые получено только путем автоматической обработки и получения в электронном виде.
- Выдавать доступ к личной информации сотрудников исключительно лицам, имеющим соответствующие полномочия, и только к тем сведениям, которые нужны для осуществления конкретной деятельности.
- При передаче персональных данных сотрудников предупреждать лиц, принимающих эту информацию, о применении этих данных исключительно в целях, в рамках которых информация предоставлена.
id=»ob-obnovlenii-152-fz-korotko» id=»ob-obnovlenii-152-fz-korotko» >Об обновлении 152-ФЗ коротко
-
Персональные данные — это любая информация, которая идентифицирует человека: ФИО, дата рождения, номер телефона, адрес почты. Если компания собирает персональные данные клиентов и пользователей, то считается их оператором и обязана соблюдать 152-ФЗ.
-
Поправки в 152-ФЗ должны минимизировать утечки личной информации. Если утечка всё же произошла, в течение суток необходимо оповестить Роскомнадзор. А в течение трёх — расследовать инцидент и отчитаться о результатах. В скором времени ФСБ разработает порядок взаимодействия с ГосСОПКой: её тоже надо будет информировать об инцидентах.
-
До начала обработки ПД отправьте уведомление в Роскомнадзор. Их же следует поставить в известность, если произошли изменения в персональных данных, либо вы прекратили их обрабатывать. Все формы уведомлений есть в Приказе, срок — десять рабочих дней.
-
Обновите согласия на обработку персональных данных, политику конфиденциальности и все локальные акты в этой сфере. Уберите положения, которые ограничивают права пользователей, пропишите цели сбора ПД.
-
На запросы пользователей отвечайте в течение десяти дней. В этот же срок прекратите обрабатывать личную информацию, если человек на этом настаивает.
-
Не отказывайте клиенту в обслуживании, ссылаясь на его отказ сдать биометрию: это нарушение 152-ФЗ.
- До 1 марта 2023 года организация, которая передаёт ПД через границу, обязана получать одобрение Роскомнадзора. Подать уведомление можно через официальный портал. Если служба не даст разрешения, трансграничную передачу персональных данных придётся прекратить, а ранее переданные сведения — уничтожить.
Что делать с рассылками
Поправки никак не влияют на емейл- и другие рассылки. Правила остаются прежними:
- Нельзя делать предоставление адреса и согласие на рассылку обязательным условием сделки.
- Нельзя предустанавливать галочки в чек-боксах: пользователь должен сам дать активное согласие.
- Нельзя прятать согласие в другие документы: практика показывает, что за это штрафуют.
- Нужны отдельные согласия на обработку ПД и на получение рассылки. Это два самостоятельных действия, которые контролируют разные органы: соответственно Роскомнадзор и антимонопольная служба. Штрафы ФАС ощутимей.
Если пользователь написал, что не хочет получать рассылку, — отключите и сообщите ему об этом. По опыту, люди сначала стараются по-хорошему договориться с компанией и только при неудаче идут жаловаться государству. Для бизнеса это закончится объяснениями с ФАС и штрафом в 100–500 тысяч рублей.
Всё, что нужно делать с рассылками с точки зрения этих законов, — это правильно брать согласие и вовремя отключать, если пользователь просит.
Встречается мнение, что подстановка имени в письмо делает рассылку нерекламной, ведь реклама адресуется неопределённому кругу лиц. ФАС опровергла это ещё несколько лет назад в решении по одной из жалоб. Ведомство считает, что сама природа емейл-рассылок предусматривает возможность отправлять разным адресатам «однообразные предложения с несколько отличающимися условиями» и изменение под конкретного получателя «не может свидетельствовать о нерекламном характере таких сообщений».
Что будет дальше
Весна отметилась серией критических нарушений закона о ПД: в открытый доступ попали данные клиентов нескольких крупных компаний. При этом административный штраф первой из них — «Яндексу» — составил 60 тысяч рублей. Сумма несопоставима с масштабом утечки и чувствительностью слитых ПД. И хотя этой цифрой «Яндекс» не отделается (есть коллективные иски от самих пользователей), стало понятно, что государство плохо регулирует этот вопрос.
Минцифры готовит законопроект об оборотных штрафах по европейскому образцу. Согласно ему, наказание за утечку ПД клиентов составит 1% от годового оборота компании. Это очень болезненно.
Проще работать с ПД не станет. Государство хоть и с опозданием, но будет реагировать на новые проблемы: ужесточать штрафы, повышать требования к прозрачности.
Что стоит проверить в персональных данных
Закон разрешает работодателям обрабатывать персданные только в некоторых целях. Это связано с такими ситуациями:
-
заполнение трудового договора, передача сведений в контролирующие органы;
-
содействие карьерному росту и обучению сотрудников;
-
забота о личной безопасности сотрудников;
-
контроль объемов и качества выполняемой работы;
-
сохранность имущества предприятия.
Если личные данные не связаны с этими целями, работодатель не вправе их запрашивать, даже если сотрудник не возражает. Также нельзя обрабатывать данные из особых категорий: о расовой или национальной принадлежности, религиозных и политических убеждений, личной жизни и состояния здоровья, членстве в общественных организациях.
У всех лиц, от которых вы получили персданные, нужно взять согласие на их обработку. В согласии указывают цель сбора данных — ясно и без размытых формулировок.
Итак, прежде всего, важно проверить, числится ли компания в реестре операторов на сайте Роскомнадзора. Если нет — подать уведомление о начале сбора и обработки персональных данных по текущей форме, в качестве даты начала обработки указать дату регистрации компании или ИП
Когда ведомство утвердит новую форму уведомления, стоит воспользоваться ею для отправки дополнительных сведений, которые не удалось указать в первый раз. Затем подключиться к ГосСОПКА и вовремя уведомлять ведомства об изменениях в обработке данных и утечках.
О согласиях на обработку персональных данных
Несколько целей в одном согласии
Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.
Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.
Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.
Получение согласия на обработку персональных данных при заключении договора
Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.
Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.
Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.
Согласия на обработку персональных данных соискателя и близких родственников
Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.
Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.
Например, сообщить о необходимости проверки конфликта интересов.
Обработка персональных данных родственников сотрудника имеет ряд особенностей
Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.
Электронные копии согласий на обработку персональных данных
Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?
Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски
Срок согласия на обработку персональных данных
По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.
Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.
Форма согласия на получение рассылки от иностранного сайта
Достаточно ли получения согласия в электронной форме в виде проставления галочки в чек-боксе, если сайт или его администратор находятся за пределами РФ?
Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.
Заключение
Если вы дочитали и не нашли каких-то ответов — это нормально. Отрасль развивается и даже регулятор не может дать четких рекомендаций. Судебная практика охватывает частные случаи, поэтому ее нужно изучать в контексте вашей ситуации.
Контемиров пообещал, что по результатам работы Центров компетенций в 2021 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными. РКН хочет, чтобы такой портфель был хорошим подспорьем.
Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных. Почитайте пост о Реестре операторов персональных данных
Почитайте пост о Реестре операторов персональных данных.
Подпишитесь на Телеграм-канал!
ps. Чатик придумал, чтобы избежать включения в реестр ОРИ, но быть с вами на связи.
41 735