Требования к содержанию согласия на обработку персональных данных с 01.09.2022

С 01 марта 2021 года любые персональные данные могут распространяться только с особого согласия субъекта.

Требования к содержанию согласия на обработку персональных данных с 01.09.2022

Изменения в Закон “О персональных данных” внесены законом № 519-ФЗ и об особенностях распространения персональных данных я уже писал.

Роскомнадзор установил специальные требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

UPD от 22 апреля 2021 Опубликован Приказ Роскомнадзора № 18 от 24.02.2021 г. «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Зарегистрирован в Министерстве Юстиции 21 апреля 2021 г.

Приказ вступает в силу с 1 сентября 2021 года и действует до 1 сентября 2027 года.

Оперативные обновления узнавайте в моем Телеграм-канале.

Согласие на распространение персональных данных и согласие на обработку персональных данных — в чем разница

До принятия 519-ФЗ все виды обработки ПД могли быть прописаны в одном согласии. С 1 марта 2021 года правила изменились: человек может дать согласие на обработку персональных данных, но в тоже время не разрешить их распространять. Попробую на примерах и в схемах объяснить нюансы.

Обработка — это любое действие с персональными данными, в том числе:

  • сбор, запись, систематизация;
  • накопление, хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование, удаление, уничтожение персональных данных.

Из этого следует, что распространение —  это один из случаев передачи персональных данных. Он отличается от предоставления и доступа к персональным данным. Соответственно и согласия для этих случаев обработки разные.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Основным отличием распространения от предоставления является определение получателей данных. 

Требования к содержанию согласия на обработку персональных данных с 01.09.2022Передача персональных данных

В одном случае круг получателей не определен и не известен заранее. В другом — это известный получатель или определенный круг лиц.

Примеры распространения персональных данных

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц. По сути — это их публикация:

  • размещение профилей в соцсетях;
  • публикация данных о сотрудниках на корпоративных сайтах, форумы;
  • сайты с объявлениями, отзывами, вакансиями.
  • публикации в газетах, журналах;
  • печатные рекламные буклеты с контактами, ФИО и фото сотрудников;
  • публикация результатов спортивных мероприятий на интерактивных мониторах;
  • визитки, возможно.

Если вы планируете распространять персональных данные для неопределённой аудитории, то необходимо получать согласие на распространение персональных данных. В этом согласии субъект персональных данных должен прямо вам разрешить это делать.

Требования к содержанию согласия на обработку персональных данных с 01.09.2022Распространение персональных данных

Согласие на обработку персональных данных, разрешенных для распространения, в любом случае дается конкретному оператору. Такое согласие не разрешает другим лицам использовать персональные данные субъекта в своих целях. Случаи обработки персональных данных без согласия субъекта строго определены в пунктах 2-11 части 1 статьи 6 Закона «О персональных данных».

Требования к содержанию согласия на распространение персональных данных

Роскомнадзор планирует запустить единую информационную систему для управления согласиями персональных данных, разрешенных для распространения. Пока этой системы нет, единственным возможным способом получения согласия является предоставление согласия непосредственно оператору.

Согласие не всегда должно быть в письменной форме. Допускается любая форма, позволяющая подтвердить факт его получения.

Письменная форма согласия требуется в случаях, если распространяются персональные данные, для обработки которых требуется письменная форма.

Каждый оператор должен разработать свой бланк согласия или веб-форму, предусмотрев в нем обязательные сведения, которые утвердил Роскомнадзор. Единой формы нет, Роскомнадзор утвердил лишь требования к содержанию согласия

Вот краткий чек-лист содержания согласия:

  1. Фамилия, имя, отчество субъекта.
  2. Контакты субъекта: номер телефона, адрес электронной почты или почтовый адрес субъекта.
  3. Наименование оператора персональных данных, ИНН, ОГРН и адрес, указанный в ЕГРЮЛ.
  4. Сведения об информационных ресурсах, где будут распространятся персональные данные.
  5. Цель или цели распространения персональных данных.

  6. Категории и перечень персональных данных, распространение которых субъект разрешает.
  7. Категории и перечень персональных данных, для распространение которых субъект устанавливает условия и запреты. Заполняется по желанию субъекта.

  8. Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников. Заполняется по желанию субъекта.
  9. Четко определенный срок действия согласия.

Подробнее о каждом пункте читайте ниже.

Читайте обязательно, потому что если согласие будет получено с нарушением или будет указана не вся информация, то считайте, что согласия нет. А за обработку персональных данных без согласия — новые штрафы и блокировка сайта.

Подробные требования к содержанию согласия

Согласие должно включать в себя следующую информацию:

1) Фамилия, имя, отчество (при наличии) субъекта персональных данных

2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)

Согласие может предусматривать указание либо адреса электронной почты, либо почтового адреса. Конечно, можно указать и то, и другое, но зачем лишняя информация?

3) Сведения об операторе персональных данных

Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ

Физическое лицо указывает: фамилия, имя, отчество (при наличии), место жительства или место пребывания.

Для индивидуального предпринимателя указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.

4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных

Сведения об информационных ресурсах оператора указываются в виде адреса, состоящего из наименования протокола (http или https), сервера (www), домена (персональные данные.ru), имя каталога на сервере и имя файла веб-страницы, на которой будут размещены персональные данные субъекта персональных данных.

5) Цель (цели) обработки персональных данных

Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.

6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных

Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:

  • общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
  • специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
  • биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).

Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов

  • Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.
  • Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.
  • Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников

Заполняется по желанию субъекта персональных данных.

9) Срок действия согласия

Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.

Не допускается указание на автоматическую пролонгацию срока действия согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.

Что делать со старыми согласиями

Ранее полученные согласия можно оставить и использовать до истечения срока их действия. Они сохранят свою силу для всех других случаев обработки персданных, кроме распространения.

Нужно только определить и составить список всех персональных данных, которые вы публикуете. После чего получить новые согласия. Легко сказать…

Подпишитесь на Телеграм-канал!

Защита персональных данных работника по ТК РФ

Все организации работают с персональными данными. Даже если нет базы клиентов – физических лиц, то есть база сотрудников. Соответственно, все работодатели являются операторами персональных данных и должны соблюдать требования к сбору, хранению, обработке и уничтожению персональных данных в соответствии с требованиями, указанными в Законе 152-ФЗ и в главе 14 ТК РФ.    

Как соблюсти все требования к защите персональных данных работников в своей статье рассказывает эксперт «Что делать Консалт». Также она дает полный разбор мер, которые обязан предпринять работодатель, чтобы защитить персональные данные работников с учётом всех требований законодательства.

Определить цель обработки

Требования к содержанию согласия на обработку персональных данных с 01.09.2022

В законе указаны принципы работы с персональными данными, среди которых целевой характер обработки. Цель необходимо определить в первую очередь, ещё до начала обработки. Именно такую цель нужно указывать в документах по персональным данным. Вокруг цели складывается порядок действий по работе с персональными данными. За обработку персональных данных, не совместимых с целями обработки, возможно привлечение к ответственности. Штраф по ч. 1 ст. 13.11 КоАП РФ для организации от 60 000 до 100 000 рублей.

Читайте также:  НДС по каким командировочным нельзя принять к вычету

В рамках трудового законодательства выделяют следующие цели обработки:

  • ведение кадрового делопроизводства;
  • содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
  • привлечение и отбор кандидатов на работу у оператора;
  • организация постановки на индивидуальный (персонифицированный) учёт работников в системе обязательного пенсионного страхования;
  • заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчётности;
  • ведение бухгалтерского учёта.

Целей обработки у оператора может быть несколько, при этом не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой (ст. 5 Закона 152-ФЗ). Если организация обрабатывает персональные данные не только сотрудников, но и клиентов, то объединять эти базы нельзя.

Разработать документы по защите персональных данных

Закон не содержит чёткого перечня документов, которые должны быть у оператора персональных данных. Рекомендуем разработать следующие документы.

  1. Политика в отношении обработки персональных данных. Это самый главный документ, который устанавливает категории, цели, способы обработки, порядок хранения и использования. Роскомнадзором разработаны рекомендации по составлению этого документа (Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»). В законе нет ответа на вопрос, необходимо ли составлять политику об обработке персональных данных сотрудников отдельно или можно утвердить один документ и включить в него все категории персональных данных, которые обрабатываются в организации. Вы можете выбрать любой вариант. Обратите внимание, политика в отношении обработки персональных данных работников является обязательным локальным нормативным актом организации, и сотрудники должны быть ознакомлены с ней под подпись (п. 8 ст. 86 ТК РФ).
  • Формы и образцы заполнения политики в отношении обработки персональных данных вы можете найти в справочно-правовой системе КонсультантПлюс:
  • Форма: Политика оператора в отношении обработки персональных данных (образец заполнения) (КонсультантПлюс, 2022) {КонсультантПлюс}
  • Форма: Положение (политика) о персональных данных работников организации (Подготовлена для системы КонсультантПлюс, 2022) {КонсультантПлюс}
  1. Приказ о назначении ответственного за организацию обработки персональных данных. Это следует из ч. 1 ст. 22.1 Закона 152-ФЗ. Закон не устанавливает требований к должности работника. Им может быть любой сотрудник организации.
  2. Приказ об утверждении перечня работников, имеющих доступ к персональным данным.
  3. Соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным.

Обратите внимание на документы, которые касаются лиц, имеющих доступ к персональным данным. Это очень важно. В первую очередь это поможет избежать ответственности за нарушение законодательства.

Если таких документов нет, то получается, что вы передали информацию третьим лицам без согласия. За такие действия возможен штраф по ст. 13.11 КоАП РФ. Для юридических лиц от 30 000 до 150 000 рублей.

Кроме того, это поможет привлечь к ответственности лиц в случае разглашения такой информации.

Можно разработать и другие документы, например регламенты по работе с персональными данными или журналы учёта.

Готовые решения СПС КонсультантПлюс подскажут, как действовать в конкретной ситуации: пошаговые инструкции, образцы документов, ссылки на правовые акты.

Опубликовать политику ПД

Требования к содержанию согласия на обработку персональных данных с 01.09.2022

После разработки документов один из них необходимо опубликовать или обеспечить к нему неограниченный доступ. Речь идёт о политике персональных данных. Это следует из ч. 2 ст. 18.1 Закона 152-ФЗ. Соблюсти требования закона можно следующим образом:

  • опубликовать политику на сайте организации;
  • разместить на информационном стенде в офисе.

Актуальный вопрос: необходимо ли публиковать политику в области обработки персональных данных работников? Такого требования нет в Трудовом кодексе. Кроме того, из п. 8 ст.

86 ТК РФ следует, что работники должны быть ознакомлены с таким документом под подпись, и нигде не указано, что работодатель должен предоставлять к локально-нормативным актам открытый доступ.

Но обработка персональных данных работника регулируется не только Трудовым кодексом. Работодатель является оператором персональных данных. На него возложены соответствующие обязанности.

Таким образом, политика также должна быть опубликована на сайте или корпоративном портале. Если у организации нет возможности опубликовать политику на сайте, то документ можно разместить на информационном стенде в офисе, например в отделе кадров.

Обращаем внимание, в случае проверки вы должны подтвердить, что к политике был предоставлен неограниченный доступ. Если политика не опубликована, то возможен штраф по ч. 3 ст. 13.11 КоАП РФ. Для юридических лиц от 30 000 до 60 000 рублей. 

Уникальные аналитические материалы СПС КонсультантПлюс помогут вам при возникновении сложных ситуаций.

Уведомить Роскомнадзор

До начала обработки оператор обязан подать уведомление в Роскомнадзор о своём намерении осуществлять обработку персональных данных. Это следует из ч. 1 ст. 22 Закона 152-ФЗ.

В некоторых случаях законом предусмотрены исключения, среди которых обработка в соответствии с трудовым законодательством.

Обратите внимание, исключение действует только на те данные, которые обрабатываются в соответствии с трудовым законодательством: для исполнения оператором обязанностей как работодателя и для исполнения работником его трудовой функции. Если работодатель собирает и хранит информацию, которая выходит за пределы трудовых отношений, например сведения об имущественном положении, то он должен уведомить Роскомнадзор.

Аналогичное уведомление необходимо направить, если цель обработки выходит за рамки трудового законодательства. Например, в случае если организация передаёт персональные данные в рамках аудиторской проверки.

Это связанно с тем, что передача аудиторской организации информации о работниках ООО проводится не в соответствии с трудовым законодательством, а в соответствии с Законом № 307-ФЗ.

При этом проводится аудит в обязательном порядке или добровольном, не имеет правового значения.

Если вы сомневаетесь, распространяются ли на вас данные исключения, то рекомендуем подать уведомление. Реестр Роскомнадзора включает уже более 400 000 операторов.

Включение в реестр не влечёт возникновения дополнительных обязанностей. В случае, когда вы должны были подать уведомление, но не сделали этого, возможна административная ответственность. Штраф по ст. 19.

7 КоАП РФ для юридических лиц ‒ от 3 000 до 5 000 рублей.

Направить уведомление можно на бумажном носителе или в электронной форме.

Появились требования к содержанию формы согласия на обработку персональных данных

О чем речь. Когда человек начинает лечиться в новой больнице, регистрируется в соцсети или дает свой адрес интернет-магазину, его просят подписать согласие на обработку персональных данных. Без этого согласия нельзя хранить и обрабатывать личную информацию: ФИО, номер телефона, адрес, серию и номер паспорта.

Иногда в согласии есть пункт о том, что человек разрешает распространять свои персональные данные. Например, такой пункт есть в согласии Фейсбука: соцсеть может передать данные о местоположении пользователя своим рекламодателям.

Как было раньше. До 1 сентября не было требований к содержанию согласия на обработку персональных данных. Компании сами решали, как скажут клиентам, что их личную информацию будут кому-то передавать. Было только одно ограничение — закон о персональных данных.

  1. ФИО человека, о чьих персональных данных идет речь.
  2. Номер телефона, адрес электронной почты или почтовый адрес человека, о чьих данных идет речь.
  3. Сведения о том, кто распространяет персональные данные. Если это компания, нужно название, юридический адрес, ИНН, ОГРН. Если это физлицо без статуса ИП — ФИО и место жительства. Если это ИП — ФИО, ИНН, ОГРНИП.
  4. Полный адрес сайта, через который можно получить доступ к персональным данным: наименование протокола, сервера, домена, каталога на сервере и файла веб-страницы.
  5. Цель обработки персональных данных.
  6. Категории и список персональных данных, которые человек дает на обработку.
  7. Срок действия согласия.
  8. Категории и список данных, которые человек запрещает хранить, обрабатывать и распространять.
  9. Ситуации, когда человек не против, чтобы его персональные данные передавали сотрудникам и подрядчикам компании.

Компании и ИП могут воспользоваться сервисом Роскомнадзора, чтобы проверить свою форму согласия на обработку персональных данных.

Для этого нужно заполнить анкету на основе текущей формы согласия и отправить специалисту Роскомнадзора.

Если форма разработана с соблюдением всех требований, ее можно будет сразу использовать. Если что-то не так, специалист объяснит, как улучшить форму согласия.

Требования к содержанию согласия на обработку персональных данных с 01.09.2022 Это страница из сервиса Роскомнадзора. На ней можно выбрать категории и перечни персональных данных, которые обычно хранятся, обрабатываются и распространяются

Что это значит для бизнеса. Если не соблюдать новые требования к форме согласия на обработку персональных данных, можно получить штраф:

  • ИП могут оштрафовать на 20 000—40 000 ₽;
  • компании могут оштрафовать на 30 000—150 000 ₽.

Новый законопроект о персональных данных: как изменилась работа рекрутеров

В эпоху цифровизации персональные данные (ПД) называют информационным товаром и «нефтью XXI века». В 2021 году серьезно изменился порядок обращения с ПД. Законопроект о распространении персданных привел к масштабным изменениям — часть из них вступила в силу в марте, а с 1 сентября 2021 года вводятся новые требования к получению согласия на распространение ПД.

Разбираемся вместе с экспертами в нюансах новых требований закона применительно к рекрутменту. Вопросов много. Как теперь HR-менеджерам работать с личной информацией кандидатов? Какие новшества нужно строго соблюдать и за что компаниям грозят многомиллионные штрафы?

Сперва разберемся, что относится к персональным данным с точки зрения кандидата и работодателя.

Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных — кандидату). С точки зрения рекрутмента — это почти все сведения, которые собирают о соискателе, субъекте ПД: Ф. И. О., опыт работы, доходы, образование и пр.

Оператор — потенциальный работодатель. Обработчик — тот, кто обрабатывает персональные данные по поручению оператора. Обработчиками в рекрутменте выступают те, кого работодатель нанял для поиска новых сотрудников (кадровые агентства, job-сайты, ATS- и CRM-системы). Кстати, если вы сохраняете резюме на свой компьютер, значит, уже занимаетесь обработкой персональных данных.

Читайте также:  Порядок и образец заполнения формы СПВ-2

ВАЖНО:
У потенциального работодателя как оператора персональных данных должны быть основания для их обработки, самое подходящее — это согласие кандидата. Обработчик не отвечает за сбор согласия, ответственность за это несет работодатель как оператор, даже если компания собирает ПД не напрямую, а через job-сайты.

За последний год на рассмотрение парламентариев было внесено несколько громких законопроектов, связанных с ПД, часть инициатив утвердили. Один из самых обсуждаемых документов, который уже вступил в силу, вносит изменения в порядок обращения с персональными данными граждан.

Итак, главное новшество касается регулирования распространения ПД. С 1 марта 2021 г. вступили в силу изменения в Федеральный закон от 27.07.

2006 №152-ФЗ «О персональных данных», а с 1 сентября 2021 года начинает действовать Приказ Роскомнадзора, в котором прописаны основные требования к форме согласия на обработку ПД.

Главные новшества в законодательстве о персональных данных — 2021
(статья 10.1 Федерального закона «О персональных данных»).

  1. Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» заменили на другую формулировку — «персональные данные, разрешенные субъектом персональных данных для распространения».
  2. Распространение — действия, направленные на раскрытие персональных данных неопределенному кругу лиц; теперь вид обработки, требующий получения отдельного согласия у кандидата.
  3. Оператор перед обработкой данных, полученных из разных источников (социальные сети, сайты по поиску работы), должен проверять наличие согласия или другого основания для обработки таких сведений. Для этого стоит уточнять у владельцев job-сайтов, есть ли согласие на распространение ПД и для каких целей оно получено у соискателя.
  4. Оператор должен доказать законность сбора и последующего использования персданных кандидатов из открытых источников.

«Теперь работодатель как оператор должен проверять наличие согласия от кандидата не только на обработку, но и на распространение личной информации о нем, если собирает данные из открытых источников.

Галочки под пользовательским соглашением недостаточно — должен быть отдельный документ, электронная форма на сайте. Эти новеллы всколыхнули и бизнес-сообщество, и юристов.

1 сентября замкнется круг законодательных изменений — приказ Роскомнадзора, вступающий в силу в первый день осени, четко определил, как согласие на распространение персданных должно выглядеть.

Важный нюанс — в документе должны быть поля, где человек может записать, какие ПД он не разрешает распространять или разрешает с определенными условиями. Теперь рекрутеру нужно отслеживать содержание такого согласия», — объясняет Екатерина Метелкина, юрист hh.ru, эксперт по персональных данным.

Работодатель обязан проверять наличие согласия от кандидата не только на обработку, но и на распространение персональных данных, если собирает данные из открытых источников. Галочки под пользовательским соглашением недостаточно: должен быть отдельный документ — согласие.

9 обязательных пунктов в согласии на обработку персональных данных с 1.09.2021

Изменения в законе о персональных данных с 1 сентября 2021 года

В 2021 году существенно меняется порядок распространения персональных данных. Вслед за масштабными мартовскими изменениями, с 1 сентября 2021 года начнут действовать обязательные требования к содержанию согласия на обработку персданных, разрешенных к распространению. Разберемся, в чем суть нововведений.

Новое согласие

Специфика согласия на обработку персданных, разрешенных к распространению, заключается в том, что оно подтверждает наличие разрешения от субъекта персданных на раскрытие его личной информации неопределенному кругу лиц. Начиная с 1 марта 2021 года такое согласие должно отбираться отдельно от иных согласий субъекта персданных.

Приказом Роскомнадзора, вступающем в силу с 1 сентября 2021 года, определены основные положения, которые должны быть отражены в данном документе, в том числе:   

  • цели обработки персданных
  • срок действия согласия
  • категории и перечень персданных
  • сведения об информационных ресурсах оператора, на которых персданные будут предоставляться неопределенному кругу лиц
  • Также в документе субъект персданных может установить запреты или конкретные условия обработки части информации, в частности, запрет на какую-либо обработку персданных неограниченным кругом лиц (кроме непосредственного доступа к ним).
  • Срок действия требований является ограниченным – до 1 сентября 2027 года.
  • Также с 1 июля 2021 года будет доступна возможность получать такое согласие через специальную информационную систему Роскомнадзора.

Иные важные изменения, которые уже вступили в силу

В новой статье 10.1 Закона о персданных, действующей с начала марта, были установлены основные принципы обработки разрешенных к распространению персданных.

  1. Так, в силу серьезности возможных последствий обнародования личных данных закон устанавливает, что молчание или бездействие субъекта персданных ни при каких обстоятельствах не может свидетельствовать о согласии на распространение.
  2. Если личные данные оказались в публичном доступе по желанию самого субъекта или в результате противоправных действий, форс-мажора, то лица, осуществляющие их обработку, должны доказать ее законность.
  3. В случае, если нарушаются законные требования к обработке разрешенных к распространению персданных, то субъект может обратиться с требованием о прекращении такой обработки к любому лицу, обрабатывающему такие данные, или непосредственно в суд.

Ужесточение меры ответственности

С 27 марта 2021 года в Кодекс об административных правонарушениях были внесены изменения, касающиеся правонарушений в области обработки персональных данных.

Теперь за любые правонарушения, установленные статьей 13.11 КоАП, больше не может быть назначено предупреждение, нарушителю сразу грозит штраф. За повторное совершение ряда правонарушений предусмотрена повышенная ответственность, при этом срок давности привлечения к административной ответственности в данной области был увеличен до одного года.

Соблюдайте закон и удачи в бизнесе!

Новое согласие на обработку персональных данных — 2022

Практически каждая организация так или иначе работает с персональными данными. В большинстве случаев на такую обработку требуется отдельное письменное согласие.

Еще несколько лет назад, когда штрафы за нарушение законодательных норм о личной информации не были столь велики, многие игнорировали правила обработки персданных.

Однако недавно прошла новая волна повышения штрафов за неправильную обработку личных данных, поэтому ошибка может стоить организации сотен тысяч рублей. Работникам также будет полезно знать, нужно ли на работе предоставлять согласие на обработку личной информации.

В данной статье мы расскажем о требованиях к согласию на обработку персданных, рассмотрим последние изменения по данному вопросу и потенциальные штрафы. Также вы сможете скачать образцы согласия, которые разработали специалисты сайта «Время Бухгалтера».

Обязательно ли согласие на обработку персональных данных

Обработкой личных данных законодатель считает любые действия, которые вы проводите с ними. А персональные данные — это всевозможные сведения о гражданах.

Таким образом, даже если вы, например, всего лишь получаете паспортные реквизиты своих клиентов или создаете базу их телефонных номеров, вы обрабатываете личную информацию и признаетесь их оператором. Это значит, что вы обязаны под риском ответственности соблюдать требования, которые предъявляются к обработке личной информации.

Так, вы должны определить цель обработки и строго ей следовать, при необходимости получать согласие на обработку и уведомлять о ней Роскомнадзор, а также принимать меры по защите информации.

По общему правилу обрабатывать персональные данные гражданина можно лишь с его согласия (п. 1 ч. 1 ст. 6 закона о персональных данных). Причем субъект данных имеет право в любой момент такое согласие отозвать (тогда продолжать обрабатывать данные можно лишь в строго установленных законом случаях).

Согласие на действие с личными данными должно быть конкретным, информированным и сознательным. Обязанность доказать наличие такого согласия или обстоятельств, в силу которых это согласие не требуется, возлагается на оператора.

Из данной нормы видно, что действует презумпция отсутствия согласия у гражданина, поэтому разрешение не должно быть устным.

Самыми распространенными ситуациями, когда потребуется согласие на обработку персданных, это сбор данных (заявок) клиентов и прием новых сотрудников на работу (это включает в себя даже этап рассмотрения резюме, ведь там содержатся персональные данные).

Не требуется согласие на обработку персональных данных физического лица в случаях, приведенных в пп. 2—11 ч. 1 ст. 6 закона о персональных данных.

Так, согласие не потребуется, если обработка необходима:
1) для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем.

Например, если физическое лицо арендует у вас помещение или квартиру;
2) для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин.

Так, не требуется дополнительное согласие, если гражданин заказал доставку на дом, а его адрес необходимо уточнить;
3) для осуществления и выполнения функций, полномочий и обязанностей, которые возложены на вас законодательством. Например, если магазин уточняет у клиента адрес его электронной почты, чтобы направить ему электронный кассовый чек согласно закону № 54-ФЗ;

4) для осуществления прав и законных интересов либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, охранник может записывать данные посетителей бизнес-центра, не получая от них дополнительное письменное согласие.

Обработка персональных данных в 2022 году — новые правила

Сегодня практически любая компания осуществляет работу с персональными данными. Обычно для подобной обработки необходимо согласие в письменном виде.

Некоторые работодатели еще недавно игнорировали правила по обработке персональных данных сотрудников, поскольку штрафные санкции за подобные нарушения были небольшими.

Но с недавних пор все изменилось, и теперь за нарушение законодательных норм организация может понести убытки в виде денежного штрафа в несколько сотен тысяч рублей. 

Согласно закону о защите персональных данных, который вступил в силу в 2022 году, данные гражданина без наличия его согласия распространять запрещено.

Не разрешается передавать сведения человека, даже если он самостоятельно разместил их в сети интернет (пункт 1 статьи 10.1 ФЗ-№ 152).

В частности, в настоящее время введено определение «персональные данные, разрешенные для распространения» и утверждено, как именно эту информацию можно применять.

Читайте также:  Социальный вычет по НДФЛ можно будет получить в большем размере

Данными, не запрещенными к распространению, являются сведения, доступ к которым дан личным согласием гражданина для неограниченного круга лиц.

Вплоть до 1 марта прошлого года в согласии человека на обработку его данные не было необходимости, если он их разместил в сети по своему усмотрению.

Однако, бездействие гражданин не означает, что он согласен на распространение личной информации (пункт 5, 8-9 статьи 10.1 ФЗ-№152).

Изменения в правилах работы с персональными данными сотрудников в 2022 году

В 2022 году произошли законодательные изменения, которыми было утверждено, что согласие на обработку данных, разрешенных гражданином к передаче, необходимо оформлять отдельно от иных видов согласий.

То есть стандартного документа от работника уже недостаточно, для этого необходимо отдельное согласие, даже в том случае, если человек указал в стандартном документе, что он не против передачи его сведений другим лицам. 

Случаи, когда необходимо отдельное согласие физического лица:

  1. Организация занимается распространением данных неограниченному кругу лиц.
  2. Организация занимается передачей информации третьим лицам.

К примеру, если компания намерена разместить данные сотрудника на своем сайте, то ей необходимо получить у человека отдельное согласие на передачу такой информации.

Оформление согласия в 2022 году

Законом не определено специальных правил для оформления отдельного согласия на обработку личных сведений. Однако в данном документе необходимо прописать, какие именно данные человек не согласен передавать и куда, а какие из них согласен. Когда ситуация относительно согласия сотрудника не ясна, то его личные данные лучше не подвергать распространению (часть 4 статьи 10.1 ФЗ-№ 152).

Закон утверждает требования относительно содержания согласия на обработку данных человека, на которые дано его разрешение (Приказ Роскомнадзора № 18). 

Согласие должно быть составлено письменно и содержать:

  • данные физического лица, дающего согласие, то есть фамилия, имя, отчество, личный телефон, адрес и электронную почту;
  • данные организации, которая получает информацию о гражданине – ее наименование, юридический адрес, ЕГРЮЛ, ОГРН, ИНН;
  • цель для обработки сведений о физическом лице, к примеру, публикация данных на личном портале осуществляется для роста продаж и увеличения доверия клиентов;
  • группы и список данных, то есть человек обязан перечислить, какую именно информацию он разрешает или не разрешает обрабатывать;
  • период действия данного согласия, то есть временной интервал, когда действует настоящее согласие, дата начала и окончания;
  • название ресурса, где человек разрешает размещать личные данные с указанием конкретного раздела в случае, если сведения будут подвержены публикации.

С 1 июля 2021 года согласие на обработку личных данных физические лица могут направить посредством информационной системы Роскомнадзора. 

Прекращение распространения персональных данных в 2022 году

Согласно обновлению законодательства, в текущем году гражданин вправе в любой момент выдвинуть требование о прекращении обработки личных сведений, разрешение на которое было выдано им ранее (пункт 12 статьи 10.1 ФЗ-№152). В подобных ситуациях организация обязана прекратить распространение персональных данных немедленно, а действие согласия с этого момента прекращается.

Отказ гражданина должен быть оформлен в письменном виде, с указанием своих личных данных и списка той информации, передача которой должна быть прекращена.

Когда в оформлении отдельного согласия нет необходимости

Согласно общему порядку, передача и обработка личных сведений физического лица должно производиться исключительно с его согласия (пункт 1 часть 1 статьи 6 ФЗ-№152).

В 2022 году согласие работников на обработку личных сведений можно не брать в случае, если организация занимается обработкой этих данных и это прописано в трудовом договоре (пункт 5 часть 6 ФЗ-№152).

Работодателям необходимы данные сотрудников для начисления заработной платы, ведения кадровой документации и других видов отчетности.

Кроме того, разрешение на передачу личных данных сотрудников не требуется при передаче сведений в ФНС, ПФР, ФСС, военный комиссариат, судебным приставам, в прокуратуру и иные государственные ведомства.

Также можно направлять личную информацию сотрудников в финансовые учреждения для оформления зарплатных карт, если в нормативном акте об оплате труда прописано получение зарплаты на банковскую карту и факт согласия сотрудника.

Положение о персданных в 2022 году

Положение об обработки личных сведений сотрудников является внутренним документом, закрепляющим порядок, согласно которому производится хранение и распространение данных работников. Такой документ должен присутствовать у любой компании. 

Обработка сведений сотрудников разрешается с их согласия в письменном виде, кроме ситуаций, когда данный документ не требуется (статья 9 ФЗ-№152). Стоит отметить, что данное согласие не заменяет локального акта организации о перс. данных работников. Следовательно, положение о защите персональных данных сотрудников должно оформляться без их личного согласия.

Проверка правильности использования порядка взаимодействия с персональными данными граждан организации могут осуществить с помощью специальных чек-листов, которые размещены на портале Роскомнадзора в виде проверочных таблиц.

Порядок составления положения о персональных данных сотрудников в 2022 году

Законодательно не предусматривается определенной формы и содержания о работе с перс. данными сотрудников, поэтому следует придерживаться следующих пунктов:

  • Общие положения с указанием предмета утверждения, регулируемых аспектов и начала действия.
  • Указание всей информации, которую должен предоставить сотрудник для обработки личных сведений с указанием конкретных сроков предоставления данных.
  • Фиксирование периода хранения перс. данных работников и способы их защиты. Указание перечня лиц, имеющих доступ к этой информации и правила предоставленного доступа.
  • Предмет применения персональных данных и рамки их применения.
  • Указание правил, согласно которым возможно направлять информацию сотрудников по запросам ведомств, юридических и физических лиц.
  • Закрепление гарантии конфиденциальности перс. данных и их сохранность для работников с указанием их законных прав на случай неправомерного использования информации.

Нанимателю разрешается указывать другие положения в локальных документах организации, например, меры ответственности за нарушения порядка применения информации.

Работодатель не имеет права:

  1. Разглашать персональные данные сотрудника третьим лицам без наличия согласия работника в письменном виде, кроме ситуаций, когда данное действие необходимо во избежание угрозы здоровью и жизни человека.
  2. Передавать личные сведения сотрудника в коммерческих целях без его согласия в письменном виде.
  3. Направлять запросы о состоянии здоровья сотрудника, если это не предусмотрено родом профессиональной деятельности.
  4. Принимать и обрабатывать сведения сотрудника о его членстве в различных общественных организациях.

Наниматель обязан:

  1. В ходе принятия каких-либо решений, касающихся интересов сотрудника, работодатель обязан основываться на перс. данных работника, которые получено только путем автоматической обработки и получения в электронном виде.
  2. Выдавать доступ к личной информации сотрудников исключительно лицам, имеющим соответствующие полномочия, и только к тем сведениям, которые нужны для осуществления конкретной деятельности.
  3. При передаче персональных данных сотрудников предупреждать лиц, принимающих эту информацию, о применении этих данных исключительно в целях, в рамках которых информация предоставлена.

За неправомерные действия относительно использования информации личного характера законодательно предусматриваются разные типы ответственности, как для юридических, так и физических лиц.

Кроме того, в 2022 году произошло ужесточение административной ответственности, и сейчас утверждено семь составов неправомерных действий вместо действующего ранее одного, а денежный штраф достигает 75 тысяч рублей (статья 13.11 КоАП РФ).

Приказ Роскомнадзора от 24.02.2021 № 18

  • УтвержденыПриказом Федеральной службыпо надзору в сфере связи,информационных технологийи массовых коммуникаций
  • от 24 февраля 2021 года № 18
  • Согласие должно содержать следующую информацию:
  • 1) фамилия, имя, отчество (при наличии) субъекта персональных данных;
  • 2) контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);
  • 3) сведения об операторе-организации – наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
  • сведения об операторе – физическом лице – фамилия, имя, отчество (при наличии), место жительства или место пребывания;
  • сведения об операторе-гражданине, являющемся индивидуальным предпринимателем, – фамилия, имя, отчество (при наличии), идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
  • 4) сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;
  • 5) цель (цели) обработки персональных данных;
  • 6) категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:
  • персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
  • специальные категории персональных данных1 (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);

1 Статья 10 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

биометрические персональные данные2;

2 Статья 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

7) категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов3 (заполняется по желанию субъекта персональных данных);

3 Часть 9 статьи 10.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

8) условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных)4;

4 Часть 9 статьи 10.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

9) срок действия согласия.

Ссылка на основную публикацию
Adblock
detector