Требования к содержанию согласия на обработку персональных данных с 01.09.2021
С 01.03.2021 введено такое понятие, как персональные данные, разрешенные субъектом персональных данных для распространения (закон от 30.12.2020 № 519-ФЗ). Это персональные данные, к которым субъект (работник) дает доступ неограниченного круга лиц путем дачи оператору (работодателю) специального согласия на их обработку.
Это согласие нужно оформлять отдельно от других согласий на обработку персональных данных. При этом у работника должна быть возможность определить перечень таких сведений. Также он вправе установить запрет на передачу данных неограниченному кругу лиц.
Согласие может быть предоставлено оператору:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных — Роскомнадзора.
Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, установлены Роскомнадзором в приказе от 24.02.2021 № 18 (действует с 01.09.2021). Согласие должно содержать следующую информацию:
- Ф. И. О. субъекта персональных данных;
- контактную информацию субъекта: номер телефона, адрес электронной почты или почтовый адрес;
- сведения об операторе персданных;
Для оператора — организации это наименование, адрес, указанный в ЕГРЮЛ, ИНН, ОГРН (если он известен субъекту персональных данных), для физлица — Ф. И. О., место жительства или место пребывания, для ИП — Ф. И. О., ИНН, ОГРН. - сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными;
- цели обработки персданных;
- категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:
- персональные данные (Ф. И. О.), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
- специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
- биометрические персональные данные;
- категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;
- условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных;
- срок действия согласия.
Срок можно определить не только календарной датой или периодом времени, но и наступлением каких-то событий. К примеру, указать, что согласие действует до тех пор, пока субъект (работник, клиент и т. п.) его не отзовет (постановление АС Северо-Западного округа от 21.11.2017 № Ф07-11732/2017).
Образец согласия работника на обработку персональных данных, разрешенных им для распространения (с 1 сентября 2021 г.) вы можете бесплатно скачать в КонсультантПлюс. Пробный доступ к системе предоставляется бесплатно.
Чтобы упростить оформление таких согласий Роскомнадзор с 01.07.2021 запустил специальный сервис — конструктор, с помощью которого можно сделать шаблон формы согласия с учетом профессиональной специфики деятельности оператора.
Сформированный шаблон можно также направить в Роскомнадзор, он его рассмотрит и даст свои рекомендации по доработке и использованию.
Какие документы содержат персональные данные работников? Как получить и обрабатывать персданные? Какие документы о порядке обработки персональных данных должны быть в организации? Ответ на эти и другие вопросы о работе с персданными вы найдете в готовом решении от КонсультантПлюс. Пробный доступ к системе можно получить бесплатно.
Сбор персональных данных – теперь это мрак [обновлено]
Отчеты нужно предоставлять в Роскомнадзор вовремя, иначе накажут.
Начиная с 1 сентября 2022 года о сборе персональных данных нужно сообщать в Роскомнадзор. И не постфактум, а до начала их обработки. Думаете, вашу компанию это не касается? Еще как касается!
Ваша компания захотела провести электронный опрос покупателей (и те должны оставить ФИО и телефон/электронный адрес). Вы решили провести в онлайне конкурс с призами. Вы решили провести конференцию и собираете заявки…
Обо всем этом надо отчитываться. Причем до мероприятия!
И не важно, представляете ли вы компанию, являетесь индивидуальным предпринимателем, самозанятым или обычным гражданином – отчитываться должны все, кто намерен собирать и обрабатывать персональные данные.
Что, как и когда делать – подробно расписано в федеральном законе от 14.07.2022 №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Но, как обычно, там много букв на трудном языке, поэтому вот ответы на главные вопросы, которые появились у вас после прочтения первого абзаца и будут появляться дальше, пока вы не дочитаете статью.
Спойлер: все не так страшно, и TexTerra знает законный (хоть и странный) способ собирать данные и ни перед кем не отчитываться. Подойдет он не всем и не во всех случаях.
1. ФИО и номер телефона – это персональные данные?
ФИО пока не считаются персональными данными. Это одно из исключений, перечисленных во второй части статьи 22 Закона №152-ФЗ «О персональных данных». Но с 1 сентября 2022 года фамилия имя и отчество станут считаться персональными данными – их уберут из списка исключений.
Что касается телефонных номеров, то они были, есть и будут оставаться персональными данными, даже если больше никакими данными не сопровождаются. «Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 №152-ФЗ «О персональных данных»).
В Google и «Яндексе», соцсетях, рассылках, на видеоплатформах, у блогеров
2. Какие еще исключения?
Подотчетным является сбор персональных данных:
- в ходе трудовых отношений,
- при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
- уже упомянутых ФИО,
- даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
- для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).
По поводу последнего пункта (переписывание паспортных данных на проходной или охране) есть лазейка, о которой мы расскажем, отвечая на следующий вопрос.
3. То есть отчитываться должны все (вы обещали рассказать про лазейку)?
Не все, а только те, кто заносит данные в компьютер. Если вы записываете персональные данные в тетрадку или на листок (без использования средств автоматизации) и не намерены их куда-то после этого передавать, то слать отчеты в Роскомнадзор не нужно – такой подход не нарушает закон.
Передача персональных данных через форму обратной связи на сайте требует уведомления Роскомнадзора, а прямое переписывание их из документа в тетрадь – нет. Поэтому охранник, записывающий ваши данные от руки в тетрадь, ничего не нарушает, а тому, кто заносит их в компьютер без предварительного уведомления Роскомнадзора, грозит штраф.
4. Какой еще штраф? Сколько?
Не так уж много, как можно было бы подумать. Это может быть даже предупреждение. Согласно ст. 19.7 КоАП РФ, физических лиц могут оштрафовать на сумму от 100 до 300 рублей, должностных лиц (тех же охранников и вахтеров) – от 300 до 500 рублей, а юридическим лицам грозит штраф от 3 тысяч до 5 тысяч рублей.
Надо полагать, символические суммы рано или поздно изменятся, когда пройдет некий период привыкания.
5. Как уведомить Роскомнадзор о сборе и обработке персональных данных?
Делается это исключительно дистанционно и уведомлять нужно то подразделение Роскомнадзора, к которому вы относитесь территориально (ищите его здесь). То есть можно отправить уведомление по электронной почте, указанной в адресе подразделения, или на общий адрес rsoc_in@rkn.gov.ru, через портал госуслуг или отправив письмо Почтой России. Лично ходить не нужно – Роскомнадзор приостановил такой вид обращений до конца угрозы эпидемии коронавируса.
Уведомления нужно составлять и отправлять перед сбором и обработкой персональных данных для каждой цели отдельно. Для прохода через проходную – одно, а для участия в розыгрыше – еще одно, для приема на работу или заключения договора на оказание услуг – другое и так далее.
Ваша заявка принята.
Мы свяжемся с вами в ближайшее время.
6. Как составить уведомление?
Используйте фирменный бланк компании. Далее вам поможет список рекомендаций от Роскомнадзора по составлению и заполнению формы уведомления, утвержденной приказом Роскомнадзора от 30.05.2017 №94 в редакции от 30.10.2018 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
В уведомлениях нужно указывать:
- название компании или ФИО лица, собирающего данные,
- правовое основание обработки персональных данных (можно взять отсюда, но не используйте пункт 1),
- цель обработки персональных данных,
- категории персональных данных (помните, что фото и видео человека – тоже его персональные биометрические данные),
- категории субъектов, персональные данные которых обрабатываются (работник, абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и т.п.),
- перечень действий с персональными данными – неавтоматизированная, исключительно автоматизированная или смешанная обработка,
- описание мер защиты базы персональных данных от взлома или случайного проникновения в нее,
- дата начала обработки персональных данных (по факту, обработка начинается вместе с началом сбора данных),
- сроки и/или условия прекращения обработки данных,
- планируется или нет передача персональных данных за рубеж,
- местонахождение базы данных,
- сведения об обеспечении безопасности персональных данных.
7. Для чего Роскомнадзору нужны наши уведомления?
Вас внесут вот в этот реестр. Здесь же вас может найти любой желающий, кто решит проверить, на законных ли основаниях вы собираете персональные данные людей.
Нововведения от 1 марта 2023 года
Первое. Отправка персональных данных в другую страну (например, туроператорами при бронировании отеля, импортерами при заключении контрактов) является трансграничной передачей, и о ней теперь нужно уведомить Роскомнадзор в соответствии со ст. 12 закона № 152-ФЗ .
Роскомнадзор рассмотрит передачу в течение 10 дней и либо одобрит ее, либо запретит. Велика вероятность, что Роскомнадзор передачу данных запретит, если речь идет о стране без адекватной защиты данных (перечень стран с адекватной защитой вы найдете здесь). Чтобы увеличить шансы на получение разрешения, нужно получить от контрагента сведения по списку в п. 5 ст. 12 закона № 152-ФЗ, которые Роскомнадзор может затребовать.
Второе. Изменились сроки уведомления Роскомнадзора при изменениях у оператора персональных данных: наименования, адреса оператора, целей обработки персональных данных, составе персональных данных, о начале или прекращении трангсраничной передачи.
Если раньше об изменениях нужно было сообщать в Роскомнадзор в течение 10 рабочих дней с момента изменений, то с 1 марта 2023 года – до 15-го числа следующего месяца.
Третье. Изменилась форма уведомления об утечке персональных данных. С 1 марта 2023 года действует приказ Роскомнадзора от 14.11.2022 № 187, где расписано и то, какие сведения должны быть в первичном и дополнительном уведомлении по ч. 3.1 ст. 21 Закона № 152-ФЗ. Обновлённые формы размещены на официальном портале ПД.
Четвертое. Согласно приказу ФСБ России от 13.02.2023 № 77 сообщать о компьютерных инцидентах нужно непосредственно в НКЦКИ в течение 24 часов.
Пятое. Теперь оператор должен оценивать степень потенциального вреда субъекту персональных данных (п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ). Требования к оценке изложены в приказе Роскомнадзора от 27.10.2022 № 178.
Шестое. Оператор должен уничтожить персональные данные в трех случаях (ст. 21 закона № 152-ФЗ):
выявлен факт их неправомерной обработки,
цели, для которых собиралась личная информация, достигнуты,
отзыв согласия на обработку персональных данных.
Факт уничтожения персональных данных нужно подтвердить документами (приказ Роскомнадзора от 28.10.2022 № 179).
Седьмое. До 2030 года действует мораторий на плановые надзорные мероприятия, но при утечках персональных данных мораторий не действует и Роскомнадзор придет с внеплановой проверкой.
Вывод
В общем все, кто собирает персональные данные и заносит их в компьютер, должны отсылать уведомления в Роскомнадзор до начала сбора данных.
Исключением же стала только бумага, на которой можно на законных основаниях записывать любые персональные данные людей и составлять любые договоры (только без занесения данных в компьютер).
Согласие на обработку персональных данных в 2023 году
С 2023 года ужесточается законодательство о контроле за распространением персональных данных работников. Составленные ранее согласия можно сохранить, но нужно подписать еще одно, новое согласие на распространение персданных.
По новым требованиям Роскомнадзора, которые утверждены Приказом от 28.10.2022 № 180, операторы обязаны уведомлять ведомство о работе с персональными данными, а это многие работодатели и почти все фирмы, которые занимаются торговлей.
Это не нужно делать в том случае, когда речь идет о защите безопасности государства, общественного порядка, безопасности на транспорте, и если оператор обрабатывает данные в ручном режиме.
Роскомнадзор приказом от 28.10.2022 № 180 утвердил несколько форм уведомлений:
- Уведомление о намерении осуществлять обработку персональных данных. Приложение №1. Скачать уведомление
- Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных. Приложение №2. Скачать уведомление
- Уведомление о прекращении обработки персональных данных. Приложение №3. Скачать уведомление
Теперь согласие на обработку персональных данных и согласие на распространение данных — разные документы.
Согласие на обработку персональных данных не дает права компании передавать куда-либо данные работника или клиента. А, они могут понадобится, например, для курьерской службы, если компания обеспечивает доставку товаров через третье лицо.
Чтобы иметь право передать персональные данные у их владельца нужно получить отдельное письменное согласие. Включить такой пункт в согласие об обработке персональных данных нельзя.
Электронный реестр персданных
Минцифры начинает формировать электронный реестр персональных данных, который будет размещен на Госуслугах.
Любой человек сможет зайти на Госуслуги и проверить, кому и какие личные данные передал и кто получил от него согласие на обработку такой информации. Там же будет реализована возможность отзывать свое согласие.
Что указать в согласии на обработку и распространение персональных данных в 2023 году
Согласие на обработку должно быть конкретным, информированным, сознательным, предметным и однозначным.
В нем нужно четко указать цель обработки, перечень данных, и оператора обработки (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ).
Если будете собирать биометрические данные сотрудников, именно их и нужно указать в согласии. Имейте в виду, работник может отказаться от передачи биометрии, и вы не вправе уволить его за это или не пропускать в офис на работу (ст. 11 Федерального закона от 17.07.2006 № 152-ФЗ).
Мы пишем полезные статьи, чтобы помочь вам разобраться в сложных проблемах бухучета, переводим сложные документы «с чиновничьего на русский». Вы можете помочь нам в этом. Это легко.
*Нажимая кнопку отплатить вы совершаете добровольное пожертвование
Перечень персональных данных на обработку которых дается согласие
Памятка операторам обработки персональных данных о форме, способах и механизмах получения согласия на обработку персональных данных
ПАМЯТКА
ОПЕРАТОРАМ ПЕРСОНАЛЬНЫХ ДАННЫХ О ФОРМЕ, СПОСОБАХ И МЕХАНИЗМАХ ПОЛУЧЕНИЯ СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Согласно ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федерального закона) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных настоящим Федеральным законом.
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона, возлагается на оператора.
В случаях, предусмотренных Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом электронной подписью.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Время публикации: 14.06.2017 11:18
Последнее изменение: 14.06.2017 11:17