Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?
Руководитель группы консалтинга Центра информационной безопасности компании «Инфосистемы Джет»
специально для ГАРАНТ.РУ
Последние несколько лет по всему миру наблюдается тенденция к увеличению штрафных санкций за несоответствие требованиям законодательства в области обработки и защиты персональных данных. Например, с 2 декабря 2019 года в России был введен один из самых крупных штрафов в этой сфере – за нарушение требований к локализации баз данных при первичном сборе персональных данных (ч. 8-9 ст. 13.11 КоАП). Его размеры для компаний варьируются от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. при повторном. Существенно возросли штрафы и в Евросоюзе, где последние два года действует Общий регламент по защите данных (General Data Protection Regulation, GDPR), который пришел на смену ранее принятой директиве о защите данных. Так, согласно статистике, опубликованной на сайте www.itpro.co.uk, общая сумма штрафов для компаний, работающих на территории ЕС, за несоответствия требованиям GDPR с начала года составила 68 млн евро. Более 66% этой суммы пришлось на компании из Италии, где было зафиксировано 13 случаев нарушения регламента.
Неудивительно, что вопросы выполнения требований в части обработки и защиты персональных данных неизменно остаются одними из самых важных для компаний. В колонке я выделю ключевые нарушения, которые допускаются при обработке персональных данных в России, и поделюсь рекомендациями, как их избежать.
Что нужно знать о сборе персональных данных, чтобы не нарушить закон?
Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:
До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки. С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.
Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется. Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.
Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (подп. 1 п. 2 ст. 10 Закона № 152-ФЗ), специальных категорий персональных данных (п. 1 ст. 11 Закона № 152-ФЗ) и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.
По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы:
| Конклюдентное согласие | Согласие в письменной форме | Иные формы согласия | |
| + | Легко получить (за исключением случаев, когда нужно согласие в письменной форме) | При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства | Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме) |
| – | Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ |
.jpg)
Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных
Обзор документа | Руководитель | А.Ю. Липов |
Зарегистрировано в Минюсте РФ 21 апреля 2021 г.
Утверждены
приказом Федеральной службы по
надзору в сфере связи,
информационных технологий
и массовых коммуникаций
от 24.07.2021 г. N 18
Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения
Согласие должно содержать следующую информацию:
1) фамилия, имя, отчество (при наличии) субъекта персональных данных;
2) контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);
4) сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;
5) цель (цели) обработки персональных данных;
6) категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:
персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
специальные категории персональных данных 1 (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
биометрические персональные данные 2 ;
7) категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов 3 (заполняется по желанию субъекта персональных данных);
8) условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных) 4 ;
9) срок действия согласия.
1 Статья 10 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
2 Статья 11 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
3 Часть 9 статьи 10.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
4 Часть 9 статьи 10.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
Обзор документа
Роскомнадзор определил требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Законодательные нормы об установлении таких требований действуют с 1 марта 2021 г.
Указываются в т. ч. цели обработки персональных данных, срок действия согласия, сведения об информресурсах оператора, через которые будет предоставляться доступ к данным и выполняться иные действия с ними.
Приказ вступает в силу с 1 сентября 2021 г. и действует до 1 сентября 2027 г.
Можно ли заполнить согласие на обработку персональных данных на компьютере
(1).jpg)
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
В какой форме должно быть выражено согласие субъекта на обработку его персональных данных, сбор которых осуществляется на интернет-сайте? Возможно ли использование в дальнейшем персональных данных, полученных оператором при проведении определенной акции?
Рассмотрев вопрос, мы пришли к следующему выводу:
По общему правилу согласие субъекта на обработку его персональных данных может быть выражено путем выставления соответствующей отметки в форме (анкете), размещенной на интернет-сайте.
Вопрос о возможности использования в дальнейшем персональных данных, полученных оператором при проведении определенной акции, зависит от того, была ли эта цель определена при сборе данных.
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Акимочкин Дмитрий
Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Барсегян Артем
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.
© ООО «НПП «ГАРАНТ-СЕРВИС», 2021. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.
Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.
Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.
ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, info@garant.ru.
8-800-200-88-88
(бесплатный междугородный звонок)
Редакция: +7 (495) 647-62-38 (доб. 3145), editor@garant.ru
Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), adv@garant.ru. Реклама на портале. Медиакит
Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter
Как оформить согласие на обработку персональных данных субъекта
Личную информацию человека можно использовать только после его разрешения. JCat.Работа поможет разобраться, как получить и оформить согласие сотрудников на обработку их персональных данных.
Чтобы понять, как работать с документом, важно знать, какие данные считаются персональными и, соответственно, требуют особого внимания к ним.
На законодательном уровне есть несколько определений этого понятия, но конкретного списка нет ни в одном документе. Это одновременно оставляет пространство для объяснения термина и становится причиной разногласий главного кандидата на должность и специалистов кадровой службы.
Какие данные относятся к персональным?
Все правила обращения с личной информацией регулирует Федеральный закон №152-ФЗ «О персональных данных». Согласно статье 3 этого закона, персональными данными можно назвать любую информацию, которая касается непосредственно физического лица — субъекта этих данных. К информации личного характера следует отнести все паспортные данные: Ф. И. О., дату и место рождения, возраст, место проживания, семейный статус.
В этом же законе есть статья 10, которая вносит в список персональной информации подробности о расе, национальности, моральных убеждениях человека, личной жизни, а также сведения о его здоровье.
В статье 11 понятие «персональные данные» расширяется: под термином понимают любые сведения, фото- или видеоматериалы, по которым можно определить личность человека.
Чтобы предупредить неправомерные действия, личная информация каждого человека должна надежно сохраняться. Многие люди бережно относятся к сведениям о себе, и это оправдано. Поэтому, согласно действующим законам РФ, нельзя обрабатывать личную информацию без согласия субъекта (в некоторых случаях — письменного).
Как происходит обработка персональных данных?
Понятие «обработка» подразумевает все действия, которые происходят с данными, начиная с момента их сбора. Передача, запись, распределение, хранение, применение, удаление — эти и многие другие действия входят в понятие «обработка персональных данных».
Все в том же законе №152-ФЗ указано, что обработка персональной информации должна происходить с соблюдением основных принципов:
Когда необходимо подписать согласие на обработку данных работника?
Получение согласия на обработку персональных данных необходимо в любом случае, когда заинтересованная сторона планирует собирать личную информацию о будущем сотруднике. Субъект должен подтвердить, что он не против, чтобы с этой информацией проводили определенные манипуляции и использовали ее в конкретных целях. Чаще всего в рамках организации речь идет о трудоустройстве на работу. Письменное согласие заявителя на обработку персональных данных — обязательный атрибут комплекта документов будущего сотрудника.
Что делать, если работник отказывается подписывать документ?
Предоставление согласия на обработку персональных данных должно быть абсолютно добровольным. Это означает, что у работодателя нет права заставить человека подписать документ. В практике сотрудников кадровой службы могут встретиться люди, которые будут настороженно относиться к документу или даже откажутся его подписывать. Но отказ будущего работника подписывать соглашение в большинстве случаев связан с непониманием цели обработки его данных.
В таком случае важно объяснить человеку, что его личную информацию, согласно закону, будут использовать исключительно в служебных целях. Кроме того, этот документ создан для того, чтобы защищать права субъекта персональных данных. Это тоже важно донести до потенциального работника. Если на момент подписания согласия трудовой договор между работодателем и будущим работником еще не подписан, это может повлечь за собой потерю рабочего места.
В каких случаях не нужно оформлять согласие?
Сотрудник может не подписывать документ только в том случае, если он уже работает в компании. Тогда обработка его данных возможна, но только в целях выполнения условий трудового договора.
В некоторых случаях прибегают к обработке, в частности, к передаче данных без согласия субъекта. Например, если эти действия нужны для предотвращения угрозы здоровью или жизни сотрудника, или их передают по требованию уполномоченных органов, в его разрешении нет необходимости.
Как уведомить Роскомнадзор?
О намерении произвести обработку персональных данных нужно уведомить Роскомнадзор. Этот уполномоченный орган защищает права их владельцев.
Чтобы подать уведомление в Федеральную службу, специальную электронную форму необходимо заполнить и отправить любым удобным способом из указанных на портале Роскомнадзора.
После отправки документа в информационную систему службы его нужно напечатать на фирменном бланке организации, затем внимательно заполнить и направить в Управление Роскомнадзора по Центральному федеральному округу. В течение 15 дней после этого сотрудники органа озвучат решение о включении оператора в соответствующий реестр.
Ответственность за несоблюдение условий соглашения
В тексте согласия точно указывается цель обработки личных данных. «Отклоняться» от нее запрещено. В случае, если работодатель превысит свои полномочия, его может ожидать дисциплинарная, административная и даже уголовная ответственность.
Чтобы защитить свои интересы, будущий сотрудник может воспользоваться услугами юриста, прежде чем подписать форму соглашения. Специалист поможет проанализировать правомерность действий работодателя, правильность составления согласия и объем данных, которые нужно предоставить сотруднику при поступлении на работу. Например, информация о состоянии здоровья и пребывании в местах лишения свободы нужна только для определенного ряда специальностей.
Образец заполнения бланка
Согласие на обработку персональных данных — это документ свободной формы, поэтому в каждой организации разрабатывают подходящий вариант шаблона. Но условия согласия на обработку персональных данных говорят о том, что в документе обязательно должна быть такая информация:
В документе обязательно должно быть указано, что он подписан добровольно. Это подтверждает подпись будущего сотрудника.
Работодатель может найти на просторах интернета готовый бланк согласия и адаптировать его под свою организацию (рис. 1).
Рисунок 1. Заявление согласие на обработку персональных данных (образец).
Согласие на обработку персональных данных — это важный документ, который защищает сотрудника и его права на неприкосновенность личной информации. Ее применение возможно только в корпоративных целях для выполнения условий трудового договора. Сотрудникам отдела кадров важно объяснять это человеку во время его оформления на работу, а не просто «подкладывать» документ для подписи. При внимательном отношении и понятном объяснении целей подписания бумаг у будущего работника не появится мыслей об отказе.
Согласие на обработку персональных данных: новые требования с 1 сентября 2021 года
Осенью вступает в силу Приказ Роскомнадзора, устанавливающий требования к содержанию согласия на обработку персональных данных, которые субъект данных разрешает распространять. Срок действия приказа — до 1 сентября 2027 года.
Последние значительные изменения в Федеральном законе от 27.07.2006 № 152-ФЗ начали действовать с 1 марта 2021 года. Они были внесены Федеральным законом от 30.12.2020 № 519-ФЗ и затронули вопрос предоставления доступа к данным субъекта через согласие на обработку таких данных. Поправки были инициированы с целью решить проблему бесконтрольного использования персональных данных граждан третьими лицами.
В законе подчеркивается, что согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно. А молчание или бездействие владельца данных ни при каких обстоятельствах не может восприниматься как согласие на их обработку.
В согласии на обработку данных, разрешенных для распространения, можно установить запреты:
Распространение персональных данных должно быть приостановлено в любое время по требованию субъекта, даже если ранее он дал на это согласие.
В п. 9 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ уточняется, что требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, устанавливаются Роскомнадзором. Эти требования ведомство прописало в Приказе от 24.02.2021 № 18, который вступает в силу с 1 сентября 2021 года.
Требования к сведениям, которые должны быть в согласии
В Приказе приводится перечень обязательных сведений субъекта персональных данных, которые должны содержаться в согласии на обработку:
По желанию субъекта персональных данных заполняется следующая информация:
Шаблон согласия на обработку ПД, разрешенных для распространения
Роскомнадзор решил помочь бизнесу и разработал специальный конструктор для формирования шаблона согласия. Рекомендуемый документ соответствует всем необходимым требованиям и учитывает особенности деятельности конкретного оператора.
Конструктор создавался с учетом правоприменительной практики и обращений операторов по оформлению согласия на обработку персональных данных, разрешенных для распространения.
Сервис Роскомнадзора предлагает заполнить поля, после этого шаблон рассматривается экспертами ведомства. При необходимости оператору даются рекомендации по доработке документа. Результаты проверки отправляются на электронный адрес, указанный в форме.
В дальнейшем оператор может использовать проверенную форму согласия в своей работе.
В шаблон согласия на обработку персональных данных от Роскомнадзора учитываются все сведения, указанные как обязательные в Приказе от 24.02.2021 № 18:
Напомним, что с 27 марта заметно выросли штрафы за нарушения в работе с персональными данными (Федеральный закон от 24.02.2021 № 19-ФЗ).
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.