Какие согласия на обработку персональных данных вам действительно нужны. практическое руководство

Опубликовано: Подсказки бухгалтеру
Как выполнить 152-фз о защите персональных данных и что с вами будет, если его не соблюдать

В каких случаях нужно уведомить Роскомнадзор

ФИО, адрес, телефон, паспортные данные и другие сведения о физическом лице — эта информация относится к персональным данным. А организации и ИП, которым сообщают такие данные — операторы персональных данных, которые эти данные обрабатывают.
Поэтому любая компания, имеющая такие данные о своих работниках, клиентах или покупателях является оператором персональных данных.

Организация или ИП вправе осуществлять обработку персональных данных физического лица с его письменного согласия либо без согласия в установленных законом случаях. Исчерпывающий перечень таких случаев содержится в п.2—11 ч.1 ст.6 Закона о персональных данных.

При этом, до начала обработки персональных данных организация обязана сообщить об этом в Роскомнадзор, за исключением установленных законом случаев. С 1 сентября исключений почти не останется (ст.22 Закона № 152 ФЗ).

Сообщать об обработке персональных данных будет необходимо даже в том случае, если организация или ИП становится обладателем информации только о фамилии, имени и отчестве физического лица. Например, при оформлении дисконтных карт клиентов. Кроме того, если раньше не требовалось подавать уведомление, когда персональные данные собирались для однократного пропуска на ее территорию, то с 1 сентября это нужно будет делать.

Но самый распространенный повод для уведомления — обработка персональных данных работников. Т.е. ВСЕМ работодателям необходимо сообщить в Роскомнадзор об обработке персональных данных работников.

В новой редакции Закона № 152-ФЗ предусмотрено всего три ситуации, когда обрабатывать данные можно без уведомления Роскомнадзора:

  1. Работа государственных информационных систем по охране безопасности и общественного порядка.
  2. Обработка персональных данных без каких-либо средств автоматизации.
  3. Обработка персональных данных в случаях, предусмотренных законодательством о транспортной безопасности.

Однако, данные ситуации достаточно редки и большинству компаний при сборе персональных данных придется уведомлять Роскомнадзор.

Обратите внимание! Действие Закона № 152-ФЗ распространяется также на иностранных юридических и физических лиц, если они обрабатывают персональные данные граждан РФ:

  • на основании договора или соглашения, стороной которого является гражданин России;
  • или на основании согласия такого гражданина на обработку его персональных данных.

Ответственность за разглашение персональных данных

За разглашение персональных данных 137 ук рф устанавливает несколько видов наказаний.

Сбор и распространение данных о частной жизни без согласия на это лица может наказываться:

  • Штраф до 200 тыс. р.;
  • Зарплата или другой доход за 18 месяцев;
  • Обязательные работы до 360 часов;
  • Исправительные работы до 1 года;
  • Принудительные работы до 2 лет с лишением возможности занимать конкретные должности на срок до 3 лет;
  • Арест до 4 месяцев;
  • Лишение свободы до 2 лет с лишением возможности занимать должность на срок до 3 лет.

Если нарушение было произведено с использованием служебного положения:

  • Штраф от 100 тыс. до 300 тыс. р.;
  • Зарплата или другой доход от 1 до 2 лет;
  • Лишение права находиться на должности в период от 2 до 5 лет;
  • Принудительные работы до 4 лет с лишением возможности занимать конкретные должности на период до 5 лет;
  • Арест до 6 месяцев;
  • Лишение свободы до 4 лет с лишением возможности занимать должность на период до 5 лет.

Персональные данные — что к ним относится

Положения нормативных актов к персональным данным относят следующую информацию о работнике:

  • Указанные полностью Ф.И.О.
  • Сведение о том, где и когда родился сотрудник компании.
  • Адрес, по которому он фактически проживает, а также тот, который указан в паспорте или ином подобном документе.
  • Номер контактного телефона, электронной почты.
  • Положение работника в семье, в обществе.
  • Внешние данные работающего на предприятии, его пол.
  • Наличие у сотрудника имущества.
  • Имеющееся у работника образование, полученная им профессия, квалификация или специализация.
  • Сведения об имеющихся у сотрудника доходов.
  • Состояние здоровья сотрудника.
  • И другая информация, признаваемая персональной в соответствии с законами или внутренними нормативными актами предприятия.

Перечень информации, признаваемой персональной является открытым, его можно дополнять.

Внимание! Существует информация, которая никогда не должна запрашиваться у работника, даже если он дает на нее согласие, так как она входит в его личную жизнь. Примером таким данных могут выступать сведения о национальности или вероисповедании сотрудника.

Кому можно давать свои персональные данные?

Бесконтрольный сбор и распространение информации о поведении пользователей на сайтах в Глобальной сети привели к необходимости регламентирования со стороны государства. Поэтому любой оператор, получающий личные данные, не имеет права их распространять или размещать в публичном доступе. Для любых действий над ними придётся получить информированное согласие у пользователя. 

С первого марта 2021 года, когда в силу вступили изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», было введено такое понятие, как «персональные данные, разрешённые для распространения». И теперь, для придания огласке любой личной информации, необходимо получить не только разрешение на обработку персональных данных, но и отдельно согласовать возможность их распространения. 

Любые формы молчания или бездействия субъекта персональных данных не могут трактоваться оператором в качестве согласия. Достаточным подтверждением выступает письменное разрешение с личной подписью или оформление соответствующих документов в информационной системе Роскомнадзора.

Любой пользователь вправе отозвать любые разрешения на сбор, хранение и обработку персональных данных. Оператор обязан прекратить любые работы по требованию владельца. Для этого потребуется написать письменное заявление об отзыве согласия. Обработку данных при этом придётся остановить в течение трех рабочих дней с момента получения соответствующего заявления. 

Главная проблема обработки персональных данных коммерческими компаниями заключается в том, что заключение договора на оказание услуг всегда включает в себя и право на обработку персональных данных. То есть вступить в финансовые отношения, для получения товаров или услуг, фактически невозможно без предоставления информированного согласия на обработку личной информации. 

Таким же образом работает закон и в случае продажи товаров по публичной оферте. Продавец заключает договор купли-продажи со своими клиентами. В его состав входит и разрешение на обработку персональных данных. Поэтому любые коммерческие операции включают в себя предоставление согласия на обработку личной информации.

Во всем мире есть законы о защите личных данных
Во всем мире есть законы о защите личных данных

В качестве совета можно предложить обращаться к услугам только проверенных брендов, обладающих крепкой репутацией, подтверждённой годами успешной и качественной работы.

Отследить ресурсы, которые занимаются сбором и распространением личной информации и используют её для достижения собственных целей, достаточно сложно. Потому что каждый пользователь раздаёт разрешения практически на каждом сайте, на котором он проходит процессы регистрации и авторизации. Тем не менее, владельцы сайтов имеют право использовать персональные данные, полученные с вашего согласия, для формирования и рассылки рекламных материалов, в том случае, если соответствующий пункт содержался в подписанном соглашении. 

В каких случаях требуется

Оператору ПД (банку) нужно письменное разрешение на получение, хранение и передачу информации о физлицах во всех случаях, если законом не предусмотрено иное.

Таблица 1. Когда не нужно согласие

Норма Примечание
Заключение договора, стороной которого выступает источник ПД, в т.ч. публичной оферты. Но предшествующий сбор и использование информации требуют разрешения, речь идет именно об этапе подписания соглашения.
При защите здоровья, жизни и т.п. Не входит интернет-обслуживание.
В сфере связи — доставка почты, операторы электросвязи.
В отношении опубликования информации, в которой фигурируют госслужащие, кандидаты на муниципальные и государственные должности.

На заметку! Оператор — физическое или юридическое лицо, которое осуществляет обработку сведений о людях и формирует цели такой деятельности. Запрещена ОПД, если она не соответствует задаче сбора информации.

За несовершеннолетнего гражданина разрешение дают родители или уполномоченные опекуны. За умершего согласие предоставляют наследники.

Может ли работник отозвать свое согласие

Да, может, в любое время. Это право не может быть ограничено каким-то соглашением сторон или локальным актом. В случае отзыва согласия, работодатель прекращает работу с данными в течение 30 дней. Порядок отзыва обычно определяется в согласии на обработку или в политике в отношении обработки ПД.

Но есть и нюансы. В случае отзыва согласия работодатель вправе продолжить обработку данных, которые необходимы для исполнения обязанностей, предусмотренных Трудовым кодексом и трудовым договором с работником.

По теме: Как работать с сотрудниками, чтобы не провалить цифровую трансформацию 

Как происходит обработка персональных данных?

Понятие «обработка» подразумевает все действия, которые происходят с данными, начиная с момента их сбора. Передача, запись, распределение, хранение, применение, удаление — эти и многие другие действия входят в понятие «обработка персональных данных».

Все в том же законе №152-ФЗ указано, что обработка персональной информации должна происходить с соблюдением основных принципов:

  • соблюдение требований актуального законодательства;
  • цель обработки необходимо определить и озвучить субъекту заранее;
  • собирать и обрабатывать можно только информацию, которая соответствуют указанной цели;
  • оператор обязан обеспечить точность данных, предупредить их искажение, а ответственные лица должны периодически следить за актуальностью информации;
  • после достижения финальной цели данные нужно уничтожить.

В 2023 году

С 01.03.2023 г. вступят в силу дополнительные требования, внесенные Федеральным законом № 266-ФЗ.

16. Уведомить Роскомнадзор о трансграничной передаче

Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан будет уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных. Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. В ст. 12 будут указаны требования к уведомлению.

Оператор до подачи уведомления обязан будет получить от иностранных лиц следующие сведения:

  • сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
  • информацию о правовом регулировании в области персональных данных иностранного государства и т.д. Решение о запрещении или об ограничении трансграничной передачи персональных данных будет принято Роскомнадзором по результатам рассмотрения уведомления.

17. Провести оценку вреда по новым требованиям

Ожидается издание нормативно-правового акта, определяющего оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона (ст. 18.1).

18. Разработать регламент уничтожения скомпрометированных персональных данных

Ожидается утверждение документа, определяющего требования к подтверждению уничтожения персональных данных, скомпрометированных в результате инцидентов (ст. 21).

19. Периодически проверять актуальность сведений в уведомлении

В случае изменения сведений, указанных в уведомлении, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан будет уведомить Роскомнадзор обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан будет уведомить об этом в течение 10 рабочих дней с даты прекращения обработки персональных данных (ст. 22).

20. Актуализировать регламент реагирования на инциденты

Ожидается издание порядка, определяющего условия взаимодействия регуляторов с операторами в рамках ведения реестра инцидентов (ст. 23).

При отказе подписывать

Законом определены: цель, условия и круг субъектов ОПД. Если предусмотрена необходимость в ОПД, то эта деятельность будет осуществлена даже при отказе в заполнении бланка. Например, согласно п. 5 ст. 6 закона № 152-ФЗ, работодатель будет отправлять персонифицированную отчетность о штате в ПФР, ИФНС, военкоматы и другие госорганы, независимо от желания сотрудника, так как иначе он не выполнит обязанности, возложенные Правительством России.

Фото: Christopher Hoffmann

Обязательно предоставляются, независимо от согласия, данные в целях защиты:

  • основ конституционного строя;
  • нравственности, здоровья, прав и законных интересов других лиц;
  • обеспечения обороны и безопасности государства.

С точки зрения физлица, отказ для него последствий не имеет:

  • не предусмотрена дисциплинарная или административная ответственность;
  • неподписание формы согласия не является причиной для прекращения или незаключения трудового или гражданско-правового договора.

Зато банк, как оператор информации, будет оштрафован, если нарушит законодательство о ПД.

Согласие на обработку персональных данных без их распространения

С 1 марта 2021 года законодательство о защите персональных данных предусматривает необходимость получать у субъекта персональных данных разные согласия на их обработку в зависимости от того, планируется ли распространять такие данные среди неограниченного круга лиц или нет. Соответственно, субъект персональных данных может дать как простое согласие на обработку персональных данных, так и согласие на распространение персональных данных. Напомним, что под обработкой персональных данных подразумевается любое действие с ними, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

Ниже рассмотрим порядок оформления и требования к содержанию простого согласия на обработку персональных данных без их распространения.

Содержание согласия на обработку персональных данных

Согласие на обработку персональных данных без их последующего распространения среди неограниченного круга лиц должно содержать следующие сведения (ч. 4 ст. 9 Закона № 152-ФЗ):

  • фамилию, имя, отчество субъекта персональных данных;
  • адрес субъекта персональных данных;
  • номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представителя субъекта персональных данных;
  • номер основного документа, удостоверяющего личность представителя субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись субъекта персональных данных.

Оформление согласия на обработку персональных данных

Действующее законодательство содержит перечень случаев, в которых согласие на обработку персональных данных обязательно должно быть оформлено в письменной форме. В частности, получить письменное согласие необходимо:

  • при обработке биометрических персональных данных (ч. 1 ст. 11 Закона № 152-ФЗ);
  • при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона № 152-ФЗ);
  • при принятии решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего его права и законные интересы (ч. 2 ст. 16 Закона № 152-ФЗ);
  • и т.д.

Если для конкретной ситуации законом предусмотрена необходимость оформления согласия на обработку персональных данных в письменной форме с личной подписью субъекта персональных данных, его следует оформить письменно. Кроме того, согласие может быть оформлено в виде электронного документа. В этом случае для его подписания понадобится электронная подпись (ч. 4 ст. 9 Закона № 152-ФЗ). Если письменная форма согласия законом не предусмотрена, оно может быть оформлено другими способами, например, путем проставления субъектом персональных данных отметки в соответствующем поле при заполнении данных на сайте. Заверять такое согласие электронной подписью не требуется.

Однако даже если закон не предусматривает обязательного письменного согласия на обработку персональных данных сотрудника, рекомендуется по возможности оформлять его письменно. В случае возникновения претензий со стороны работника такой документ может подтвердить право работодателя на обработку данных. Дело в том, что согласно ч. 3 ст. 9 Закона № 152-ФЗ доказывать наличие согласия должен именно оператор персональных данных, то есть работодатель. При отсутствии доказательств закон будет на стороне работника.

Новые требования к содержанию уведомления о персональных данных в Роскомнадзор

С 1 сентября для каждой цели обработки данных в уведомлении нужно будет указать:

  • категории персональных данных (общедоступные; биометрические; специальные; иные);
  • категории субъектов, персональные данные которых обрабатываются (например, работники компании; кандидаты на работу, направившие резюме при устройстве на работу; физические лица, с которыми заключены договоры гражданско-правового характера (ГПХ); клиенты; посетители и др.);
  • правовое основание обработки персональных данных (указываются соответствующие статьи, дата принятия и номер закона или иного нормативно-правового акта, регулирующего осуществляемый вид деятельности и касающегося обработки персональных данных: например, статьи 86-90 Трудового кодекса РФ; ст. 53 Федерального закона от 07.07.2003 № 126-ФЗ «О связи и др.);
  • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.

К действиям с персональными данными относятся, в частности: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование и др.

К способам обработки относятся: неавтоматизированная обработка персональных данных, исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных.

Также в уведомлении нужно будет указать ФИО физического лица или наименование юридического лица, которые имеют доступ и (или) осуществляют на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.

Ответственность за несоблюдение условий соглашения

В тексте согласия точно указывается цель обработки личных данных. «Отклоняться» от нее запрещено. В случае, если работодатель превысит свои полномочия, его может ожидать дисциплинарная, административная и даже уголовная ответственность.

Чтобы защитить свои интересы, будущий сотрудник может воспользоваться услугами юриста, прежде чем подписать форму соглашения. Специалист поможет проанализировать правомерность действий работодателя, правильность составления согласия и объем данных, которые нужно предоставить сотруднику при поступлении на работу. Например, информация о состоянии здоровья и пребывании в местах лишения свободы нужна только для определенного ряда специальностей. 

Можно ли отменить или аннулировать соглашение

Со временем у гражданина может возникнуть ситуация, при которой он против, чтобы производилось использование ранее им переданных данных. При этом нужно обязательно выяснить, производил ли он подписание письменного соглашения на их обработку.

Если нет — то он должен обращаться в суд, поскольку был нарушен закон о неприкосновенности личной жизни. Если же согласие на обработку данных он давал, то нужно произвести его отзыв.

Внимание! Заявление на отзыв нужно составлять в двух копиях. Одна остается у оператора, у которого отзывается разрешение, а на второй нужно попросить поставить отметку о получении запроса

По закону, в течение оговоренного срока получатель заявления должен письменно ответить на него.

Если заявление на отзыв отправляется по почте, то делать это желательно заказным письмом как по фактическому, так и по юридическому адресам.

Производить отзыв рекомендуется в следующих случаях:

  • После выплаты кредита банку;
  • После пользования услугами организаций, в которых для их получения необходимо было сообщать сведения о себе;
  • При переводе ребенка в другую школу;
  • При смене места работы;
  • При завершении лечения в медицинских центрах.

Важно! После получения документа на отзыв, оператор должен перестать использовать личные данные гражданина, и при возможности произвести их уничтожение.

Когда можно использовать мультисогласие

Получения мультисогласия возможно только в случаях, когда обработка персональных данных не подпадает под обязательное требование получения письменной формы Согласия

Важно учесть, что согласие по закону должно быть конкретным, предметным, информированным, осознанным и однозначным. Поэтому, если в Согласии необходимо указать несколько целей обработки, рекомендуется руководствоваться принципом однородности в отношении включаемых целей и объёма обрабатываемых личных данных

Рассмотрим ситуацию на примере обработки персональных данных на сайте компании.

При получении информации через веб-ресурс возможно использование мультисогласия, так как:

  • для данной ситуации не требуется оформление письменной формы;
  • можно определить однородные цели, для которых объём обрабатываемых данных примерно одинаков. К этим целям можно, в частности, отнести: оказание информационно-консультационных и иных услуг в соответствии с деятельностью оператора; включение в члены сообщества; регистрация на мероприятия; осуществление обратной связи; осуществление заочных опросов с целью изучения мнения об оказанных услугах; сбор статистической информации о пользователях с использованием метрической программы Яндекс.Метрика; информационная рассылка.

Несмотря на то что объём обрабатываемых данных для каждой указанной цели будет примерно одинаков, в Согласии лучше указать категории данных по отношению к каждой цели – это увеличит соответствие Согласия принципам конкретности и однозначности.

Однако включить в мультисогласие на сайте цели, связанные с распространением персональных данных, не получится, поскольку:

  • при использовании общедоступных источников информации (например, телефонных справочников или адресных книг) требуется получение письменного Согласия;
  • при распространении персональных данных в сети Интернет на ресурсах, которые не являются адресными книгами или телефонными справочниками, необходимо соблюдать определённые условия. В частности, требуется получение специального Согласия от субъекта персональных данных на обработку информации, разрешённой для распространения. Это согласие должно быть оформлено отдельно от других видов согласий, и его состав регламентирован приказом Роскомнадзора от 24.02. 2021 № 18.

Ещё одним отличием в оформлении письменного Согласия от Согласия в свободной форме является требование указания лиц, как юридических, так и физических, которым предполагается передавать данные.

Ч. 4 ст. 9 152-ФЗ устанавливает требования для оформления письменного Согласия, включая указание наименования или фамилии, имени, отчества и адреса лица, которое будет осуществлять обработку персональных данных по поручению оператора, если обработка поручается указанному лицу.

Если передача данных происходит вне договора о поручении и осуществляется через оформление Согласия в свободной форме, то прямого требования указывать лиц, которым будут переданы данные, не существует. Тем не менее, рекомендуется включать подобную информацию в Согласие, чтобы сделать процесс обработки персональных данных в компании более прозрачным и понятным для субъектов. В таком случае возможны различные способы указания информации о лицах, которым будут переданы персональные данные.

Приведём несколько примеров для наглядности.

  • При передаче информации большому числу лиц возможно предусмотреть в Согласии условие о том, что в определённых целях данные могут быть переданы третьим лицам, например, партнёрам компании, с перечнем которых субъект персональных данных может ознакомиться на сайте оператора или в другом указанном источнике.
  • Если меняются получатели данных, но цели обработки и конкретная ситуация, связанная с передачей данных, не меняются (например, передача данных сотрудников для каждого электронного конкурса/аукциона, где необходимо предоставить их персональные данные для участия), то достаточно получить одно Согласие в целях участия в торгах, электронных конкурсах/аукционах на объём данных, необходимых для указанных целей и при подписании разъяснить (можно устно) сотруднику о необходимости обработки таких сведений с учётом его должностных обязанностей и требований законодательства о торгах. Аналогичная ситуация с передачей данных сотрудников в образовательные учреждения в целях повышения квалификации, переподготовки, обучения или получения дополнительного образования (возможно получение одного Согласия в указанных целях без указания конкретных образовательных учреждений).

Когда в нем нет необходимости?

Действующим законодательством предусмотрены случаи, когда предоставление согласия не нужно:

  • Обработка осуществляется в целях исполнения договора, заключенного с физическим лицом, или возложенных на работодателя обязанностей и полномочий. К ним относятся: запросы государственных органов, передача сведений в органы ПФР и ФСС, налоговую службу, военный комиссариат.
  • Это установлено коллективным договором или иным локальным нормативным актом работодателя.
  • Осуществляется в соответствии с законом о переписи населения.
  • Субъект персональных данных сам разместил информацию о себе и сделал ее общедоступной.
  • В целях защиты жизни и здоровья самого субъекта или третьих лиц, если получение согласия от него невозможно.
  • Обработка проводится органами прокуратуры в связи с осуществлением прокурорского надзора.
  • Обработка данных осуществляется в отношении уволенных работников, в целях ведения бухгалтерского и налогового учета.

Полный перечень приведен в статьях 10,11 ФЗ «О персональных данных».
Также на нашем сайте есть информация не только о согласии на обработку ПД при приеме на работу, но и для учащихся.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. 

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). 

Персональные данные − это прямо или косвенно относящаяся к физическому лицу информация, с помощью которой он может быть идентифицирован. К персональным данным относятся  ФИО, паспортные данные, ИНН, СНИЛС, дата рождения, адрес (регион, город, улица, дом, квартира), образование, место работы, семейное и социальное положение, сведения о здоровье, уровень дохода и т.д., то есть, любые сведения, по которым можно идентифицировать человека. При этом, чтобы считать данные персональными, их необходимо использовать в совокупности, так как только лишь по фамилии или по данным об образовании идентифицировать личность невозможно.  

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Похожие записи:

  1. Работа по совместительству
  2. Обязателен ли коллективный договор в организации
  3. Какие выплаты положены беременным и семьям с детьми в 2024 году?
  4. Работнику противопоказана его работа: действия работодателя
0
Понравилась статья? Поделиться с друзьями:
Бухгалтерский фокус

Похожие записи:

  1. Работа по совместительству
  2. Обязателен ли коллективный договор в организации
  3. Какие выплаты положены беременным и семьям с детьми в 2024 году?
  4. Работнику противопоказана его работа: действия работодателя
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.