Приказ роскомнадзора от 24.02.2021 n 18

Опубликовано: Подсказки бухгалтеру
Новые требования к содержанию Согласия на обработку персональных данных разрешенных их субъектом для распространения по приказу Роскомнадзора номер 18 от 24 02 2024 перечень обязательных реквизитов с 1 сентября 2024 года

Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения

Согласие должно содержать следующую информацию:

1) фамилия, имя, отчество (при наличии) субъекта персональных данных;

2) контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);

3) сведения об операторе-организации — наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);

сведения об операторе — физическом лице — фамилия, имя, отчество (при наличии), место жительства или место пребывания;

сведения об операторе-гражданине, являющимся индивидуальным предпринимателем, — фамилия, имя, отчество (при наличии), идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);

4) сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;

5) цель (цели) обработки персональных данных;

6) категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:

  • персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
  • специальные категории персональных данных1 (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
  • биометрические персональные данные2;

7) категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов3 (заполняется по желанию субъекта персональных данных);

8) условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных)4;

9) срок действия согласия.

Просмотрено 1889       Нравится 5      

В каких случаях нужно уведомить Роскомнадзор

ФИО, адрес, телефон, паспортные данные и другие сведения о физическом лице — эта информация относится к персональным данным. А организации и ИП, которым сообщают такие данные — операторы персональных данных, которые эти данные обрабатывают.
Поэтому любая компания, имеющая такие данные о своих работниках, клиентах или покупателях является оператором персональных данных.

Организация или ИП вправе осуществлять обработку персональных данных физического лица с его письменного согласия либо без согласия в установленных законом случаях. Исчерпывающий перечень таких случаев содержится в п.2—11 ч.1 ст.6 Закона о персональных данных.

При этом, до начала обработки персональных данных организация обязана сообщить об этом в Роскомнадзор, за исключением установленных законом случаев. С 1 сентября исключений почти не останется (ст.22 Закона № 152 ФЗ).

Сообщать об обработке персональных данных будет необходимо даже в том случае, если организация или ИП становится обладателем информации только о фамилии, имени и отчестве физического лица. Например, при оформлении дисконтных карт клиентов. Кроме того, если раньше не требовалось подавать уведомление, когда персональные данные собирались для однократного пропуска на ее территорию, то с 1 сентября это нужно будет делать.

Но самый распространенный повод для уведомления — обработка персональных данных работников. Т.е. ВСЕМ работодателям необходимо сообщить в Роскомнадзор об обработке персональных данных работников.

В новой редакции Закона № 152-ФЗ предусмотрено всего три ситуации, когда обрабатывать данные можно без уведомления Роскомнадзора:

  1. Работа государственных информационных систем по охране безопасности и общественного порядка.
  2. Обработка персональных данных без каких-либо средств автоматизации.
  3. Обработка персональных данных в случаях, предусмотренных законодательством о транспортной безопасности.

Однако, данные ситуации достаточно редки и большинству компаний при сборе персональных данных придется уведомлять Роскомнадзор.

Обратите внимание! Действие Закона № 152-ФЗ распространяется также на иностранных юридических и физических лиц, если они обрабатывают персональные данные граждан РФ:

  • на основании договора или соглашения, стороной которого является гражданин России;
  • или на основании согласия такого гражданина на обработку его персональных данных.

Что такое персональные данные

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Под информацией понимаются сведения (сообщения, данные) независимо от формы их представления (п. 1 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ). Из этих формулировок законодателя можно выделить признаки персональных данных.

Признаки персональных данных

Информация о персональных данных:

  • относится к физическому лицу;
  • может быть представлена в разных формах;
  • прямо или косвенно определяет физлицо, а значит, идентифицирует его.

Разберем эти признаки подробнее.

Отношение информации к физлицу

К персональным данным не относится информация о юридических лицах. Информация связана с деятельностью физлица, его биографией, навыками, личностными и другими характеристиками.

Так, например, к персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация, которая относится к физическому лицу (п. 2.5 Методических рекомендаций, утв. Приказом Роскомнадзора от 30.05.2017 № 94, письмо Минтруда РФ от 08.10.2018 № 14-2/В-803). К таким данным относятся также сведения, которые составляют банковскую тайну — информация об операциях, счетах и вкладах физлиц (ст. 26 Федерального закона от 02.12.1990 № 395-1).

Относятся ли сведения в цифровом выражении к физическому лицу, ведь простой набор цифр никак его не характеризует? Ответ — да, относятся, но из-за своей специфики требуют специальной технической обработки. Нетрудно определить, что фамилия, имя и отчество относятся к физлицу. Но для того, чтобы определить, принадлежит номер телефона человеку или организации, нужна дополнительная информация, например, полученные сведения от оператора сотовой связи.

Разные формы представления информации

Сведения могут быть представлены:

  • в виде машинописного или рукописного документа;
  • в недокументированном виде (например, как перечень сведений в свободной форме);
  • в виде фотографии, аудио- или видеозаписи;
  • в цифровом выражении (например, статический IP-адрес или номер телефона);
  • в иных формах.

Идентификация лица

Информация прямо или косвенно определяет физлицо, а значит, идентифицирует его.

При прямой идентификации конкретное физическое лицо устанавливается на основе сведений, которые есть в распоряжении.

Пример прямой идентификации

Ф.И.О. совместно с паспортными данными — классический пример прямой идентификации физического лица, поскольку этих сведений достаточно, чтобы установить личность конкретного человека.

При косвенной идентификации имеющиеся сведения лишь сокращают выборку физлиц, к которым они относятся. Поэтому, чтобы установить конкретное физическое лицо требуются дополнительные сведения.

Пример косвенной идентификации

Пол, возраст и должность сами по себе не позволяют установить личность конкретного человека, для этого требуются дополнительные сведения, например, место его работы или Ф.И.О. Поэтому пол, возраст и должность идентифицируют человека косвенно, а в совокупности с дополнительной информацией позволяют соотнести их с конкретным лицом.

Ряд региональных управлений Роскомнадзора в методических рекомендациях по работе с персданными указывает, что данные нельзя считать персональными в том случае, если без дополнительной информации невозможно идентифицировать физлицо. Однако такие разъяснения носят рекомендательный характер. Чтобы избежать неточностей и четко определить являются ли сведения, которыми вы обладаете, персональными данными, обращайтесь к буквальному толкованию федерального законодательства и ориентируйтесь на признаки персональных данных, которые установлены законом.

Когда можно использовать мультисогласие

Получения мультисогласия возможно только в случаях, когда обработка персональных данных не подпадает под обязательное требование получения письменной формы Согласия

Важно учесть, что согласие по закону должно быть конкретным, предметным, информированным, осознанным и однозначным. Поэтому, если в Согласии необходимо указать несколько целей обработки, рекомендуется руководствоваться принципом однородности в отношении включаемых целей и объёма обрабатываемых личных данных

Рассмотрим ситуацию на примере обработки персональных данных на сайте компании.

При получении информации через веб-ресурс возможно использование мультисогласия, так как:

  • для данной ситуации не требуется оформление письменной формы;
  • можно определить однородные цели, для которых объём обрабатываемых данных примерно одинаков. К этим целям можно, в частности, отнести: оказание информационно-консультационных и иных услуг в соответствии с деятельностью оператора; включение в члены сообщества; регистрация на мероприятия; осуществление обратной связи; осуществление заочных опросов с целью изучения мнения об оказанных услугах; сбор статистической информации о пользователях с использованием метрической программы Яндекс.Метрика; информационная рассылка.

Несмотря на то что объём обрабатываемых данных для каждой указанной цели будет примерно одинаков, в Согласии лучше указать категории данных по отношению к каждой цели – это увеличит соответствие Согласия принципам конкретности и однозначности.

Однако включить в мультисогласие на сайте цели, связанные с распространением персональных данных, не получится, поскольку:

  • при использовании общедоступных источников информации (например, телефонных справочников или адресных книг) требуется получение письменного Согласия;
  • при распространении персональных данных в сети Интернет на ресурсах, которые не являются адресными книгами или телефонными справочниками, необходимо соблюдать определённые условия. В частности, требуется получение специального Согласия от субъекта персональных данных на обработку информации, разрешённой для распространения. Это согласие должно быть оформлено отдельно от других видов согласий, и его состав регламентирован приказом Роскомнадзора от 24.02. 2021 № 18.

Ещё одним отличием в оформлении письменного Согласия от Согласия в свободной форме является требование указания лиц, как юридических, так и физических, которым предполагается передавать данные.

Ч. 4 ст. 9 152-ФЗ устанавливает требования для оформления письменного Согласия, включая указание наименования или фамилии, имени, отчества и адреса лица, которое будет осуществлять обработку персональных данных по поручению оператора, если обработка поручается указанному лицу.

Если передача данных происходит вне договора о поручении и осуществляется через оформление Согласия в свободной форме, то прямого требования указывать лиц, которым будут переданы данные, не существует. Тем не менее, рекомендуется включать подобную информацию в Согласие, чтобы сделать процесс обработки персональных данных в компании более прозрачным и понятным для субъектов. В таком случае возможны различные способы указания информации о лицах, которым будут переданы персональные данные.

Приведём несколько примеров для наглядности.

  • При передаче информации большому числу лиц возможно предусмотреть в Согласии условие о том, что в определённых целях данные могут быть переданы третьим лицам, например, партнёрам компании, с перечнем которых субъект персональных данных может ознакомиться на сайте оператора или в другом указанном источнике.
  • Если меняются получатели данных, но цели обработки и конкретная ситуация, связанная с передачей данных, не меняются (например, передача данных сотрудников для каждого электронного конкурса/аукциона, где необходимо предоставить их персональные данные для участия), то достаточно получить одно Согласие в целях участия в торгах, электронных конкурсах/аукционах на объём данных, необходимых для указанных целей и при подписании разъяснить (можно устно) сотруднику о необходимости обработки таких сведений с учётом его должностных обязанностей и требований законодательства о торгах. Аналогичная ситуация с передачей данных сотрудников в образовательные учреждения в целях повышения квалификации, переподготовки, обучения или получения дополнительного образования (возможно получение одного Согласия в указанных целях без указания конкретных образовательных учреждений).

Согласие на обработку персональных данных без их распространения

С 1 марта 2021 года законодательство о защите персональных данных предусматривает необходимость получать у субъекта персональных данных разные согласия на их обработку в зависимости от того, планируется ли распространять такие данные среди неограниченного круга лиц или нет. Соответственно, субъект персональных данных может дать как простое согласие на обработку персональных данных, так и согласие на распространение персональных данных. Напомним, что под обработкой персональных данных подразумевается любое действие с ними, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

Ниже рассмотрим порядок оформления и требования к содержанию простого согласия на обработку персональных данных без их распространения.

Содержание согласия на обработку персональных данных

Согласие на обработку персональных данных без их последующего распространения среди неограниченного круга лиц должно содержать следующие сведения (ч. 4 ст. 9 Закона № 152-ФЗ):

  • фамилию, имя, отчество субъекта персональных данных;
  • адрес субъекта персональных данных;
  • номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представителя субъекта персональных данных;
  • номер основного документа, удостоверяющего личность представителя субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись субъекта персональных данных.

Оформление согласия на обработку персональных данных

Действующее законодательство содержит перечень случаев, в которых согласие на обработку персональных данных обязательно должно быть оформлено в письменной форме. В частности, получить письменное согласие необходимо:

  • при обработке биометрических персональных данных (ч. 1 ст. 11 Закона № 152-ФЗ);
  • при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона № 152-ФЗ);
  • при принятии решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего его права и законные интересы (ч. 2 ст. 16 Закона № 152-ФЗ);
  • и т.д.

Если для конкретной ситуации законом предусмотрена необходимость оформления согласия на обработку персональных данных в письменной форме с личной подписью субъекта персональных данных, его следует оформить письменно. Кроме того, согласие может быть оформлено в виде электронного документа. В этом случае для его подписания понадобится электронная подпись (ч. 4 ст. 9 Закона № 152-ФЗ). Если письменная форма согласия законом не предусмотрена, оно может быть оформлено другими способами, например, путем проставления субъектом персональных данных отметки в соответствующем поле при заполнении данных на сайте. Заверять такое согласие электронной подписью не требуется.

Однако даже если закон не предусматривает обязательного письменного согласия на обработку персональных данных сотрудника, рекомендуется по возможности оформлять его письменно. В случае возникновения претензий со стороны работника такой документ может подтвердить право работодателя на обработку данных. Дело в том, что согласно ч. 3 ст. 9 Закона № 152-ФЗ доказывать наличие согласия должен именно оператор персональных данных, то есть работодатель. При отсутствии доказательств закон будет на стороне работника.

Отличия от персональных данных, ставших общедоступными

До вступления в силу 1 марта 2021 года закона № 519-ФЗ в 152-ФЗ существовал такой вид данных, как «персональные данные, сделанные общедоступными субъектом персональных данных». К ним могли иметь доступ вообще все люди. Такой доступ предоставлялся по просьбе субъекта. Также они могли содержаться в общедоступных источниках персональных данных.

Термин «общедоступные персональные данные» и категория «просьба субъекта» вводили физических и юридических лиц в заблуждение. Складывалось ошибочное мнение, что раз персональные данные стали общедоступными, да ещё и по просьбе субъекта, к которой не было установлено каких-либо формальных требований, то можно было брать такие персональные данные и обрабатывать их любыми способами без согласия субъекта.

Суды неоднократно сталкивались с этой проблемой и критиковали истцов и ответчиков за доводы, будто данные о субъекте, ставшие общедоступными, могут свободно использоваться и их распространение законодателем не ограничивается, а следовательно, не является нарушением 152-ФЗ. Суды указывали, что такая позиция необоснованна и не даёт права использовать сделанные общедоступными сведения в своих целях и без согласия субъекта. Например, нельзя публиковать на сторонних ресурсах выписки из ЕГРЮЛ в отношении организации с персональными данными генерального директора и учредителей, размещёнными в общедоступном источнике (на сайте ЕГРЮЛ) согласно п. «д» ч. 1 ст. 5 закона № 129-ФЗ от 08.08.2001 (ред. от 27.10.2020) «О государственной регистрации юридических лиц и индивидуальных предпринимателей» (см. решение привокзального районного суда г. Тулы № 2-997/2020 М-938/2020 от 28 июля 2020 г. по делу № 2-997/2020). Такая публикация будет считаться распространением — обработкой — персональных данных. А распространение возможно только при наличии согласия субъекта.

Для того чтобы гармонизировать правоприменительную практику, законодатель убрал из 152-ФЗ упоминания общедоступных персональных данных и ввёл новый термин — «персональные данные, разрешённые для распространения». Этот вид данных отрегулирован так, что субъект получает широкую легитимную возможность контролировать распространение своих данных в информационном пространстве. Делается это за счёт того, что субъект указывает в согласии условия и запреты на распространение данных. Оператор в свою очередь обеспечивает опубликование таких условий и запретов на странице, где размещены персональные данные субъекта, разрешённые для распространения. Так, оператор берёт на себя обязанность оповестить всех посетителей информационного ресурса о том, как следует работать с опубликованными данными и можно ли их распространять далее.

При этом стоит отметить, что хотя из закона убран термин «общедоступные персональные данные», само это явление продолжает существовать. В ч. 2 ст. 10.1 закона № 152-ФЗ закреплено, что если субъект сам раскрыл свои персональные данные неопределённому кругу и не предоставлял оператору специального согласия, то любые третьи лица, которые распространили такие персональные данные, должны доказать законность их обработки. Такие данные, опубликованные без специального согласия, но по воле самого субъекта, — это персональные данные, сделанные общедоступными самим субъектом.

Что содержит документ и образец согласия на обработку персональных данных в 2024 году

В документе перечисляется личная информация, на использование которой согласно физическое лицо. Форма кроме ПД содержит:

Документ заполняется в произвольной форме или по шаблону, который разработан и действует в компании. В согласии должна присутствовать информация:

В основной части документа указывается:

Отказ работника от подписания документа

Несогласие сотрудника подписывать согласие практически не имеет значения для предприятия. Согласно 5 пункту первой части шестой статьи № 152-ФЗ работодатель, который использует личные сведения персонала, не обязан получать согласительный документ.

Документ не нужен, если объем информации, который применяет ОПД, не выходит за рамки установленного перечня и не противоречит целям использования, предусмотренными Трудовым кодексом РФ. Пример: предприятие может использовать ПД в ситуациях, предусмотренных коллективными контрактами, соглашениями, приказами компании согласно 372 статье ТК РФ.

Отзыв согласия на обработку персональных данных

СПД – физическое лицо, которое официально трудоустроено в компании, – вправе отозвать согласие согласно 9 статьи № 152-ФЗ. Необходимо понимать, что после отзыва работодатель может продолжать использовать личные сведения.

Обязательно ли получение согласия на обработку персональных данных

Согласие на обработку персональных данных физического лица не требуется в случаях, приведенных в п. п. 2 — 11 ч. 1 ст. 6 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Например, оно не нужно, если обработка необходима для:

В остальных случаях обработка персональных данных осуществляется с согласия гражданина (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Например, придется получить письменное согласие, если компания собирает данные граждан для маркетингового исследования или уступает требование к должнику — физическому лицу.

Согласие на обработку персональных данных с сентября 2022 года должно быть предметными и однозначными, а не просто сознательными, конкретными и информированными (Федеральный закон от 14.07.2022 № 266-ФЗ, далее – Закон № 266-ФЗ). Согласие на обработку персональных данных (бланк) закон по-прежнему не предусматривает, однако устанавливает его содержание, правила заполнения и условия обработки.

Нужно ли согласие на обработку персональных данных

Согласие на обработку персональных данных – обязательный документ при работе с персональными данными (кратко – ПД): работников, соискателей, контрагентов по договорам ГПХ и иных лиц. Его нужно получить в письменной форме от субъекта ПД или доверенного лица (ст. ст. 6 и 9 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ).

Решение о предоставлении ПД принимает их субъект: свободно, по своей воле и в своем интересе. При недееспособности согласие на обработку персональных данных дает законный представитель субъекта. В случае смерти субъекта согласие на обработку ПД дают его наследники, если оно не дано им при жизни (ч. 6 и 7 ст. 9 Закона № 152-ФЗ).

Оператор (работодатель) может поручать обработку ПД другому лицу. Для этого нужно:

Поручитель не обязан получать согласие субъекта ПД на их обработку. При этом на него перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ).

Иностранные лица с 1 сентября 2022 года также вправе обрабатывать ПД на основании согласия гражданина России (ч. 1.1 ст. 1 Закона № 152-ФЗ). Если обработка ПД поручается иностранному лицу, то ответственность перед их субъектом – солидарная. Следовательно, за нарушения, допущенные иностранным физическим или юридическим лицом, отвечает и оператор (ч. 6 ст. 6 Закона № 152-ФЗ).

Когда возможна обработка персональных данных без согласия

Существуют случаи, когда возможна обработка персональных данных без согласия субъекта (п. 2–11 ч. 1 ст. 6 Закона № 152-ФЗ). В частности, если личные сведения работника обрабатывают во исполнение закона (в силу нормативных требований). К примеру, трудовой договор нельзя заключить без паспортных данных, номера СНИЛС сотрудника и других его сведений (ст. 65 ТК РФ). В этом случае согласие лица на обработку персональных данных не нужно (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ).

По этой же причине не получают отдельного согласия от работника при ведении обязательного кадрового и воинского учета, а также при использовании ПД в целях обеспечения безопасности и обеспечения учета в случае чрезвычайных ситуаций (п. 9 ч. 1 ст. 6 Закона № 152-ФЗ).

Похожие записи:

  1. Коды статистики по инн: где и как получить
  2. Едв ветеранам труда в 2023 году: размер ежемесячной выплаты ветеранам
  3. Как заполнить платежки по страховым взносам
  4. Заявление на возврат переплаты с енс
0
Понравилась статья? Поделиться с друзьями:
Бухгалтерский фокус

Похожие записи:

  1. Коды статистики по инн: где и как получить
  2. Едв ветеранам труда в 2023 году: размер ежемесячной выплаты ветеранам
  3. Как заполнить платежки по страховым взносам
  4. Заявление на возврат переплаты с енс
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.