Политику обработки персданных по новым требованиям роскомнадзора: Что меняется в обработке персональных данных с 1 сентября 2022 года — Контур.Экстерн

Разное 

Персональные данные

Персональные данные

Персональные данные подпадают под регулирование многих законодательных актов, требования которых необходимо соблюдать как юридическим, так и физическим лицам. Надзор за правильной обработкой персональных данных занимается Роскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

С 1 сентября 2022 года вступили в силу очередные изменения в закон ФЗ-152 «О персональных данных» (далее — Закон). Теперь оператором персональных данных являются практически все, кто использует персональные данные в работе, даже если это только данные ваших сотрудников. Иностранные организации и граждане, которые обрабатывают персональные данные россиян, теперь также должны соблюдать требования Закона. В настоящей статье постараемся кратко объяснить, что такое персональные данные, какие произошли изменения с 1 сентября 2022 года, а также как правильно собирать и обрабатывать персональные данные нашим клиентам и партнерам.

Как правило, в работе данных о клиенте обрабатывается много. Согласно Закону персональные данные — это любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу, субъекту персональных данных (далее — Субъект). То есть это практически любая информация о человеке, а также совокупность данных, позволяющих его идентифицировать. Это персональные данные и сотрудников, и клиентов, и партнеров и третьих лиц. Если сомневаетесь, являются ли данные персональными, не сомневайтесь — это персональные данные и их нужно правильно обрабатывать. Оператором обработки персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Что нового?

1. До 1 сентября 2022 года обрабатывать персональные данные для целей заключения или исполнения договора можно было без согласия Субъекта. Теперь же на данные действия необходимо получать согласие. Также расширились требования к форме согласия — согласие Субъекта должно быть не только конкретным, информированным и сознательным, а теперь еще и предметным и однозначным, то есть клиент/сотрудник/третье лицо должны точно знать цель (для каких действий) обрабатываются его данные, самостоятельно выбрать какие действия будут производиться с его данными, и перечень этих данных, а также что клиент дает свое однозначное согласие на обработку вышеуказанных данных и понимает это.

2. Нельзя обрабатывать персональные данные несовершеннолетних, кроме случаев, установленных законодательством РФ. Это значит, что вы не можете получить на обработку данные ребенка от ребенка, также его согласие на обработку будет ничтожным.

3. Нельзя обрабатывать избыточных персональных данных. Например, если вы записываете клиента в салон на стрижку, не обрабатывать его домашний адрес.

4. Сокращен срок реагирования на запросы до 10 рабочих дней с возможностью продления до 15 рабочих дней при мотивированном уведомлении о необходимости продления срока.

5. Новые правила трансграничной передачи (передача персональных данных через границу иностранному лицу — юридическому или физическому). Правила применяются, в том числе, если компания до вступления в силу изменений осуществляла трансграничную передачу данных. Если компания передает данные за границу, необходимо направить Роскомнадзору отдельное уведомление до 1 марта 2023 года. Причем правила уведомления о трансграничной передаче отличаются в зависимости от того, в какую страну направляются данные. Роскомнадзор может принять решение о запрете передачи персональных данных иностранному лицу. В таком случае иностранное лицо должно уничтожить ранее полученные персональные данные, а оператор должен будет предоставить подтверждение этого.

6. Новые правила к поручению обработки персональных данных от оператора другому оператору (обработчику). Обработчик — это оператор персональных данных, осуществляющее обработку персональных данных строго по поручению оператора. Данный термин не введен в Закон, но для понятия процесса обработки в статье используем данный термин. Обработчик не собирает согласия субъектов персональных данных, этим должен заниматься оператор. Обработчик обязан соблюдать конфиденциальность, действовать строго в рамках поручения оператора, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом. Более того, если обработчиком является иностранная компания, то оператор и обработчик несут ответственность наравне. Например, YCLIENTS обрабатывает часть персональных данных по поручению салона. Это и данные сотрудников, данные клиентов, собранных и внесенных в Сервис силами салона, иные данные. Согласия Субъектов на обработку этих данных должны собирать салоны как операторы персональных данных, а также получать согласие на обработку персональных данных YCLIENTS по поручению. Поручение — это договор между Обработчиком и оператором персональных данных.

7. Теперь обработка биометрических персональных данных возможна только в исключительных случаях — это различные сведения о физиологических и биологических особенностях человека, по которым можно установить его личность, за исключением случаев, которые указаны в ч. 2 ст. 11 Закона. На обработку биометрических данных обязательно нужно письменное согласие гражданина. В Законе будет четко зафиксировано, что человек должен сообщить такие данные о себе только в случаях, которые перечислены в ч. 2 ст. 11 Закона. Во всех остальных ситуациях предоставление биометрических данных не может быть обязательным.

8. Необходимо выстроить взаимодействие с ГосСОПКой. ГосСОПКА — это Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, созданная в 2013 году. ГосСОПКА расследует инциденты кибератак, выявляет уязвимости информационных систем безопасности. ФСБ в скором времени должны принять подзаконный акт, который конкретизирует как именно нужно взаимодействовать с ГосСОПКой. ФСБ в подзаконных актах могут также определить дополнительную ответственность за отказ подключаться к ГосСОПКе. После принятия акта ФСБ необходимо: принять регламент взаимодействия с ГосСОПКой, а также выполнить иные требования.

9. Также теперь Законом закреплена обязанность операторов персональных данных в течение 24 часов с момента утечки персональных данных — неправомерной или случайной передачи обрабатываемых персональных данных, уведомить ФСБ об инциденте, сообщить предполагаемые причины утечки и предполагаемый вред. А также течение 72 часов провести расследование инцидента и сообщить о его результатах.

10. Планируется принятие нового регламента проведения «оценки вреда» — определение уровня вреда Субъекту персональных данных на основании учета причинённых убытков и морального вреда в результате нарушения безопасности персональных данных (конфиденциальности, целостности и доступности). На данный момент особых требований Роскомнадзора нет, их планируют принять к 1 марта 2023 года. Возможно, в них будет закреплена процедура оценки вреда, а также правило о том, как часто нужно будет ее проводить. Сейчас регулярно проводить «оценку вреда» не обязательно, компания сама выбирает какие именно меры по обеспечению безопасности персональных принимать. Роскомнадзор, однако, может проводить проверки, и давать предписания провести оценку вреда. Выполнение предписаний обязательно.

И что же делать?

Краткое пособие пользователям YCLIENTS.

Нам часто приходят запросы, что же делать с персональными данными, как правильно уведомить Роскомнадзор, как сделать все правильно. В одной статье мы не сможем досконально описать все нюансы работы с персональными данными, это целая отрасль, этим занимаются ИБ (информационные безопасники), а также юристы и технические специалисты, обучающиеся информационной безопасности не один год. Но постараемся описать понятным языком, что надо сделать для начала законной обработки персональных данных в части их обработки компаниями, использующие Систему YCLIENTS.

ООО “УАЙКЛАЕНТС” является правообладателем Программы для ЭВМ “Система YCLIENTS”, ввиду этого является оператором персональных данных (регистрационный номер в реестре 77-22-021415), строго соблюдая законодательство в сфере персональных данных и конфиденциальности.

Обрабатывая персональные данные своих сотрудников, пользователей системы, осуществляющих онлайн-запись на услуги компаний, использующих YCLIENTS, персональные данные партнеров и третьих лиц, YCLIENTS самостоятельно получает согласие данных Субъектов персональных данных, на сайте или в письменном виде. Также YCLIENTS обрабатывает персональные данных сотрудников и мастеров компаний, использующих YCLIENTS, персональные данные клиентов компаний, их партнеров и третьих лиц — по поручению компаний-пользователей YCLIENTS. В этом случае обработка персональных данных осуществляется с согласия Субъекта персональных данных, полученного непосредственно самой компанией без привлечения Систему YCLIENTS.

Одна из основных целей обработки персональных данных YCLIENTS — выполнение обязательств перед пользователями Системы, в том числе и обеспечение работоспособности Системы. Данные россиян локализованы на территории Российской Федерации. ЦОДы: https://selectel.ru, https://www.servers.ru ; https://cloud.yandex.ru.

Компании, использующие YCLIENTS, являются отдельными операторами персональных данных, самостоятельно определяющими порядок обработки персональных данных, самостоятельно обрабатывающими полученные персональные данные, и самостоятельно направляющие уведомления в Роскомнадзор исключительно о своей деятельности. В рамках работы, компании, могут использовать не одно программное обеспечение, иметь свои сервера, быть компанией в сетке салонов, следовательно, персональные данные могут обрабатываться сторонними организациями. Это означает, что информация о вас, как операторе персональных данных, ваши методы и способы обработки персональных данных, цели обработки и т.д., не будут совпадать с методами, способами и целями YCLIENTS, и копировать информацию о YCLIENTS не нужно, более того, могут возникнуть вопросы Роскомнадзора, почему используются и указаны неспецифичные вашей деятельности цели, методы обработки персональных данных.

Итак, для надлежащей и законной обработки персональных данных компании, использующей YCLIENTS (напоминаем, что это касается не только юридических лиц, но и физических лиц), как и любому Оператору персональных данных, осуществляющему обработку персональных данных, прежде всего необходимо:

1. Определить, какие персональные данные обрабатываете именно вы, для каких целей, каким способом их собираете, как получаете согласие, кому передаете либо поручаете обработку этих персональных данных. Есть ли трансграничная передача персональных данных, нет ли избыточного сбора персональных данных, нет ли данных несовершеннолетних.

2. Определить, какие сотрудники имеют доступ к персональным данным, назначить внутри компании ответственного за обработку персональных данных, разработать внутренние локальные документы по обработке персональных данных и разместить их в доступном для клиентов месте. Минимальный пакет документов это:

  • согласие на обработку персональных данных,
  • приказ о назначении ответственного за организацию обработки персональных данных,
  • политика обработки персональных данных,
  • согласие на обработку персональных данных, разрешенных субъектом для распространения (если такое есть),
  • согласие на обработку персональных данных по поручению, и т. д.

У многих компаний также обязательно будут и дополнительные документы, например если вы обрабатываете специальные категории персональных данных (медорганизации).

3. В политике обработки персональных данных для каждой цели обработки теперь необходимо прописать категории и перечень персональных данных, способы, сроки их обработки и хранения, порядок уничтожения. По новым правилам необходимо разместить политику обработки персональных данных в общедоступном месте, например на каждой странице сайта, на которой осуществляется сбор персональных данных либо в доступе для клиентов, если собираются согласия в бумажном виде.

4. До начала обработки персональных данных получить согласие Субъекта, как на обработку данных (это все действия с данными), на поручение на обработку персональных данных третьим лицам, так и на распространение или передачу собранных данных Субъекта. Нельзя получать согласия путем бездействия субъекта и ограничивать права и свободы субъектов персональных данных. То есть согласие не может даваться путем молчания, непредоставления ответа в течение какого-то времени и т.д. Согласие может быть дано:

  • в форме отдельного бумажного документа, подписанного Субъектом;
  • путем подписания его электронной цифровой подписью Субъекта;
  • активация субъектом специального флажка «чекбокса» напротив политики конфиденциальности.

5. До начала обработки персональных данных подать в Роскомнадзор уведомление об обработке персональных данных (о том, как направить уведомление, см. письмо Роскомнадзора от 19 августа 2022 г. № 08-75348).

6. Уничтожить персональные данные по достижении цели их обработки либо при получении соответствующего требования Субъекта.

7. В случае изменения целей или порядка обработки персональных данных, своевременно уведомлять об этом Роскомнадзор путем подачи соответствующего уведомления. Уведомление об изменении персональных данных оператор обязан направить в течение 15 дней, о прекращения обработки персональных данных — в течение 10 дней.

До конца 2022 года вероятность привлечения к ответственности низкая, так как пока на плановые проверки Роскомнадзора наложен мораторий (внеплановые проверки есть), тем более на данный момент отсутствуют пояснения госорганов и практика по внесенным изменениям, следовательно, не на что ориентироваться. Но это не значит, что приводить в порядок свою документацию, соблюдать новые требования Закона, не надо.

Была ли статья полезна?

Да Нет


Политика в отношении обработки персональных данных, сведения о реа-лизуемых требованиях к защите персональных данных

Сбор информации

На сайте softunion.ru мы собираем несколько типов информации о наших посетителях. Это, прежде всего, информация о каждом посещении (например, перечень страниц, которые Вы просматривали, информация о Вашей операционной системе и браузере, о сайте, с которого Вы пришли и т.п.). Также общая информация о Вашей личности, не касающаяся Вашей индивидуальности (профессия, пол и т.п.). Также любая информация личного характера, которую Вы считаете необходимым нам предоставить (фамилия, имя и т. п.), другие виды информации, которые Вы согласны указать.

Сообщая вышеуказанную информацию, Вы тем самым даете свое согласие на обработку персональных данных для целей эффективного оказания услуг, заказанных Вами, в том числе, в отношении возникающей в процессе работы сайта объективной необходимости в строго ограниченных случаях разрешить доступ к строго определенным персональным данным для программных средств третьих лиц — партнеров сайта, описанных ниже.

Согласие на сбор и обработку персональных данных, а также данных, возникших в результате обработки персональных данных, включает в себя:

  • Сбор
  • Запись
  • Хранение
  • Систематизацию
  • Накопление
  • Уточнение
  • Извлечение
  • Использование
  • Анализ
  • Воспроизведение
  • Копирование, в том числе электронное и в твёрдой копии
  • Обезличивание
  • Блокирование
  • Удаление
  • Уничтожение
  • Передачу аффилированным и третьим лицам (контрагентам Компании) для целей, которые указаны в данной Политике

В случае если Вы не желаете предоставить нам свои персональные данные, то мы просим Вас не пользоваться ресурсами нашего сайта, которые указывают на ввод Ваших персональных данных. В этом случае мы не несем ответственность за получение некорректных сведений и невозможность с нашей стороны оказать Вам своевременную и квалифицированную помощь.

Область действия политики конфиденциальности

Политика конфиденциальности rarus.ru описывает работу сайта:

  • С персональными данными в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 года.
  • По сбору и обработке технических данных об устройстве и программном обеспечении посетителей сайта, в том числе с помощью файлов cookie, систем аналитики от Яндекс и Google и с помощью иных средств, включая, но не ограничиваясь: IP-адресом, информации об используемом браузере и языке, даты и времени доступа к сайту, адресов запрашиваемых страниц сайт.

Цели сбора информации

Посетитель сайта может заполнить заявку на обратный звонок и/или заказ услуги нашей Компании, приобрести различные продукты и услуги компании, заказать демо-доступы к программным решениям, зарегистрироваться на различные мероприятия, участвовать в акциях, подписаться на рассылки по электронной почте.

В рамках такого взаимодействия пользователь в явном виде указывает свои контактные данные. Также во время посещения собирается техническая информация на основании файлов cookie, о параметрах устройства и программном обеспечении, через которое осуществляется доступ к сайту.

Сбор информации осуществляется со следующими целями:

  • Повышения качества сайта, обеспечения его функционирования и безопасности посетителей.
  • Предоставления Вам информации о существующих продуктах и услугах Компании.
  • Усовершенствования продуктов и услуг Компании.
  • Для разработки новых продуктов и услуг.
  • Для отображения персонализированного контента.
  • Для хранения личных настроек на локальном компьютере.
  • Для донесения рекламных сообщений через рекламные сети Яндекс, Google, рассылки по электронной почте и через иных поставщиков услуг.

Cookies

На нашем сайте мы используем идентификационные файлы (cookies и т. п.), которые позволяют собирать необходимую информацию и статистику по посещениям для упрощения работы с сайтом, проведения маркетинговых активностей. Это такая информация, как: IP‑адрес, тип и язык браузера, информация о поставщике Интернет-услуг, страницы отсылки и выхода, сведения об операционной системе, дата и время посещения, Google ClientID и другая.

Мы не несем ответственности за способы использования файлов cookies сторонними поставщиками и поисковыми системами.

КМС и РСЯ

Наш сайт использует собираемую статистику о посещениях для показа ориентированных на пользователя рекламных объявлений в контекстно‑медийной сети Google и рекламной сети Яндекса. В том числе могут использоваться функции «ремаркетинг» и «ретаргетинг».

Вы имеете возможность в любое время отключить сбор информации о посещении сайта и функцию показа объявлений, ориентированных на пользовательские предпочтения, с помощью Менеджера рекламных предпочтений в Google (adssettings.google.com/authenticated), Настройки рекламы Яндекса (yandex.ru/tune/adv/) и специальных программных продуктов, предназначенных для блокирования рекламы в интернете.

Яндекс.Маршрутизация

Сервис «Яндекс.Маршрутизация» разработан и эксплуатируется в партнерстве с компанией «Яндекс», поэтому при заказе расчета стоимости сервиса, демо-доступа к сервису, презентации сервиса мы оставляем за собой право передать контактные данные клиента в «Яндекс» для подключения к сервису.

Ссылки на сторонние сайты

Мы не несем ответственность за контент, способы сбора и обработки информации сторонними сайтами, в том числе сайтами, ссылки на которые могут быть опубликованы на нашем ресурсе. Пожалуйста, ознакомьтесь с политикой конфиденциальности тех ресурсов, которые Вы посещаете, прежде чем предоставлять свои данные.

Безопасность посещения сайта и персональных данных

Мы прилагаем все достаточные и необходимые технические и организационные меры для защиты персональной информации пользователей от несанкционированного либо неправомерного распространения (передачи, предоставления, доступа, блокирования, удаления, уничтожения) перехода в руки третьих лиц и т.  п.

Правовое регулирование отношений в сфере защиты персональных данных и конфиденциальной информации

Иные вопросы, касающиеся защиты персональных данных и конфиденциальной информации, не предусмотренные настоящей Политикой в отношении обработки персональных данных, регулируются Федеральными законами РФ «О персональных данных» (от 27.07.2006 г. № 152-ФЗ), «О коммерческой тайне» (от 29.07.2004 г. № 98-ФЗ).

Мы оставляем за собой право вносить изменения в настоящую Политику конфиденциальности в любое время без предварительного уведомления.

Согласие на обработку персональных данных действует в течении 5 лет, далее пролонгируется в случае отсутствия отзыва.

Вы можете в любой момент отозвать согласие на обработку персональных данных, обратившись в компанию по телефону или написав электронное письмо на почту: [email protected].

Смотри, но не трогай — Россия вводит ограничения на обработку общедоступных данных

С 1 марта 2021 года в России вводятся ограничения на обработку общедоступных персональных данных в Интернете и офлайн. Изменения в законодательстве направлены на борьбу с неконтролируемым распространением персональных данных.

Изменение правовой основы

В соответствии с действующим пунктом 10 пункта 1 статьи 6 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ любой оператор данных (российский аналог термина контроллер) может обрабатывать персональные данные, если субъект данных сделал их общедоступными или поручил это другому лицу. В отличие от статьи 6(1) Общего регламента ЕС по защите данных, нет необходимости обосновывать обработку законными интересами, исполнением договора, согласием субъекта данных или другими общими законными основаниями. При внесении изменений в Федеральный закон «О персональных данных» № 519-ФЗ от 30.12.2020 вступает в силу, данное правило и термин общедоступные данные исчезают.

Изменения вводят новый термин «персональные данные, разрешённые к распространению субъектом данных»   и определяют его как персональные данные, доступ к которым предоставлен неограниченному кругу лиц субъектом данных, давшим согласие на обработку данные. Проще говоря, согласие субъекта данных станет единственным законным основанием, в соответствии с которым персональные данные могут быть размещены в общедоступных источниках и в дальнейшем использоваться любым заинтересованным оператором данных.

Согласно пояснительной записке к поправкам, их целью является предотвращение «сбора и неконтролируемого использования таких персональных данных на веб-сайтах в целях, отличных от первоначальной цели, для которой они были распространены». Однако юридический текст поправок не исключает их применения к офлайн-публикациям данных (например, указание профессиональных биографий в печатных маркетинговых бюллетенях).

Оформление согласия субъекта данных

В соответствии с изменениями согласие на обработку персональных данных, разрешенных к распространению субъектом данных, должно быть оформлено отдельно от других форм согласия, если оператор данных запрашивает несколько согласий одновременно. Согласие должно быть составлено таким образом, чтобы субъекты данных могли:

  • Четко заявить о своем желании сделать личные данные общедоступными.
  • Выберите определенные категории данных для распространения.
  • Ограничить способы распространения, кроме предоставления доступа к данным.
  • Установить условия и запреты на обработку распространяемых данных операторами данных, имеющими доступ к таким данным в общедоступных источниках.

Указанные ограничения, условия и запреты не распространяются на обработку данных в государственных и иных общественных интересах.

Роскомнадзор разработал более конкретные требования к содержанию согласия, но они еще не приняты.

Получение согласия субъекта данных

Субъект данных может дать согласие оператору данных на распространение персональных данных лично или передать его через специальную информационную систему Роскомнадзора. Пока неясно, как будет работать ИТ-система. Роскомнадзор должен ввести его в эксплуатацию 1 июля 2021 года.

В соответствии с новой статьей 10.1(10) Закона о персональных данных оператор данных должен опубликовать ограничения, условия и запреты, указанные в согласии, в течение трех рабочих дней с момента его получения. Поправки не уточняют, как должна выглядеть публикация и должна ли она размещаться рядом с публикуемыми данными (например, на той же странице). Операторы данных, получающие доступ к персональным данным в общедоступных источниках, должны искать указанные ограничения, условия и запреты и соблюдать их. Они несут бремя доказывания того, что они обрабатывают данные на законных основаниях.

Информирование субъектов данных

В отличие от статьи 14 GDPR, действующая редакция статьи 18(4)(3) Закона о персональных данных не требует, чтобы операторы данных информировали субъектов данных об обработке их данных от общедоступные источники. После вступления изменений в силу операторы данных будут освобождены от этой обязанности только в том случае, если они будут соблюдать условия и запреты на обработку распространяемых данных, определенные в согласии.

Прекращение распространения данных

Поправки устанавливают право субъекта данных отозвать свое согласие в любое время и с немедленным вступлением в силу путем уведомления оператора данных без объяснения причин. В этой ситуации , оператор данных может продолжить обработку, за исключением раскрытия категорий данных, перечисленных в уведомлении. Поправки не поясняют, кому субъекты данных могут направлять свои уведомления — оператору данных, впервые обнародовавшему данные, последующим операторам или всем им.

Кроме того, новая статья 10.1(14) Закона о персональных данных гласит, что субъекты данных могут связаться с любым, кто обрабатывает их данные, и запретить им распространение, передачу, предоставление и доступ к своим данным или даже подать в суд на такой запрет в случае нарушения требований законодательства, введенных поправками. Оператор данных, получивший запретительное уведомление, должен прекратить эту деятельность в течение трех рабочих дней. Юридический текст не дает никаких указаний на принципиальную разницу между этой процедурой и упомянутым отзывом согласия. Вполне вероятно, что прецедентное право сделает его более ответственным.

Что делать?

Новые правила касаются онлайн-бизнеса, особенно компаний, занимающихся большими данными и социальных сетей, рекрутеров, собирающих резюме в Интернете, компаний, размещающих биографии и профили своих сотрудников на корпоративных веб-сайтах, маркетинговых агентств и других предприятий, распространяющих личные данные или использующих общедоступные источники информации.

любой. Таким компаниям представляется разумным сделать следующее:

  • Аудит их деятельности по обработке общедоступных данных, включая операции на их корпоративных веб-сайтах.
  • Разработать новые шаблоны согласований, когда Роскомнадзор примет требования к их содержанию.
  • Все публикации персональных данных сопровождать описанием условий обработки, ограничений и запретов, указанных в соответствующем согласии.
  • Проинструктировать сотрудников соблюдать условия обработки, ограничения и запреты, если они используют персональные данные из общедоступных источников.
  • Обновление процедур ответа субъекта данных с акцентом на поправки.
  • Обновить другие процедуры и документы о конфиденциальности, если в них упоминается обработка общедоступных данных на основании устаревшего законодательства.
  • Направить обновленное уведомление о персональных данных в Роскомнадзор, если в предыдущем уведомлении упоминалась обработка общедоступных данных.
  • Продолжайте следить за обновлениями Роскомнадзора в новой ИТ-системе для обработки разрешений и ожидайте развертывания примерно 1 июля 2021 года.

Фото с Unsplash

Комментарии Роскомнадзора к персональным данным, Числова Ольга

Российское законодательство о защите персональных данных сформулировано таким образом, что во многих случаях допускает широкое толкование правил и ограничений. По этой причине операторам персональных данных иногда приходится ждать, пока суды разъяснят отдельные неоднозначные положения закона или Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) не даст общие или отдельные разъяснения о том, как положения о персональных данных должны применяться законы о защите.

В ответ на один из наших недавних запросов, связанных с реализацией Федерального закона Российской Федерации «О персональных данных», Роскомнадзор предоставил комментарии, которые мы считаем интересными для наших клиентов.

В обязательном письменном согласии на обработку персональных данных могут быть указаны только одна цель и один оператор обработки персональных данных при обработке персональных данных, термины «цель» и «оператор» персональных данных приведены в единственном числе и не подлежат расширенному толкованию. Поэтому в случаях, когда в соответствии с законодательством необходимо получение согласия на обработку персональных данных в письменной форме (например, для передачи персональных данных работников третьим лицам или для передачи персональных данных на территорию иностранных государств, не обеспечивающих надлежащую защиту прав субъектов персональных данных), в таком согласии могут быть указаны только одна цель и один оператор. Это означает, что для обработки персональных данных для нескольких целей или для передачи данных нескольким третьим лицам оператор должен получить отдельные согласия. Аналогичным образом, Европейский общий регламент по защите данных (GDPR) предусматривает, что согласие должно распространяться на все действия по обработке, выполняемые для одной и той же цели, и что, когда обработка преследует несколько целей, согласие должно даваться отдельно для каждой цели.
Роскомнадзор отметил, что при получении согласия в случаях, когда законом не требуется, чтобы оно было оформлено в письменной форме, в таком согласии может быть указано несколько целей и операторов обработки персональных данных (например, при возложении на обработку персональных данных другого лица письменное согласие субъекта персональных данных не требуется), а также указать нескольких третьих лиц, которым должны быть переданы персональные данные.

Филиалам и представительствам юридического лица не требуется получение отдельного согласия субъекта персональных данных на обработку его персональных данных

Роскомнадзор указал, что при наличии у организации законных оснований для обработки персональных данных субъекта персональных данных (например, договор или согласие субъекта на обработку персональных данных), получение дополнительных согласий от физического лица на передачу и дальнейшую обработку его персональных данных филиалом или представительством не потребуется такого юридического лица. Однако этого не будет в случае, когда персональные данные сотрудников филиала или представительства необходимо передать в головной офис, расположенный в стране, которая, по мнению государственных органов Российской Федерации, не обеспечивает должной защиты субъектов персональных данных. права (например, США). В этой ситуации работодателю необходимо получить письменное согласие работников в установленной законодательством форме.

Содержание документа, определяющего политику в отношении обработки персональных данных, Оператор определяет самостоятельно

В соответствии с Федеральным законом Российской Федерации «О персональных данных» операторы обязаны опубликовать или иным образом обеспечить неограниченный доступ к документу изложение своей политики в отношении обработки персональных данных. Рекомендации по составлению такого документа были разработаны Роскомнадзором и опубликованы на его официальном сайте, однако у операторов остается много вопросов по поводу такой политики, поскольку четких правил относительно содержания этого документа нет.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *