Роскомнадзор согласие на обработку персональных данных: Портал персональных данных — Согласие на обработку ПД, разрешенных для распространения

Разное 

Содержание

Суды о сроке действия согласия на обработку персональных данных / Защита информации / Блог

Напишите нам

В случае возниконовения вопросов Вы можете направить нам сообщение и мы обязательно свяжемся с Вами в ближайшее время

Ваше имя

E-mail

Телефон

Текст сообщения

Направляя обращение, Вы соглашаетесь на обработку Ваших персональных данных на условиях, изложенных в Политике обработки персональных данных

Отправить

Категории

  • Все материалы
  • Электронная коммерция
  • Телеком
  • Защита информации
  • Интеллектуальная собственность
  • Финансовые технологии
  • Ввоз радиотехники

05 марта 2018

Поделиться

    pro/blog/protection-of-information/the-courts-on-the-validity-of-the-consent-to-the-processing-of-personal-data/» data-title=»Суды о сроке действия согласия на обработку персональных данных» data-img=»https://datacase.pro/upload/resize_cache/iblock/ae2/500_500_2/iStock_936296716.jpg» data-text=» Несмотря на то, что Федеральный закон «О персональных данных» (Закон № 152-ФЗ) существует уже давно, многие организации до сих пор не разобрались с особенностями его применения и регулярно получаю…»>

Все статьи

Защита информации

Несмотря на то, что Федеральный закон «О персональных данных» (Закон № 152-ФЗ) существует уже давно, многие организации до сих пор не разобрались с особенностями его применения и регулярно получают предписания от Роскомнадзора по устранению недостатков в своей работе.

Как известно, в соответствии со статьей 6 Закона № 152-ФЗ в большинстве случаев обработка персональных данных возможна только при условии получения от субъекта его согласия. В особых случаях, установленных законом, такое согласие должно быть письменным, и включать в себя, в частности, условие о сроке его действия (п. 8 ч. 4 ст. 9 Закон № 152-ФЗ).

Следует отметить, что в приведенной норме законодатель не требует указывать в согласии конкретный срок его действия или устанавливать его предельный срок. Вместе с тем, сотрудники Роскомнадзора признали отсутствие в письменном согласии конкретного срока его действия нарушением п. 8 ч. 4 ст. 9 Закона № 152-ФЗ и выдали оператору предписание о его устранении. В свою очередь, оператор посчитал действия ведомства незаконными и обратился в суд.

Суды трех инстанций встали на сторону оператора и признали предписание Роскомнадзора незаконным. В решении суда отмечено, что срок действия согласия определен началом его действия (со дня подписания) и заканчивается моментом письменного отзыва в произвольной форме. Тринадцатый арбитражный апелляционный суд к этому добавил, что указание точного срока действия согласия субъекта персональных данных на их обработку в привязке к конкретному временному периоду или календарной дате не всегда возможно. Верховный Суд Российской Федерации оснований для пересмотра приведенных судебных актов не нашел (Определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101).

Таким образом, суды открыли операторам персональных данных возможность определять срок действия согласия субъекта персональных данных на обработку таких данных неопределенным периодом, ограниченным лишь моментом отзыва такого согласия.

Похожие статьи

26 марта 2020 Защита информации

Планы Центров компетенций и рабочих групп Роскомнадзора Как следует из пункта 6. 6 Положения о Роскомнадзоре (утверждено Постановлением Правительства РФ от 16.03.2009 № 228), с целью реализации своих полномочий ведомство имеет право создавать совещательные и экспертные органы. Такими органами стали Центры компетенций, созданные на базе управле…

21 марта 2020 Защита информации

Приостановление очного взаимодействия с Роскомнадзором 20 марта 2020 года на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) опубликовано сообщение о приостановке проведения плановых и внеплановых проверок и переходе на механизмы систематического мониторинга в онлайн режиме в связи…

14 февраля 2020 Защита информации

Facebook и Twitter привлечены к административной ответственности за нарушение правил локализации персональных данных В России сформированы очередные прецеденты привлечения зарубежных социальных сетей к ответственности за нарушение правил локализации персональных данных российских граждан, предусмотренных частью 5 статьи 18 Федерального закона от 27. 07.2006 № 152-ФЗ «О персональных данных». В соответствии с дан…

Спасибо за обращение. В ближайшее время мы с вами свяжемся.

Изменения в обработке персональных данных

1 сентября вступили в силу поправки в закон № 152-ФЗ «О персональных данных». В них описаны новые требования к обработке персональных данных.

Разбираемся, как изменения отразятся на кадровом делопроизводстве и работе с персональными данными кандидатов и сотрудников.

 

Основные понятия

Персональные данные (ПДн) — это любая информация, которая так или иначе конкретизирует и идентифицирует человека. Тот, кто собирает и обрабатывает эти данные, называется оператором. А человек, чьи данные обрабатываются, — субъектом персональных данных.

Например, если компания ведет подбор и обрабатывает данные кандидатов, то она будет оператором персональных данных этих людей. А сами кандидаты — субъектами персональных данных.

Мы уже подробно рассказывали об общих принципах обработки персональных данных и о том, какие согласия нужно брать у кандидатов и сотрудников.

 

Новые требования к согласию на обработку персональных данных

Теперь согласие, которое вы получаете от кандидата или сотрудника, должно быть не только конкретным, информированным и сознательным, но и предметным и однозначным. Это указано в измененной части 1 статьи 9 152-ФЗ.

Официальных разъяснений этих требований пока не давали. Расскажем, как это трактуем мы.

Предметность. В предметном согласии цель обработки данных должна быть сформулирована как можно более четко. Допустим, вы берете согласие сотрудника, чтобы на его имя купить билет на профессиональную конференцию. Формулировка «Для соблюдения локальных нормативных актов» не подойдет. Лучше написать: «Для приобретения входного билета на конференцию».

Однозначность относится к тому, как субъект персональных данных дает это согласие. Например, раньше молчание или бездействие пользователя на сайте можно было посчитать «молчаливым согласием». А теперь нужно, чтобы субъект ПДн однозначным действием подтвердил свои намерения — например, поставил галочку в чек-боксе рядом с текстом согласия.

Часть экспертного сообщества трактует требование однозначности иначе, но наши внутренние эксперты придерживаются принципа, описанного выше.

Посмотрите, как оформлено согласие на карьерном сайте Яндекса. Здесь под формой отклика три согласия с разными целями, каждая из которых описана максимально четко и конкретно. Рядом с каждым из согласий отдельный чек-бокс.

Кстати, по новым правилам ссылку на документ, который определяет политику обработки ПДн, теперь нужно размещать на каждой странице сайта, где есть форма сбора данных (ч. 2 ст. 18.1 152-ФЗ).

 

Изменение сроков реагирования на запросы

Сроки исчисляются в рабочих днях.

 

Сроки можно увеличить, но не более чем на 5 дней. Для этого необходимо отправить мотивированное обращение в Роскомнадзор (РКН) или человеку, от которого вы получили запрос (ч. 1, ч. 2, ч. 4 ст. 20 152-ФЗ). В таком обращении нужно указать причины, по которым продлевается срок ответа или предоставления данных. 

Важно, чтобы причины были объективными — например, вам нужно обратиться к бумажному архиву в другом конце страны.

 

Уведомление о любой автоматизированной обработке персональных данных 

Раньше уведомлять РКН не требовалось, если вы собирались автоматизированно обрабатывать:

  • данные сотрудников, с которыми заключен трудовой договор;
  • общедоступные персональные данные;
  • данные, которые включали только фамилию, имя и отчество;
  • данные, необходимые для оформления пропуска.

Теперь во всех этих случаях при намерении обрабатывать данные с помощью компьютера и любых программ вам нужно будет уведомить Роскомнадзор (ч. 2, ст. 22 152-ФЗ). Он внесет вашу компанию в реестр операторов, которые осуществляют обработку персональных данных.

Форма уведомления будет утверждена приказом Роскомнадзора, но пока можно использовать старую форму с сайта РКН.

Уведомление о намерении обрабатывать персональные данные достаточно подать один раз. Каждый раз, когда вы берете в работу нового кандидата или собираетесь покупать билет сотруднику, уведомлять не нужно. Однако если появилась новая цель обработки данных, то об этом необходимо сообщить в РКН.

Кроме сведений об операторе данных, в уведомлении нужно указать:

  1. Цели обработки ПДн. Их можно сформулировать так:
  • в целях исполнения трудового договора;
  • в целях включения в кадровый резерв;
  • в целях обеспечения безопасности сотрудников — например, при введении видеонаблюдения в офисе.
  1. Правовое основание обработки ПДн — например, согласие субъекта ПДн или требования закона.
  2. Сведения об информационных системах, где будут обрабатываться данные.
  3. Информация об ответственном за организацию обработки персональных данных.

Если данные обрабатываются вручную, уведомлять РКН не нужно. Например, это касается случаев, когда вахтер вписывает в журнал посещений имя и фамилию человека.

 

Уведомление об утечке персональных данных

В последнее время участились инциденты с утечкой персональных данных. Из-за этого появились новые требования к тому, как компания должна действовать в таких ситуациях. Если произошла утечка персональных данных, компания должна сообщить об этом в Роскомнадзор в течение 24 часов с момента обнаружения инцидента (ч. 3.1. ст. 21 152-ФЗ). Для этого нужно заполнить специальную форму и описать:

  • инцидент;
  • предполагаемую причину происшествия;
  • возможный вред, который был причинен субъектам ПДн;
  • как будут устраняться последствия;
  • кто уполномочен взаимодействовать с Роскомнадзором от имени компании.

А в течение 72 часов с момента обнаружения утечки необходимо провести внутреннее расследование, а также сообщить о его результатах и виновниках в Роскомнадзор. Для этого тоже есть отдельная форма.

Кроме того, информацию об утечке персональных данных нужно будет передавать в государственную систему обнаружения и предупреждения компьютерных атак (ГосСОПКА). Порядок взаимодействия с ГосСОПКА определит ФСБ.

 

Новые требования к поручению обработки персональных данных другому лицу

Если работодатель использует рекрутинговую CRM, куда загружает данные о кандидатах, то он сам является оператором данных, а компания-правообладатель этой системы обрабатывает данные по поручению оператора.

Изменились требования к такому поручению. Теперь в документе нужно указывать еще и следующее (ч. 3 ст. 6 152-ФЗ):

  • перечень персональных данных;
  • обязанность использовать базы данных на территории РФ для записи и хранения персональных данных;
  • меры, которые должен предпринять исполнитель для выполнения требований закона «О персональных данных»;
  • обязанность в течение срока действия поручения по запросу предоставлять информацию о соблюдении условий обработки персональных данных;
  • обязанность уведомить о случаях компрометации обрабатываемых данных.

 

Новые правила трансграничной передачи персональных данных

С 1 марта 2023 года будут действовать особые правила трансграничной передачи персональных данных (ст. 12 152-ФЗ).

Теперь нужно будет уведомлять Роскомнадзор, если вы собираетесь передавать персональные данные за границу — например, компании-аутсорсеру для тестирования сотрудников. Вот пример такого уведомления.

Страны, куда передаются данные, делятся на две категории:

  • обеспечивающие адекватную защиту прав субъектов персональных данных;
  • не обеспечивающие адекватную защиту прав субъектов персональных данных.

Если передаете данные в страны, обеспечивающие адекватную защиту, то достаточно просто уведомить об этом Роскомнадзор. После этого можно сразу же отправлять информацию за границу.

Если передаете данные в страны, которые не обеспечивают адекватную защиту, то алгоритм усложняется:

  1. Уведомите Роскомнадзор.
  2. Ожидайте около 10 дней, пока Роскомнадзор рассматривает уведомление. Ведомство вправе ограничить или запретить передачу данных.
  3. Передавайте данные только после разрешения РКН.

Исключение: передавать персональные данные в «небезопасные» страны до рассмотрения уведомления можно, если это необходимо для защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц.

 

Что изменилось в обработке персональных данных

  1. Согласие на обработку персональных данных теперь должно быть:
    • конкретным, 
    • информированным,
    • сознательным, 
    • предметным,
    • однозначным.
  2. Ссылку на политику обработки ПДн нужно размещать на каждой странице сайта, где есть форма для сбора данных пользователей.
  3. Сократились сроки, в которые нужно дать ответ на запрос Роскомнадзора и субъектов персональных данных.
  4. При любой автоматизированной обработке персональных данных нужно уведомлять Роскомнадзор.
  5. Уведомлять Роскомнадзор необходимо и при утечке персональных данных, которые обрабатывает оператор. Сделать это нужно не позднее 24 часов с обнаружения инцидента, а в течение 72 часов надо провести внутреннее расследование и оповестить о результатах РКН.
  6. Появились конкретные требования к содержанию поручения на обработку персональных данных, которое оператор дает другому лицу.
  7. С 1 марта 2023 года нужно будет уведомлять РКН о том, что вы передаете персональные данные пользователей за границу.

Отправляйте кандидатам запрос на обработку персональных данных прямо из Хантфлоу

Смотри, но не трогай — Россия вводит ограничения на обработку общедоступных данных

С 1 марта 2021 года в России вводятся ограничения на обработку общедоступных персональных данных в Интернете и офлайн. Изменения в законодательстве направлены на борьбу с неконтролируемым распространением персональных данных.

Изменение правовой основы

В соответствии с действующим пунктом 10 пункта 1 статьи 6 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ любой оператор данных (российский аналог термина контроллер) может обрабатывать персональные данные, если субъект данных сделал их общедоступными или поручил это другому лицу. В отличие от статьи 6(1) Общего регламента ЕС по защите данных, нет необходимости обосновывать обработку законными интересами, исполнением договора, согласием субъекта данных или другими общими законными основаниями. При внесении изменений в Федеральный закон «О персональных данных» № 519-ФЗ от 30.12.2020 вступает в силу, данное правило и термин общедоступные данные исчезают.

Изменения вводят новый термин «персональные данные, разрешённые к распространению субъектом данных»   и определяют его как персональные данные, доступ к которым предоставлен неограниченному кругу лиц субъектом данных, давшим согласие на обработку данные. Проще говоря, согласие субъекта данных станет единственным законным основанием, в соответствии с которым персональные данные могут быть размещены в общедоступных источниках и в дальнейшем использоваться любым заинтересованным оператором данных.

Согласно пояснительной записке к поправкам, их целью является предотвращение «сбора и неконтролируемого использования таких персональных данных на веб-сайтах в целях, отличных от первоначальной цели, для которой они были распространены». Однако юридический текст поправок не исключает их применения к офлайн-публикациям данных (например, указание профессиональных биографий в печатных маркетинговых бюллетенях).

Оформление согласия субъекта данных

В соответствии с изменениями согласие на обработку персональных данных, разрешенных к распространению субъектом данных, должно быть оформлено отдельно от других форм согласия, если оператор данных запрашивает несколько согласий одновременно. Согласие должно быть составлено таким образом, чтобы субъекты данных могли:

  • Четко заявить о своем желании сделать личные данные общедоступными.
  • Выберите определенные категории данных для распространения.
  • Ограничить способы распространения, кроме предоставления доступа к данным.
  • Установить условия и запреты на обработку распространяемых данных операторами данных, имеющими доступ к таким данным в общедоступных источниках.

Указанные ограничения, условия и запреты не распространяются на обработку данных в государственных и иных общественных интересах.

Роскомнадзор разработал более конкретные требования к содержанию согласия, но они еще не приняты.

Получение согласия субъекта данных

Субъект данных может дать согласие оператору данных на распространение персональных данных лично или передать его через специальную информационную систему Роскомнадзора. Пока неясно, как будет работать ИТ-система. Роскомнадзор должен ввести его в эксплуатацию 1 июля 2021 года.

В соответствии с новой статьей 10.1(10) Закона о персональных данных оператор данных должен опубликовать ограничения, условия и запреты, указанные в согласии, в течение трех рабочих дней с момента его получения. Поправки не уточняют, как должна выглядеть публикация и должна ли она размещаться рядом с публикуемыми данными (например, на той же странице). Операторы данных, получающие доступ к персональным данным в общедоступных источниках, должны искать указанные ограничения, условия и запреты и соблюдать их. Они несут бремя доказывания того, что они обрабатывают данные на законных основаниях.

Информирование субъектов данных

В отличие от статьи 14 GDPR, действующая редакция статьи 18(4)(3) Закона о персональных данных не требует, чтобы операторы данных информировали субъектов данных об обработке их данных от общедоступные источники. После вступления изменений в силу операторы данных будут освобождены от этой обязанности только в том случае, если они будут соблюдать условия и запреты на обработку распространяемых данных, определенные в согласии.

Прекращение распространения данных

Поправки устанавливают право субъекта данных отозвать свое согласие в любое время и с немедленным вступлением в силу путем уведомления оператора данных без объяснения причин. В этой ситуации , оператор данных может продолжить обработку, за исключением раскрытия категорий данных, перечисленных в уведомлении. Поправки не поясняют, кому субъекты данных могут направлять свои уведомления — оператору данных, впервые обнародовавшему данные, последующим операторам или всем им.

Кроме того, новая статья 10.1(14) Закона о персональных данных гласит, что субъекты данных могут связаться с любым, кто обрабатывает их данные, и запретить им распространение, передачу, предоставление и доступ к своим данным или даже подать в суд на такой запрет в случае нарушения требований законодательства, введенных поправками. Оператор данных, получивший запретительное уведомление, должен прекратить эту деятельность в течение трех рабочих дней. Юридический текст не дает никаких указаний на принципиальную разницу между этой процедурой и упомянутым отзывом согласия. Вполне вероятно, что прецедентное право сделает его более ответственным.

Что делать?

Новые правила касаются онлайн-бизнеса, особенно компаний, занимающихся большими данными и социальных сетей, рекрутеров, собирающих резюме в Интернете, компаний, размещающих биографии и профили своих сотрудников на корпоративных веб-сайтах, маркетинговых агентств и других предприятий, распространяющих личные данные или использующих общедоступные источники информации. любой. Таким компаниям представляется разумным сделать следующее:

  • Аудит их деятельности по обработке общедоступных данных, включая операции на их корпоративных веб-сайтах.
  • Разработать новые шаблоны согласований, когда Роскомнадзор примет требования к их содержанию.
  • Все публикации персональных данных сопровождать описанием условий обработки, ограничений и запретов, указанных в соответствующем согласии.
  • Проинструктировать сотрудников соблюдать условия обработки, ограничения и запреты, если они используют персональные данные из общедоступных источников.
  • Обновление процедур ответа субъекта данных с акцентом на поправки.
  • Обновить другие процедуры и документы о конфиденциальности, если в них упоминается обработка общедоступных данных на основании устаревшего законодательства.
  • Направить обновленное уведомление о персональных данных в Роскомнадзор, если в предыдущем уведомлении упоминалась обработка общедоступных данных.
  • Продолжайте следить за обновлениями Роскомнадзора в новой ИТ-системе для обработки разрешений и ожидайте развертывания примерно 1 июля 2021 года.

Фото с сайта Unsplash

С 1 сентября 2022 года изменится Порядок работы с персональными данными физических лиц

С 1 сентября 2022 года вступают в силу изменения в действующее законодательство в области защиты персональных данных: круг лиц, которым необходимо передать информацию в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор ) о намерении обрабатывать персональные данные, изменен ряд ранее установленных сроков и порядок работы с биометрическими данными и т. д. Эти изменения коснутся даже тех компаний, в которых работает только один сотрудник.

Напоминаем, что в соответствии с законодательством Российской Федерации Оператором персональных данных является лицо (государственный орган, муниципальный орган, юридическое или физическое лицо), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определение целей обработки персональных данных, состава персональных данных, подлежащих обработке, действий (операций), совершаемых с персональными данными.

Включение в реестр операторов персональных данных

В соответствии с изменениями урезан ряд исключений, позволяющих Операторам не уведомлять Роскомнадзор об обработке персональных данных. Согласно поправкам, с 1 сентября 2022 года большинству компаний, предпринимателей, а в некоторых случаях даже физическим лицам необходимо включение в реестр операторов персональных данных (в том числе при обработке персональных данных штатных работников организации).

Операторы по-прежнему вправе осуществлять обработку персональных данных без уведомления Роскомнадзора, когда обработка осуществляется без использования средств автоматизации (без использования технических средств /на бумаге).

Для включения в реестр операторов персональных данных необходимо направить соответствующее уведомление в Роскомнадзор. Уведомление может быть направлено в виде документа на бумажном носителе или в виде электронного документа, подписанного уполномоченным лицом.

При наличии изменений в данных, внесенных в реестр ранее, оператор может внести изменения, направив информационное письмо в Роскомнадзор. Способы направления такого письма такие же, как и для уведомления о намерении приступить к обработке персональных данных. Срок для этого составляет 10 рабочих дней с момента внесения изменений.

Обратите внимание, что с 1 сентября 2022 года Роскомнадзор публикует новую форму уведомления. Его электронная форма и порядок заполнения будут размещены на Портале персональных данных Роскомнадзора.

Организациям, осуществляющим свою деятельность до вступления в силу нововведений и ранее не передававшим в Роскомнадзор сведения об обработке персональных данных, рекомендуем в кратчайшие сроки включиться в реестр операторов используя вышеуказанную форму.

Предоставление Биометрических персональных данных и согласие на обработку персональных данных является обязательным только в исключительных случаях

Согласно изменениям, с 1 сентября 2022 г. Оператор не вправе отказать в обслуживании последний отказывается предоставить свои биометрические персональные данные и/или дает согласие на обработку персональных данных, если такая обязанность не установлена ​​законодательством.

Операторы должны сообщать об инцидентах, приведших к утечке персональных данных

В случае неправомерной или случайной передачи персональных данных Оператор обязан сообщить Роскомнадзору соответствующую информацию в следующие сроки:

— в течение 24 часов: о происшествии, его причинах, предполагаемом вреде, мерах по устранения последствий, сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором;

— в течение 72 часов: по результатам служебного расследования выявленного происшествия, сведения о лицах, действия которых послужили причиной происшествия.

Изменились ранее установленные законодательством сроки совершения Оператором действий, связанных с обработкой персональных данных

Например, срок, в течение которого Оператор обязан дать ответ на запрос субъекта персональных данных и Роскомнадзор сокращен с 30 до 10 рабочих дней.

Кроме того, срок прекращения обработки персональных данных Оператором составляет 10 рабочих дней с даты получения соответствующего запроса.

К иностранным лицам теперь применяются требования законодательства о защите персональных данных

К иностранным лицам, осуществляющим обработку персональных данных граждан Российской Федерации, стали применяться положения Федерального закона «О персональных данных», с на основании договора, иных соглашений или с их согласия.

Кроме того, иностранные лица, осуществляющие обработку персональных данных по поручению Оператора, также несут ответственность в случае нарушения установленного порядка в области защиты персональных данных.

Ужесточены и расширены требования к порядку трансграничной передачи персональных данных:

Обратите внимание! Операторы, осуществившие трансграничную передачу персональных данных до 1 сентября 2022 г. и продолжающие передачу персональных данных после 1 сентября 2022 г., обязаны до 1 марта 2023 г. направить в Роскомнадзор уведомление о трансграничной передаче персональных данных. Форма такого уведомления будет будет опубликована 1 сентября 2022 года на сайте Роскомнадзора.

С 1 марта 2023 г. оператор обязан уведомить Роскомнадзор перед осуществлением трансграничной передачи персональных данных. Соответствующее уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных на бумажном носителе или в форме электронного документа.

Перед направлением уведомления оператор должен получить информацию от субъектов, которым планируется осуществлять трансграничную передачу персональных данных, о правовом регулировании персональных данных в соответствующей стране (конкретный перечень необходимой информации приведен в пункте 5 статьи 12 Федерального закона «О персональных данных»).

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *