цели обработки персональных данных в организации

Описание страницы: изменения в законе о персональных данных от профессионалов для людей.

С 1 марта 2021 года вступили в действие поправки в закон № 152-ФЗ«О персональных данных». Поправки были внесены законом от 30.12.2020 № 519-ФЗ.

Основные изменения ─ ввели понятие «Персональные данные, разрешенные субъектом персональных данных для распространения» и установили правила их обработки.

Кроме этого, с 27 марта 2021 года изменился и КоАП (федеральный закон от 24.02.2021 № 19-ФЗ) ─ были ужесточены наказания за нарушения обработки персональных данных (ПД).

Дальше подробности и объяснение новых правил.

Что такое ПД, разрешенные субъектом ПД для распространения

Подробно о порядке сбора ПД мы писали в этой статье. Там же есть объяснение терминов из закона № 152-ФЗ.

Но чтобы разобраться с нововведениями, повторим: «Субъект ПД» ─ это любой человек, у которого компании или госорганы запрашивают личную информацию.

ПД, разрешенные для распространения ─ это данные, доступ к которым предоставляют неограниченному кругу лиц, но только с согласия субъекта ПД.

В некоторых случаях данные о человеке распространяют в открытых источниках, например, на сайтах, в соцсетях и т.д. С 1 марта для таких действий нужно получить отдельное согласие.

Примеры распространения ПД:

  • Отзывы ─ пишут, как зовут человека и указывают информацию о нем, например, возраст, должность, город проживания, количество детей и другое.
  • Интервью ─ сам формат предполагает, что о человеке будет рассказано достаточно много.
  • Информация об экспертах на лендингах онлайн-курсов, конференций и т.п.

По-простому, все, что вы сообщаете о человеке на своем сайте, в соцсетях или другом интернет-ресурсе относится к распространению ПД.

Читайте так же:  договор поставки характеристика

Новые требования

Согласие на распространение ПД надо получать отдельно от общего согласия на обработку ПД.

При получении согласия офлайн в письменной форме человеку надо предложить заполнить два бланка: первый ─ общее согласие на обработку ПД, второй ─ согласие на распространение.

В интернете для получения согласия обычно используют чекбокс со ссылкой на текст соответствующего документа. С 1 марта надо будет размещать два чекбокса: один ─ на общее согласие, второй ─ на распространение.

Кроме этого, в законе сказано, что человек еще должен выбрать, какие именно данные о себе он разрешает распространять. Пока непонятно, как технически настроить такой выбор на сайте. Возможно, придется рядом с каждым видом ПД предусматривать отдельные чекбоксы.

Такой формат может, конечно, повлиять на конверсию. И если вам не хочется заморачиваться с настройками под закон о ПД, подумайте, возможно, стоит отказаться от распространения данных.

Можно ли делать чекбокс сразу с галочкой?

В законе четко написано ─ согласие не может быть молчаливым или в форме бездействия. Это значит, что человек должен сделать осознанный шаг, когда дает согласие. Поэтому галочка, заранее поставленная в чекбоксе, нарушает закон.

Один из способов получения согласия ─ отправка бланка на email субъекта ПД. Он, в свою очередь, должен распечатать документ, подписать и отправить вам скан или фотографию согласия.

Бывают случаи, когда клиенты присылают отзыв на электронную почту. В такой ситуации надо попросить, чтобы отправитель дополнительно прислал согласие на публикацию отзыва, если там содержаться персональный данные.

Может ли пользователь запретить распространение ПД

Согласие может быть отозвано в любой момент без указания причин.

Это неудобно для отдельных проектов. Например, психолог предлагает бесплатные консультации при условии размещения записи беседы на своем сайте или соцсетях. Перед консультацией получены согласия на обработку и распространение ПД. А после размещения ролика клиент передумывает. Психолог вынужден удалить видео.

Даже если вы получили согласие, нет гарантии, что человек не отзовет его. И сделать с этим ничего не получится ─ удалять данные придется.

В каких случаях необязательно получать согласие на распространение ПД

Есть послабления у СМИ: не считается нарушением закона о ПД, когда журналисты и редакции СМИ распространили какую-то информацию при выполнении своих прямых обязанностей.

Читайте так же:  куда лучше эмигрировать из россии

Если на вашем сайте часто публикуются интервью, стоит задуматься о регистрации СМИ. Это даст возможность уйти от получения согласия на распространение ПД.

Видео (кликните для воспроизведения).

Еще один случай, когда согласие не требуется ─ если в информации, которую предали огласке, заинтересовано общество. Здесь важно не путать любопытство, например, к жизни известных людей, с общественным интересом ─ когда информация напрямую влияет на жизнь, здоровье, благосостояние граждан. Пример ─ распространение сведений о преступниках, которые находятся в розыске.

Что делать, если человек сам оставил информацию о себе

Иногда посетители сайта или соцсетей сами оставляют информацию о себе ─ пишут в комментариях имена, почты и даже телефоны. В таких случаях владельцу сайта надо доказать, что все, кто разместил личные данные на сайте, дали согласие на распространение.

Если у вас нет согласия, лучше удалите или отредактируйте подобные комментарии.

Это относится к случаям после 1 марта 2021 года ─ даты вступления в силу поправок в закон № 152-ФЗ, так как обратной силы закон не имеет.

Содержание согласия на распространение ПД

Форму Согласия утвердил Приказ Роскомнадзора от 24.02.2021 № 18. Приказ вступит в действие 1 сентября 2021 года.

В Согласии, согласно Приказа, должна быть такая информация:

  • данные субъекта ПД ─ ФИО на русском языке, для иностранцев или лиц без гражданства в русской транскрипции, контакты (телефон, email, почтовый адрес);
  • информация об операторе ПД ─ название организации, ФИО ИП или физлица, адрес, ИНН, коды ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС;
  • цели обработки ПД в формулировках закона № 152-ФЗ;
  • категории ПД, которые субъект разрешает и запрещает распространять;
  • срок, в течение которого действует согласие, при этом нельзя автоматически пролонгировать срок действия, устанавливать бессрочный статус и указывать на событие, наступление которого возможно в долгосрочной перспективе;
  • информация о ресурсах, где будут распространяться данные, вплоть до адреса страницы сайта.

Отдельно остановимся на категориях ПД:

  1. Общие ─ ФИО, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы.
  2. Специальные ─ расовая и национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья и интимной жизни, сведения о судимости.
  3. Биометрические ─ ДНК, радужная оболочка глаз, отпечатки пальцев, цветная цифровая фотография лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному.
Читайте так же:  категория условий эксплуатации

Напомним, что это лишь проект Приказа, возможно,требования к Согласию на распространение сделают проще, хотя бы в части указания сроков и места размещения.

Ответственность за нарушение закона о персональных данных

Если говорит в общем, то с 27 марта 2021 года штрафы повысили, плюс ввели бОльшие штрафы за повторные нарушения.

Для вашего удобства мы собрали в таблицу, за что и на сколько могут оштрафовать (ст.13.11 КоАП РФ).

Как защитить персональные данные сотрудников

ФИО и любая другая личная информация о гражданине – это персональные данные. Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных» . За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.

Но обычно к ним принято относить:

  • фамилию, имя, отчество;
  • адрес проживания;
  • электронный адрес;
  • номер телефона;
  • дата рождения;
  • место рождения;
  • национальность;
  • вероисповедание;
  • место работы;
  • должность;
  • рост;
  • вес;
  • и т.д.

Как должен защищать персональные данные отдел кадров

Читайте так же:  нотариус для инвалида на дом

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

  1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
  2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
  3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
  4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Как избежать претензий со стороны контролирующих органов и сотрудников

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

  • сотрудников, работающих по трудовым договорам;
  • работающих по договорам ГПХ;
  • и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

  1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
  2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
    • Приказ о назначении ответственного за организацию обработки персональных данных;
    • Документ, определяющий политику оператора в отношении обработки персональных данных;
    • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
    • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
    • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
    • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
    • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
    • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
    • Документ о классификации информационных систем;
    • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
    • Документ, устанавливающий порядок обработки персональных данных работников.
Читайте так же:  слова коллегам при уходе с работы

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

  1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
  2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный. Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

цели обработки персональных данных в организации
Оцените статью
Изображение - цели обработки персональных данных в организации serjkamysh
Автор статьи: Сергей Камышов

Позвольте представиться. Меня зовут Сергей и я уже более 7 лет оказываю юридические услуги. Считая себя профессионалом, хочу научить всех посетителей сайта решать сложные задачи. Все материалы для сайта собраны и тщательно переработаны для того чтобы донести как можно доступнее всю требуемую информацию. Однако чтобы применить все, описанное на сайте всегда необходима ОБЯЗАТЕЛЬНАЯ консультация со специалистами.

Обо мнеОбратная связь
Оцените статью:
Видео (кликните для воспроизведения).

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here