Согласие на обработку ПДн – один из главных документов по 152-ФЗ, который должен быть грамотно составлен в каждой компании, которая собирает или обрабатывает личные данные клиентов и сотрудников.
Нарушение требований законодательства в области защиты персональных данных может привести к серьезным последствиям для организаций, повлечь за собой гражданскую и уголовную ответственность, административные штрафы для должностных лиц и компаний, вплоть до оборотных (хотя пока еще это законопроект). Поэтому юристы, специалисты информационной безопасности, маркетологи и HR-менеджеры обязаны иметь полное понимание требований 152-ФЗ.
Специалисты консалтинговой компании Б-152 составили чек-лист проверки правильности применения согласия на обработку персональных данных, который поможет избежать нарушений и штрафов.
1. Убедитесь, что для обработки персональных данных субъекта вам необходимо именно согласие.
Так, 152-ФЗ содержит несколько правовых оснований для обработки персональных данных помимо согласия, например требования закона или договорные отношения с субъектом.
В случае, если у вас есть уже иное основание для обработки персональных данных, получение согласия будет избыточным и даже вредным. В таком случае оператор, вольно или невольно, вводит субъекта в заблуждение: по мнению субъекта, отозвав согласие, он прекратит обработку своих персональных данных.
В то же время у оператора после отзыва согласия остается иное основание для обработки персональных данных субъекта (например, требования законодательства или договорные отношения с субъектом), в связи с чем прекратить такую обработку и уничтожить персональные данные субъекта не представляется возможным.
2. Убедитесь, что согласие на обработку персональных данных получено в надлежащей для цели обработки персональных данных форме.
Так, например, 152-ФЗ устанавливает особые требования к сбору и обработке специальных категорий персональных данных (например, сведений о здоровье) и биометрических персональных данных, одним из которых является получение согласия на обработку таких данных исключительно в письменной (или приравненной к ней) форме. Требования к такому согласию также установлены 152-ФЗ.
Во всех остальных случаях оператор может собирать и обрабатывать персональные данные на основании согласия, полученного в любой форме, позволяющей подтвердить его получение и обеспечивающей соблюдение принципов конкретности, предметности, информированности, сознательности и однозначности такого согласия.
Пример нарушения: компания X, собирая специальные категории персональных данных с помощью своего сайта, не обеспечила получение у субъектов согласия на обработку таких данных в письменной или приравненной к ней электронной форме в соответствии с требованиями 152-ФЗ. За это компания может получить штраф.
3. Проверьте, что согласие содержит все необходимые элементы:
- реквизиты оператора и лица, обрабатывающего персональные данные по поручению (при наличии);
- цель обработки персональных данных;
- перечень обрабатываемых персональных данных и действий, совершаемых оператором с ними;
- сроки обработки;
- порядок отзыва согласия субъектом.
Цель обработки персональных данных и срок такой обработки должны быть конкретными и понятными для субъекта. В этой связи указание в согласии срока обработки “до отзыва субъектом согласия”, а также использование словосочетания “и иных целях” является некорректным.
Пример нарушения: компания Х получила согласие от клиента на обработку его персональных данных, но это согласие не содержало сведений о лице, обрабатывающем персональные данные субъекта по поручению оператора, а цель обработки персональных данных и срок такой обработки указаны неконкретно. Здесь налицо нарушение принципов конкретности и информированности согласия, заложенных 152-ФЗ. Компания может быть привлечена к административной ответственности.
4. Убедитесь, что субъект персональных данных был проинформирован о своих правах: на доступ к своим данным, на их изменение и удаление, на ограничение обработки и на возможность отозвать свое согласие.
5. Проверьте, что согласие получено до начала обработки персональных данных.
6. Убедитесь, что субъект персональных данных имеет возможность отказаться от предоставления своих данных без каких-либо негативных последствий для себя.
В случае, если взаимодействие с субъектом без предоставления им определенного перечня персональных данных невозможно (например невозможно доставить товар такому субъекту без предоставления последним адреса доставки и контактных данных), то необходимо разъяснить субъекту последствия отказа от предоставления им своих персональных данных (например, невозможность оказания такой услуги).
Пример нарушения: Компания Х, оказывающая услуги курьерской доставки, угрожает отказом в оказании услуги без предоставления субъектом номера мобильного телефона и адреса электронной почты для последующего осуществления Компанией Х рекламных рассылок.
7. Проверьте, что обработка персональных данных осуществляется только в рамках целей, указанных в согласии.
8. Убедитесь, что обрабатываемые персональные данные не передаются третьим лицам без согласия субъекта персональных данных.
9. Проверьте, что согласие на обработку персональных данных хранится (у оператора есть возможность подтвердить его получение), и такое хранение осуществляется в соответствии с требованиями законодательства.
Особенно важно, чтобы организации, работающие с большими объемами чувствительной личной информации, такие как, например, медицинские учреждения, хранили согласия в безопасном месте (если есть возможность – в зашифрованном виде), и разрешали доступ к ним только уполномоченному персоналу.
10. Убедитесь, что при изменении целей обработки ПДн или перечня третьих лиц, которым передаются персональные данные, субъект был уведомлен об этом и дал свое согласие на продолжение обработки.
Пример нарушения: компания Х начала использовать персональные данные клиентов, собранные для оказания услуг, теперь уже с целью осуществления рекламной рассылки, не уведомив об этом клиентов и не получив их нового согласия.
11. Проверьте, что согласие на обработку персональных данных не истекло.
Если в согласии срок обработки персональных данных 1 год, а с момента его подписания прошло 3, то согласие считается прекратившим свое действие.
Остались вопросы ? Задавайте в нашем Telegram-чате.
Если вы хотите хорошо разбираться в составлении всех документов по 152-ФЗ, знать подводные камни и получить системные знания в сфере Privacy для работы, то 6 июня стартует курс «Data Protection Officer» от Б-152, где практикующие эксперты по защите ПДн будут показывать все инструменты и методики минимизации рисков, давать практические задания и разбирать все методы на реальных кейсах компаний.
Вот это я понимаю - статья по ПД)
Вопрос по пункту 8: где в законе написано, что на передачу необходимо брать согласие (кроме ситуации с работниками)?