Найти в Дзене
МедиаПраво.ком
159 подписчиков

Согласие на распространение персональных данных — опубликованы требования Роскомнадзора

295
8 мин
Оглавление

Изменения в Закон “О персональных данных” внесены законом № 519-ФЗ и об особенностях распространения персональных данных я уже писал.

Роскомнадзор установил специальные требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

На момент публикации этого поста Роскомнадзор уже издал проект приказа . Но к финальному релизу возможны изменения, поэтому применяйте его пока для ориентира. Как только приказ будет утвержден, я внесу в статью изменения. То есть, если вы читаете этот абзац, значит приказ еще не подписан.

Согласие на распространение персональных данных и согласие на обработку персональных данных — в чем разница

До принятия 519-ФЗ все виды обработки ПД могли быть прописаны в одном согласии. С 1 марта 2021 года правила изменились: человек может дать согласие на обработку персональных данных, но в тоже время не разрешить их распространять. Попробую на примерах и в схемах объяснить нюансы.

Обработка — это любое действие с персональными данными, в том числе:

  • сбор, запись, систематизация;
  • накопление, хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование, удаление, уничтожение персональных данных.

Из этого следует, что распространение —  это один из случаев передачи персональных данных. Он отличается от предоставления и доступа к персональным данным. Соответственно и согласия для этих случаев обработки разные.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Основным отличием распространения от предоставления является определение получателей данных.
Передача персональных данных
Передача персональных данных

В одном случае круг получателей не определен и не известен заранее. В другом — это известный получатель или определенный круг лиц.

Примеры распространения персональных данных

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц. По сути — это их публикация:

  • размещение профилей в соцсетях;
  • публикация данных о сотрудниках на корпоративных сайтах, форумы;
  • сайты с объявлениями, отзывами, вакансиями.
  • публикации в газетах, журналах;
  • печатные рекламные буклеты с контактами, ФИО и фото сотрудников;
  • публикация результатов спортивных мероприятий на интерактивных мониторах;
  • визитки, возможно.

Если вы планируете распространять персональных данные для неопределённой аудитории, то необходимо получать согласие на распространение персональных данных. В этом согласии субъект персональных данных должен прямо вам разрешить это делать.

Распространение персональных данных
Распространение персональных данных

Согласие на обработку персональных данных, разрешенных для распространения, в любом случае дается конкретному оператору. Такое согласие не разрешает другим лицам использовать персональные данные субъекта в своих целях. Случаи обработки персональных данных без согласия субъекта строго определены в пунктах 2-11 части 1 статьи 6 Закона "О персональных данных".

Требования к содержанию согласия на распространение персональных данных

Роскомнадзор планирует в июле 2021 года запустить единую информационную систему для управления согласиями персональных данных, разрешенных для распространения. Пока этой системы нет, когда она появится и как будет работать — неизвестно. Поэтому единственным возможным пока остается предоставление согласия конкретному оператору.

Согласие не всегда должно быть в письменной форме. Допускается любая форма, позволяющая подтвердить факт его получения.

Письменная форма согласия требуется в случаях, если распространяются персональные данные, для обработки которых требуется письменная форма.

Каждый оператор должен разработать свой бланк согласия или веб-форму, предусмотрев в нем обязательные сведения, которые утвердил Роскомнадзор.

Вот краткий чек-лист содержания согласия:

  1. Фамилия, имя отчество субъекта.
  2. Контакты субъекта.
  3. Наименование оператора персональных данных.
  4. Цели распространения персональных данных.
  5. Категории и виды персональных данных, распространение которых субъект разрешает.
  6. Категории и перечень персональных данных, распространение которых субъект запрещает, а также перечень устанавливаемых условий и запретов.
  7. Четко определенный срок согласия.
  8. Сведения о ресурсах, где будут распространятся персональные данные.

Подробнее о каждом пункте читайте ниже. Читайте обязательно, потому что если согласие будет получено с нарушением или полная информация не будет указана, считайте, что согласия нет. А за обработку персональных данных без согласия — новые штрафы и блокировка сайта.

Подробные требования к содержанию согласия

Согласие должно включать в себя следующую информацию:

1) Фамилия, имя, отчество (при наличии) субъекта персональных данных на русском языке.

Для иностранного гражданина и лица без гражданства указывается русская транскрипция его фамилии или имени/отчества.

2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных).

Номер телефона должен представлять собой абонентский номер подвижной радиотелефонной или фиксированной связи. Номер телефона указывается в формате: код страны, код города или код мобильного оператора связи (до 3 знаков), номер телефона.

Адрес электронной почты должен состоять из двух частей, разделенных символом «@». В левой части указывается имя электронного почтового ящика, в правой части указывается доменное имя сервера, на котором располагается электронный почтовый ящик.

Почтовый адрес указывается в соответствии со сведениями, содержащимися в Государственном адресном реестре (ФИАС).

3) Наименование или фамилия, имя, отчество (при наличии) и адрес оператора, получающего согласие субъекта персональных данных.

Указывается полное и сокращенное (при наличии) наименование оператора, осуществляющего обработку персональных данных, индивидуальный номер налогоплательщика (ИНН), а также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС) по направлениям деятельности.

Адрес оператора, осуществляющего обработку персональных данных, указывается в соответствии со сведениями, содержащимися в Государственном адресном реестре (ФИАС), с обязательным указанием субъекта Российской Федерации, населенного пункта (муниципального образования) в пределах которого находится адрес оператора, осуществляющего обработку персональных данных.

4) Цель (цели) обработки персональных данных.

Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.

5) Категории и перечень персональных данных, на обработку которых дается Согласие субъекта персональных данных.

Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:

  • общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
  • специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
  • биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).

Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

6) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов.

Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.

Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.

Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

7) Срок, в течение которого действует Согласие.

В указанном поле Согласия должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.

Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.

8) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных.

Сведения об информационных ресурсах оператора указываются в виде адреса, состоящего из наименования протокола (http или https), сервера (www), домена (персональные данные.ru), имя каталога на сервере и имя файла веб-страницы, на которой будут размещены персональные данные субъекта персональных данных.

Что делать со старыми согласиями

Ранее полученные согласия можно оставить и использовать до истечения срока их действия. Они сохранят свою силу для всех других случаев обработки персданных, кроме распространения.

Нужно только определить и составить список всех персональных данных, которые вы публикуете, и получить новые согласия. Легко сказать...

Источник опубликован в разделе о персональных данных моего блога MediaPravo.com

Остаюсь с вами на связи.

Взгляните на эти темы
Гаджеты и электроника
Кибербезопасность
Найти тему
Безопасность и правопорядок
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Технологии в финансах
Технологии будущего
Смартфоны OnePlus
Смартфоны Tecno
Гаджеты и электроника
5,73 млн интересуются