Изображение: recraft
Согласно действующему законодательству (ст. 3 ФЗ-152), информация, позволяющая прямо или косвенно идентифицировать человека, является персональными данными. И это могут быть, кстати, не только ФИО или номер телефона, персональными данными могут считаться даже cookie, если они собираются для таргетинга, маркетинга и проч., отслеживают действия пользователя на сайте, могут связываться с конкретным устройством или аккаунтом.
Любые организации или ИП (даже пусть состоящие и из одного человека), которые принимают, обрабатывают, хранят персональные данные, считаются операторами данных, и они обязаны быть зарегистрированы в Роскомнадзоре. Согласно ст. 6 152-ФЗ, ответственность за несоблюдение требований закона, касающихся сбора, обработки, передачи и хранения персональных данных лежит не на контрагентах (исполнителях), а на собственниках бизнеса, которые являются операторами данных.
Типичные ошибки:
- отсутствие предварительного аудита подрядчика на предмет существования и исполнения политики обработки персональных данных и ответственных за её исполнение, размещения дата-центров и др.;
- взаимодействие на основании устных договорённостей или письменных договорённостей без учёта ПДн;
- отсутствие в согласии на обработку персональных данных указания на возможность передачи персональных данных третьим лицам (например, пользователь оставляет заявку на сайте, а она потом интегрируется с CRM).
Цена за ошибки высока: это не только большие штрафы, но и блокировка баз данных.
Что нового и принципиально важного? С 1 сентября 2025 года по закону требуется согласие на обработку персональных данных в виде отдельного документа — ясного, подробного, конкретного, обоснованного, а не в составе договора, анкеты и прочих документов.
Более того, есть перечень обязательных пунктов, без которых согласие на обработку персональных данных будет считаться незаконным:
- данные человека (ФИО, адрес, паспортные данные) или его представителя (те же, ещё доверенность);
- информация об операторе (официальное и полное название компании с указанием адреса);
- цель обработки (чётко и конкретно, без размытых формулировок);
- конкретный перечень персональных данных (имя, телефон, e-mail, …);
- третьи лица, которым могут быть переданы персональные данные;
- возможные действия с данными (сбор, хранение, передача и др.);
- способы обработки;
- срок и порядок отзыва;
- подпись / электронная подпись.
Что можно передавать?
- ФИО;
- дата рождения;
- паспортные данные;
- ИНН;
- СНИЛС;
- адрес проживания, номер телефона, адрес электронной почты;
- данные об имеющемся уровне образования, квалификации, профессиональном опыте, месте работы;
- банковские реквизиты (для перечисления зарплаты);
- иные сведения, необходимые для выполнения обязательств.
Что передавать нельзя?
- биометрические данные
- сведения о политических, религиозных взглядах, членстве в профсоюзах
- данные о состоянии здоровья
- иные сведения, выходящие за пределы обозначенных в договоре
Государство стремится защитить граждан в цифровой среде, в связи с этим законодательство в области персональных данных перестаёт быть узконаправленной и специфической темой, а становится приоритетом для всех граждан, а также гарантом защиты и сохранности информации.
Автор: Татьяна Буторина, эксперт в области ИИ компании «Газинформсервис».
Оригинал публикации на сайте CISOCLUB: "Обмен персональными данными при найме: что (не) передавать подрядчикам и как фиксировать согласия".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.