Роскомнадзор вводит тотальную слежку за переговорами и передвижениями всех россиян. как под нее не попасть
Содержание:
- Что относится к персональным данным по мнению Роскомнадзора
- Гигантское количество данных
- Как избежать слежки
- Северо-Кавказский федеральный округ
- Роскомнадзор: что проверяет и на что обращает внимание
- Вот я в реестре, а дальше что?
- Виды проверок
- Уведомление оператора персональных данных
- Как осуществляется проверка
- При каких обстоятельствах можно оспорить результаты проверки
- Особенности проверки Роскомнадзором защиты персональных данных на предприятии
- Что делать владельцу сайта, чтобы избежать штрафов
- Что проверяет Роскомнадзор
- В каких случаях возможны внеплановые проверки?
- Как избежать слежки
- “Письмо счастья” от Роскомнадзора
- Подробные требования к содержанию согласия
- 1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.
- 2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)
- 3) Сведения об операторе персональных данных
- 4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных
- 5) Цель (цели) обработки персональных данных
- 6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных
- 7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов
- 8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников
- 9) Срок действия согласия
- Выводы
Что относится к персональным данным по мнению Роскомнадзора
Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.
Сбор копий документов, содержащих персональные данные
Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.
Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.
Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.
Являются ли идентификаторы персональными данными
Такие идентификаторы как ИНН, СНИЛС, электронная почта и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.
Даже без дополнительной информации идентификаторы являются персональными данными.
Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.
Фотографии и видеозаписи в контексте персональных данных
Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”
Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.
Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.
Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.
Профилирование и оценка личностных качеств
Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя. По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных
Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности. Для проведения профилирования необходимо получать согласие на обработку персональных данных.
Гигантское количество данных
Согласно тексту проекта постановления, Роскомнадзор сможет запрашивать у операторов поистине огромный объем информации об абонентах. В первую очередь это их ФИО, дата рождения, место жительства и данные об удостоверяющем личность документе – например, паспорте, который они предоставляли при заключении договора. Абоненты корпоративных тарифов против своей воли будут делиться с ведомством еще и названием компании, в которой они работают. Все нижеперечисленное тоже касается абонентов обычных и корпоративных тарифных планов.
Защититься от слежки со стороны Роскомнадзора можно будет в мессенджерах
Наряду с этим Роскомнадзор сможет узнать личный номер телефона абонента и дату заключения договора с оператором связи. Если договор расторгнут, то дата его закрытия тоже будет передана ему.
Роскомнадзор сможет даже отслеживать приблизительное местоположение абонентов в момент совершения вызова, так как, согласно тексту проекта постановления Правительства, операторы будут передавать ему информацию об идентификаторе базовой станции, притом это коснется как вызывающего абонента, так и того, кому он звонит. Вместе с этим он получит информацию о номере вызываемого абонента, а также о дополнительном его номере, на который осуществляется переадресация, если таковой имеется.
В дополнение к перечисленному Роскомнадзор будет получать сведения о факте передачи голоса, текстовых и мультимедийных сообщений, а также об интернет-трафике, даже если для этого использовались промышленные устройства или устройства умного дома (датчики, сенсоры и др.). Весь этот объем данных, согласно проекту постановления, должен будет обновляться ежедневно.
Как избежать слежки
Согласно документу, у Роскомнадзора будет информация лишь о факте передаче данных через мобильный интернет, но сам трафик он отслеживать не сможет. Исходя из этого, абоненты, не желающие делиться с ведомством информацией о своих звонках, могут переключиться на использование мессенджеров.
Популярные в России сервисы, например, WhatsApp и Telegram, имеют встроенное сквозное (end to end) шифрование голосовых вызовов. Информацию о том, с кем пользователи ведут текстовую переписку, Роскомнадзор тоже не сможет узнать по запросу оператору связи – ему для этого нужно будет обращаться непосредственно к владельцам мессенджера.
К слову, Telegram российские власти пытались блокировать в апреле 2021 г., но сервис продолжал работать, и в июне 2021 г. «блокировка» была отменена. Также существуют специализированные мессенджеры, во главу угла ставящие именно приватность. В их число, помимо прочих, входит Signal.
Решение Dell «ПК как услуга». Подробнее об этом — в брошюре «Общий экономический эффект от использования решения Dell PCaaS». Получите бесплатно!
- Короткая ссылка
- Распечатать
Северо-Кавказский федеральный округ
Ставропольский край
30 ноября 2020 года Управление Роскомнадзора по Ростовской области опубликовало план проверок операторов персональных данных Ростовской области на 2021 год.
Кабардино-Балкарская республика
30 ноября 2020 года Управление Роскомнадзора по Кабардино-Балкарской Республике опубликовало план проверок операторов персональных данных Кабардино-Балкарской Республики на 2021 год.
Республика Ингушетия
30 ноября 2020 года Управление Роскомнадзора по Республике Ингушетия опубликовало план проверок операторов персональных данных Республике Ингушетия на 2021 год.
Карачаево-Черкесская республика
30 ноября 2020 года Управление Роскомнадзора по Карачаево-Черкесской Республике опубликовало план проверок операторов персональных данных Карачаево-Черкесской Республики на 2021 год.
Роскомнадзор: что проверяет и на что обращает внимание
Мероприятия по охране труда: план на предприятии
В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.
При плановой ревизии важно:
- какие именно данные обрабатывает компания;
- кто отвечает за обработку;
- где можно ознакомиться с политикой компании (в том числе на сайте);
- кому передаются данные;
- как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
- как хранятся документы, и как контролируется доступ в этих помещениях;
- насколько всё перечисленное соответствует заявленному в документах.
Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.
Вот я в реестре, а дальше что?
Да ничего особенного. В текущей деятельности нет вообще никаких изменений. Ну можете присоединиться к Кодексу добросовестных практик https://pd.rkn.gov.ru/code/ Дополнительным фактором для назначения проверки наличие или отсутствие компании в реестре не является, хотя если в ходе проверки будет установлено, что деятельность оператора не попадает под исключения, то может быть наложен более высокий штраф уже по ст. 13.11 КоАП.
Своевременно вносите изменения
Если у вас меняются какие-либо сведения, включенные ранее в реестр, то требуется внести изменения в течение 10 дней со момента их возникновения (часть 7 статьи 22 ФЗ “О персональных данных”). За несвоевременное направление или не направление этих сведений — опять административный штраф по ст. 19.7 КоАП.
Виды проверок
Проверки Роскомнадзора, согласно ст. 9 и 10 закона «О защите…» от 26.12.2008 № 294-ФЗ, могут быть плановыми и внеплановыми. Каждая из них, в свою очередь, может быть документарной или выездной.
Что проверяет Роскомнадзор при плановой проверке
Основная цель плановой проверки — соблюдение законодательства в подведомственной Роскомнадзору сфере. Роскомнадзор проводит плановые проверки с применением специальных проверочных листов. Проверочные листы для каждой подведомственной сферы утверждаются нормативными актами Роскомнадзора.
Проверочный лист, помимо обязательных для него реквизитов (даты проверки, номера, места проведения, наименования организации, в отношении которой проводится проверка, данных об основании проверки и проверяющих сотрудниках), содержит набор вопросов, которые должны быть заданы представителям проверяемой организации. Исходя из ответов или документов, которые есть в организации, проверяющие ставят напротив каждого вопроса ответ «да» либо «нет» в зависимости от того, выполнены обозначенные в вопросе требования или нет.
Для справки! Организация, согласно ч. 12 ст. 9 закона № 294, должна быть письменно уведомлена о предстоящей плановой проверке как минимум за 3 рабочих дня до ее начала. Кроме того, о предстоящей проверке можно узнать на сайте Генпрокуратуры РФ. Там публикуется ежегодный сводный план проверок, публикация проводится в срок до 31 декабря предшествующего проверке года.
Более полную информацию по теме вы можете найти в КонсультантПлюс.
Пробный бесплатный доступ к системе на 2 дня.
Периодичность плановых проверок по общему правилу не может превышать 1 раза в 3 года.
Внеплановая проверка Роскомнадзора — что проверяют
В отличие от плановой, внеплановая проверка проводится не периодически, а при необходимости, если есть основания, предусмотренные ч. 2 ст. 10 закона № 294. Например, при поступлении жалоб на действия организации, с целью проверки, устранены ли ранее выявленные нарушения, и т. д.
Проверочные листы Роскомнадзора в ходе внеплановой проверки не используются. А основная задача внепланового рейда — проверка конкретных фактов, например обозначенных в жалобах граждан, а также выяснение, устранены ранее выявленные недочеты или нет.
Важно! О проведении внеплановой проверки проверяемая организация должна быть уведомлена минимум за сутки до визита проверяющих сотрудников согласно ч. 16 ст
10 закона № 294.
Уведомление оператора персональных данных
- уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
- уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
- персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).
Как проверить наличие уведомления в реестре и что делать дальше
реестре операторов персональных данныхидем заполнять уведомление
- уведомление заполнялось давно и в организации действительно с тех пор изменились многие условия обработки персональных данных;
- уведомление заполнялось для галочки без должного анализа ситуации и сбора информации.
форма для внесения изменений
Как осуществляется проверка
Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.
Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.
При каких обстоятельствах можно оспорить результаты проверки
Повод для обжалования — любое нарушение сотрудником Роскомнадзора правил, предписанных Постановлением. Ревизоры не показали приказ о проверке, не пускали вас в помещение и не давали высказаться, превысили допустимые сроки проверки? Все это достаточные основания.
Кроме того, вы можете подать жалобу, если РКН запретил вам работать с персональными данными, а вы уверены, что ничего не нарушали.
Пример
Подбирая сотрудников, организация публикует вакансии на работных сайтах, а принятые резюме хранит на рабочих компьютерах в HR-отделе. Проверяющий заключил, что компания нарушила требования по защите персональных данных, поскольку не сообщила ведомству, что работает с личными сведениями таким способом. Однако суд с ведомством не согласился и вынес решение в пользу компании. Суд пояснил, что правоотношения между соискателем и потенциальным работодателем регулирует закон о занятости населения. Согласно ему, работодатели должны помогать гражданам в трудоустройстве, поддерживая госполитику обеспечения работой населения. При этом можно брать на работу соискателей, непосредственно обратившихся в организацию, на равных с присланными службой занятости. Таким образом, работодатель имеет право обрабатывать и хранить личные данные соискателей при наличии их письменного согласия. |
Если вы жалуетесь на сотрудников регионального Роскомнадзора — отправляйте жалобу в региональное управления Роскомнадзора. Если жалуетесь на проверяющих из федеральной службы — в федеральный Роскомнадзор.
У ведомства есть 30 дней на рассмотрение жалобы со дня ее регистрации. РКН может согласиться с претензией полностью, частично или вообще не согласиться.
Если вы подавали жалобу в региональный Роскомнадзор, и он с ней не согласился, обращайтесь в федеральное управление. Если и там результат отрицательный, идите в суд.
Особенности проверки Роскомнадзором защиты персональных данных на предприятии
Соблюдение норм действующего законодательства является ключевой обязанностью работодателя. Если знать законодательные нормы и неукоснительно им следовать, вопрос подготовки к визиту Роскомнадзора можно свести к минимуму.
Предпринимателю не стоит паниковать, потому как у проверяющих существует свой регламент
Важно знать, что перед инспекцией представителями Роскомнадзора должно быть направлено уведомление. В нём должны содержаться сведения о нормативной базе, на которой базируется проверка, её цель, сроки и план проверочных мероприятий
По прибытии сотрудников Роскомнадзора важно проверить их служебные удостоверения. Предприниматель также имеет право записать сведения о проверяющих в специальный журнал.. Перед выездной проверкой Роскомнадзор направляет письменный запрос, в котором указывает перечень интересующих документов
Ответить на него следует в течение 10 рабочих дней и если у проверяющих не возникнет вопросов касательно качества и полноты представленной документации, то необходимость выезда может вовсе исчезнуть. Если Роскомнадзор всё же решает провести выездную проверку, то обычно такое мероприятие длится не более 20 рабочих дней
Перед выездной проверкой Роскомнадзор направляет письменный запрос, в котором указывает перечень интересующих документов. Ответить на него следует в течение 10 рабочих дней и если у проверяющих не возникнет вопросов касательно качества и полноты представленной документации, то необходимость выезда может вовсе исчезнуть. Если Роскомнадзор всё же решает провести выездную проверку, то обычно такое мероприятие длится не более 20 рабочих дней.
Итогом комплексной инспекции является специальный акт, составляемый представителями Роскомнадзора. Если на предприятии выявляются нарушения, то в него включается предписание на их устранение.
Во время выездной проверки нужно следить за тем, чтобы представители комиссии работали в рамках своей компетенции. Инспекторы не могут изымать те документы, содержание которых не относится к плану мероприятий, а составленный акт может быть обжалован в суде.
Итак, подводя итог, можно сказать, что проверка Роскомнадзора является сложным процессом, затрагивающим ответственный сегмент работы – обработку и хранение персональных данных. Перед приходом проверяющих нужно привести в порядок все описанные выше локальные правовые акты, регламентирующие данный вопрос. Не стоит паниковать во время проверки и спешить при отправке документов в инспекцию. На предоставление информации предпринимателя имеется время, а значит, можно тщательно обдумать дальнейшие действия и не попасть под штрафные санкции.
Что делать владельцу сайта, чтобы избежать штрафов
Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.
Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.
Например, на сайте Microsoft этот документ называется заявление о конфиденциальности
Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании
Минимизируйте риски: убедитесь, что персональные данные защищены в соответствии с ФЗ-152
Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):
- ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
- цель обработки ПД;
- перечень ПД, на обработку которых субъект дает согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
- срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
- подпись субъекта ПД.
Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.
Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе.
Политика обработки персональных данных: как составить документ
Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда.
За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.
Случаи, когда уведомление Роскомнадзора не требуется
Уведомлять Роскомнадзор не нужно, если ПД:
относятся к субъектам, которых связывают с оператором трудовые отношения;
Персональные данные сотрудника: как с ними работать
- получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
- являются общедоступными;
- включают только ФИО субъектов ПД;
- нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
- включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.
Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.
Что проверяет Роскомнадзор
Роскомнадзор проверяет:
- Как оператор соблюдает требования закона «О персональных данных».
- Документы с правилами обработки персональных данных сотрудниками компании или индивидуальным предпринимателем (ч.1 ст. 18.1 закона 152-ФЗ).
- Программы и технику, с помощью которых оператор обрабатывает персональные данные: компьютер, принтер, сканер программа «1С:Предприятие».
Бизнесмена могут проверить по плану, неожиданно или просто наблюдать за ним:
- Плановые проверки проводят только удалённо — Роскомнадзор просит прислать ему нужные документы.
- Внеплановые проверки всегда проводят на месте — ревизоры приезжают на работу или домой к оператору.
- Наблюдение за оператором — сотрудники Роскомнадзора тайно наблюдают за бизнесменом со стороны.
В каких случаях возможны внеплановые проверки?
Регламентом предусмотрены следующие основания для проведения внеплановых проверок:
-
неисполнение оператором выданного Роскомнадзором предписания об устранении нарушений;
-
поступление в Роскомнадзор информации о причинении вреда жизни и здоровью граждан или возникновении угрозы причинения такого вреда вследствие ненадлежащего исполнения оператором своих обязанностей;
-
приказ руководителя Роскомнадзора или его территориального подразделения, изданный в соответствии с поручением президента, правительства или прокуратуры.
В п. 8 Правил основания для проведения внеплановых проверок несколько изменены:
Как избежать слежки
Согласно документу, у Роскомнадзора будет информация лишь о факте передаче данных через мобильный интернет, но сам трафик он отслеживать не сможет. Исходя из этого, абоненты, не желающие делиться с ведомством информацией о своих звонках, могут переключиться на использование мессенджеров.
Популярные в России сервисы, например, WhatsApp и Telegram, имеют встроенное сквозное (end to end) шифрование голосовых вызовов. Информацию о том, с кем пользователи ведут текстовую переписку, Роскомнадзор тоже не сможет узнать по запросу оператору связи – ему для этого нужно будет обращаться непосредственно к владельцам мессенджера.
К слову, Telegram российские власти пытались блокировать в апреле 2018 г., но сервис продолжал работать, и в июне 2020 г. «блокировка» была отменена. Также существуют специализированные мессенджеры, во главу угла ставящие именно приватность. В их число, помимо прочих, входит Signal.
“Письмо счастья” от Роскомнадзора
Поскольку большинство компаний не стремились и не стремятся направлять уведомления, Роскомнадзор в свое время начал активно пополнять реестр операторов путем направления таких вот писем.
Уведомление Роскомнадзора о необходимости включения в реестр операторов персональных данных
В чем смысл таких действий в целом понятен из текста. Выборка компаний делается по ОКВЭДам, и та деятельность, которая потенциально связана с обработкой персданных физических лиц, является поводом для направления письма.
РКН вроде как и не заставляет включаться в реестр, но в противном случае просит предоставить пояснение с указанием правовых оснований обработки ПД без направления уведомления. Для принятия решения предоставляется 30 дней.
Оставить без внимания такое письмо нельзя: нужно включиться в реестр или написать, что деятельность компании попадает под исключения, предусмотренные статьей 22 Закона “О персональных данных”.
В случае игнорирования может последовать привлечение к административной ответственности по статье 19.7 КоАП “Непредставление сведений (информации)”. Штраф, конечно, невелик (до 5 000 руб. на юрлицо), но потенциально игнор — это повод для последующего проведения внеплановой проверки* и вынесения предписания об устранении нарушения законодательства.
За неисполнение предписания уже последует административка по статье 19.5 КоАП “Невыполнение в срок законного предписания…”.
*Справка: поводы, основания, сроки и т.п. моменты, связанные с проведением проверок в сфере персональных данных, установлены Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных (утв.Постановлением Правительства РФ от 13 февраля 2019 г. № 146).
Подробные требования к содержанию согласия
Согласие должно включать в себя следующую информацию:
1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.
2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)
3) Сведения об операторе персональных данных
Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ
Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания.
Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.
4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных
5) Цель (цели) обработки персональных данных
Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.
6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных
Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:
- общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
- специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
- биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).
Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов
Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.
Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.
Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.
8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников
9) Срок действия согласия
Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.
Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.
Выводы
Важно! Статья 15.5 Закона «Об информации..» позволяет Роскомнадзору по решению суда блокировать сайты, которые допускают нарушения законодательства в области персональных данных. А пункт 14 статьи 10.1 Закона “О персональных данных” позволяет оспаривать отказ в удалении персональных данных в суде
Что делать со старыми согласиями, полученными до 1 марта 2021?
Они превращаются в тыкву. Для распространения нужно получать отдельное согласие. Но согласие остается возможным для остальных целей.
Когда получать новое согласие?
Не раньше, чем Роскомнадзор утвердит его форму.
Мы следим за изменениями
Остаюсь с вами на связи. Все вопросы по статье можно задать в чате Телеграм или. Следить за обновлениями контента удобнее в основном Телеграм-канале
Поделитесь в соцсетях
- 25
- 14