Согласие на обработку персональных данных в 2021 году: изменения, штрафы, образец

Закон о защите персональных данных (ПДн) — №152-ФЗ от 27.07.2006 г. — призван решить проблему бесконтрольного использования личной информации, особенно в интернете. С каждым годом законодатели ужесточают требования к соблюдению норм.

Что изменилось в законе о персональных данных в 2021 году

Изменения касаются юридических лиц и ИП в отношении:

• клиентов;

• сотрудников.

Закон о персональных данных с 1 марта 2021 года отменяет негласное правило «молчание — знак согласия». То есть, чтобы использовать данные человека, его теперь нужно не просто спросить, но и получить письменное одобрение.

Важно: персональные данные собирают с определенной целью. Эту цель следует озвучить при запросе. Все персональные данные, которые получает компания, должны соответствовать цели. За сбор «лишних» ПДн, которые не способствуют достижению цели, компанию могут оштрафовать.

Компания, которая собирает персональные данные, становится оператором ПДн. Любой человек, подписавший согласие, может отозвать разрешение, и у оператора должна быть техническая возможность выполнить запрет.

Например, если компания доставляет заказ, то вправе спросить имя, адрес и контактный телефон у клиента. Это достаточно, чтобы «узнать» заказчика. В то же время запрос ссылки на соцсети или фото будет избыточным.

Норма об обязательном заполнении форм на обработку и распространение персональных данных действует до 1 сентября 2027 года.

Что ждет бизнес в 2022 году

Действующий порядок оформления согласий актуален до 1 марта 2022 года. С этой даты заработает единая информационная система, где будут собраны все согласия на обработку ПДн (приказ Роскомнадзора №106 от 21.06.2021 г.) и все заявления на прекращение обработки.

При этом сами данные никак не будут обрабатываться и использоваться ни сотрудниками РКН, ни третьими лицами.

Для работы в новом сервисе оператору понадобится электронная подпись.

Какие данные считают персональными

В законе о персональных данных 152-ФЗ нет прямого перечня такой информации, но есть определение. Это любые сведения, которые относятся к физлицу, или субъекту ПДн, и помогают идентифицировать его.

Исходя из этого персональными данными признают:

• полное имя физлица;

• дата рождения;

• паспортные данные;

• адрес регистрации или фактического пребывания;

• контактная информация (телефон, адрес электронной почты, личный аккаунт в соцсетях);

• фотография.

Это значит, что компания, собирающая лиды в соцсетях, автоматически становится оператором ПДн и обязана предложить подписать согласие.

Когда согласие на обработку ПДн не требуется

Перечислим ситуации, когда согласие брать не обязательно.

1. При приеме человека на работу. Чтобы заполнить трудовую книжку — электронную или на бумажном носителе — требуются данные документа, удостоверяющего личность, СНИЛС, диплом об образовании или сертификаты о соответствующей квалификации, военный билет.
   Тем не менее, при приеме на работу сотрудники подписывают согласие на обработку ПДн хотя бы потому, что сообщают руководителю свой номер телефона для связи.

2. При взаимодействии с государственными органами в интересах работников. Так, у сотрудника не нужно спрашивать разрешения на передачу данных во внебюджетные фонды (ФСС, ФФОМС, ПФР), в налоговую инспекцию, в медучреждения, в ФССП, в органы внутренних дел.

3. Закон предусматривает использование ПДн в открытом доступе при составлении и публикации справочников и адресных книг. Речь идет о ФИО, дате рождения, контактах для связи, адресе и профессии, которые публикуются без согласия. Но по желанию гражданин может убрать информацию о себе из общего доступа, написав заявление. 

4. Сбор обезличенной информации для статистики, проведение социологических опросов.

Типы согласий на обработку персональных данных

Согласие на обработку персональных данных — общее понятие, которое по новым правилам дробится дополнительно. Теперь на различные действия по обработке требуются отдельные документы.

Различают согласия:

• на обработку ПДн;

• на передачу личных данных;

• на распространение ПДн.

Согласие на обработку ПДн

Итак, независимо от того, кто заполняет форму, в шаблоне согласия на обработку следует указать:

• ФИО человека, персональные данные которого будут обработаны, его паспортные данные, адрес регистрации (место фактического проживания), контактные данные (электронная почта, телефон);

• полное наименование компании-оператора, которая собирает данные, с указанием юридического адреса, ИНН организации или ИП, ОГРН для юрлиц;

• конкретная цель обработки ПДн; 

• конкретные данные, которые человек разрешает использовать;

• что именно можно делать с обозначенными персональными данными;

• срок действия согласия;

• процедура и сроки отзыва;

• подпись.

В интернете такой бланк с каждого пользователя, который делает заказ онлайн, получить невозможно.

Процедура сбора согласия такая. Прямо в форме регистрации, если в окошки вводятся персональные данные, следует внести пункт о согласии на обработку личной информации — и дать ссылку на соответствующий документ. «Галочка» означает принятие всех перечисленных условий. 

Например, чтобы зарегистрироваться на сайте гипермаркета товаров для хобби «Леонардо», нужно нажать «галочку» и прочитать согласие на обработку ПДн прямо на странице. Любопытные могут ознакомиться с политикой обработки ПДн, принятой в организации без перехода на другие страницы.

Скачать согласие на обработку персональных данных при приеме на работу

Согласие на обработку персональных данных 2021 года: образец для клиента

Согласие на передачу ПДн

Обработка персональных данных — это общее понятие, которое включает в себя любые действия с полученными данными: сбор, хранение, изменения, использование, передачу, обезличивание и уничтожение. Передача и распространение — более частные.

Если задачи бизнеса предусматривают передачу данных о сотрудниках или клиентах в сторонние организации, то с них нужно получить согласие на передачу персональных данных. 

Важное условие: объект передачи известен. В форме укажите цель и реквизиты третьих лиц (компании), куда передадут информацию. 

Примеры. 

1. Частная лаборатория занимается проведением ПЦР-тестирования и в то же время обязана сообщать о положительных результатах на COVID-19 в лабораторию Роспотребнадзора. 

2. Компания работает по агентскому договору и передает данные клиента партнеру, например, при приеме сломавшейся техники на гарантии.

3. Организация направляет сотрудника на курсы повышения квалификации или на стажировку на другое предприятие.

4. Работодатель оформляет полис ДМС.

Распространение персональных данных

Сентябрьские изменения в законе обязывают операторов ПДн собирать отдельные разрешения на распространение ПДн.

По сути, согласие на распространение — это одобрение публикаций с использованием фото, имени и другой личной информации о человеке, доступных неограниченному количеству лиц.

Согласие на распространение ПДн следует получить, когда планируете публиковать:

• данные о сотрудниках на открытом сайте, корпоративном портале или в социальных сетях, в том числе размещать фотографии;

• экспертные статьи и комментарии в интернет-изданиях;

• отзывы реальных клиентов на сайте и в соцсетях, с фотографиями и обозначением профилей.

Основная часть этого документа — таблица с перечнем данных, которые человек дает согласие обнародовать, а какие — нет. 

Согласие на распространение персональных данных: шаблон

Важно! Укажите ресурсы, на которых планируются публикации. Например, vc.ru, где компания ведет свой блог, и на сайте организации.

Ответственность

Вместе с правилами в обращении с персональными данными ужесточаются и санкции (изменения в ст. 13.11 КоАП РФ действуют с 27.03.2021 г.).

Вот некоторые из оснований и штрафов.

• За нарушения в области обработки ПДн (запись, систематизация, хранение, извлечение) в интернете предусмотрены штрафы в 1–6 млн рублей для ИП и организаций и 100–200 тысяч рублей для должностных лиц. За повторное нарушение ИП и юрлиц оштрафуют на 6–18 млн рублей, должностных лиц — на 500–800 тысяч рублей. 

• За обработку ПДн в ситуациях, когда это не предусмотрено законом, должностные лица заплатят штраф в 10–20 тысяч рублей, юрлица — 60–100 тысяч рублей. За повторное штрафы увеличатся для должностных лиц до 20–50 тысяч рублей, для ИП — 50–100 тысяч рублей и для организаций — 100–300 тысяч рублей.

• За отсутствие доступа пользователей к политике обработки персональных данных грозят штрафы 6–12 тысяч рублей для должностных лиц, 10–20 тысяч рублей для ИП и 30–60 тысяч рублей для организаций.

Что делать бизнесу

Итак, как быть бизнесу, чтобы соответствовать новым требованиям Роскомнадзора.

1. Разработайте политику обработки персональных данных и руководствуйтесь документом. Это обязательный документ, который должен быть доступен на сайте и для сотрудников.
   В политике следует:
   — прописать процедуру обработки ПДн;
   — внести шаблоны согласий и отказов;
   — указать всех лиц, чьи персональные данные собираются и используются;
   — обозначить принципы и возможные цели их обработки;
   — перечислить права тех, кто предоставляет ПДн;
   — указать меры по защите личной информации, которые обеспечивают в компании;
   — прописать ответственность за возможные нарушения.
   В качестве приложения к политике рекомендуют разработать готовые шаблоны согласий для заполнения и держать наготове распечатанные для новых сотрудников.

2. Проверьте сайт. В форме регистрации личного кабинета или в форме заказа «галочка» с разрешением использования персональных данных должна быть видна. В идеале пользователь не может совершить дальнейшие действия без подтверждения согласия. Большинство пользователей не глядя ставят «галочку», но кого-то документ может заинтересовать. Добавьте ссылки на политику обработки ПДн и на форму согласия. Также разместите ссылку на политику в «подвал» сайта.

3. Проверьте личные дела сотрудников. В каждом должны быть актуальные бланки согласия на обработку персональных данных, и если есть необходимость — на передачу и распространение. Актуальные — значит соответствующие требованиям закона №152-ФЗ. Если шаблоны подписанных согласий устарели, замените их новыми.

4. Актуализируйте контент-стратегию. Определите пул СМИ, соцсетей и дружественных порталов, где собираетесь размещать экспертные комментарии, статьи, обзоры или перепечатку публикаций из блога. Внесите эти ресурсы в согласие на распространение ПДн и внимательно соблюдайте ограничения, который определил человек.

5. Оперативно удаляйте из публичного доступа упоминание о людях, которые письменно отозвали свое согласие. Пример отзыва согласия на обработку персональных данных — здесь.

6. Зарегистрируйтесь в системе Роскомнадзора и с 1 марта 2022 года вносите сведения на портал. Следите за обновлениями законодательства.