Согласие на обработку персональных данных: зачем оно нужно

Хотите иметь дело с проверкой Роскомнадзором? А потом ещё платить штраф, нести ответственность? Рассказываем, как не попасть под санкции госорганов.
Согласие на обработку персональных данных: зачем оно нужно

На vc.ru автор Nikita Zhurlov рассказал про важный документ — согласие на обработку персональных данных.

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

— Физическое лицо: предупреждение или штраф в размере 1 000 — 3 000 рублей;

— Должностное лицо: штраф в размере от 5 000 — 10 000 рублей;

— Юридическое лицо: штраф в размере 30 000 — 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

— Физическое лицо: штраф в размере 3 000 — 5 000 рублей;

— Должностное лицо: штраф в размере от 10 000 — 20 000 рублей;

— Юридическое лицо: штраф в размере 15 000 — 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

— Физическое лицо: штраф в размере 700 — 1 500 рублей;

— Должностное лицо: штраф в размере от 3 000 — 6 000 рублей;

— Индивидуальный предприниматель: штраф в размере от 5 000 — 10 000 рублей

— Юридическое лицо: штраф в размере 15 000 — 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться «Д», это от слова description):

Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим posledni_kaktus_naokne@bk.ru — не относится к ПД, однако электронная почта с рабочим адресом допустим, ivan.ivanov@romashka.ru с подписью в письме «Главный инженер» — относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации «Ромашка».

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека — и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите — это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД — наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и «размываете» их в море других данных, соответственно определить кому что принадлежит — невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги — нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица — вы должны получать его согласие и иначе никак — закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Шаг 1.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных. Если у вас юридическое лицо или вы — индивидуальный предприниматель — вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах — относится не только к работе с потребителями, но и с работниками.

Шаг 2.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Шаг 3.

Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор — «галочек»:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» устанавливает обязательство собирать персональные данные:

«4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью...».

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

«Получение согласия на обработку персональных данных может быть получено посредством проставления „галочки“ пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме».

Вариативно, ещё шаг 4.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

— политика обработки персональных данных;

— приказ об утверждении вышеуказанной политики;

— согласие на обработку персональных данных;

— чекбокс с гиперссылкой на вышеуказанное согласие.

Всё это требуется опубликовать на сайте и / или в приложении.

Продолжение в источнике vc.ru

Начать дискуссию

Пенсии

В пенсионный стаж войдет период военной службы в новых регионах

Тем, кто проходил военную службу в новых регионах до их объединения с Россией, засчитают этот период в стаж для формирования пенсии.

Курсы повышения
квалификации

22
Официальное удостоверение с занесением в госреестр Рособрнадзора

Ответственность бухгалтера: материальная, административная, уголовная, субсидиарная. Кто отвечает за нарушения после увольнения главбуха? + Памятка для скачивания

Ответственность главного бухгалтера за неправильное ведение бухгалтерского учета может распространяться не только на период работы, но и выходить за его пределы. Новому главбуху тоже не стоит расслабляться, если не заметить вовремя ошибку предшественника, отвечать за нее придется самому.

Иллюстрация: Вера Ревина/Клерк.ру
Законопроекты

🥂 На летних верандах разрешили продавать алкогольные напитки

Госдума приняла законопроект, который разрешает продавать алкоголь на открытых сезонных верандах.

Лучшие спикеры, новый каждый день

Борьба с киберпреступлениями выйдет на новый уровень

Замглавы Минцифры Александр Шойтов рассказал о планах в сфере информационной безопасности.

У ИП не может быть только патент, всегда за углом прячется еще одна система налогообложения. «Ночной бухгалтер» № 1686

Некоторые начинающие предприниматели, когда регистрируют ИП (особенно через посредников) и выбирают себе патентную систему, считают, что применят только ее, однако это не так. Из-за такой ошибки ИП может попасть на крупные доначисления, причем за весь год сразу.

Иллюстрация: Вера Ревина/Клерк.ру
Инвестиции

Брокеры начнут обмениваться информацией о расходах инвесторов

Чтобы налоги с инвестиций рассчитывались корректно, брокеры будут обмениваться информацией с другими участниками рынка по заявлению инвестора.

Опытом делятся эксперты-практики, без воды
Ведение бизнеса

Власти будут компенсировать до половины затрат за переход на российское «тяжелое» ПО

Правительство запустит новый инструмент поддержки для организаций, которые станут применять так называемое тяжелое российское программное обеспечение.

Бесплатно с Уведомление по ЕНП

Какие налоги войдут в уведомление по ЕНП в мае 2024 года

Одно уведомление в мае бухгалтеры уже сдали по сроку 03.05.2024. Не позднее 27 мая нужно сдать еще одно.

Какие налоги войдут в уведомление по ЕНП в мае 2024 года
Кадры

Всех педагогов хотят освободить от лишней бумажной работы

В России уже работает закон, который сократил бюрократическую нагрузку на учителей, но только школ.

Товарно-транспортная накладная (ТТН): форма, заполнение, образец

В составе документов на отгрузку товара присутствует несколько видов бумаг. Состав зависит от способа реализации, прописанного в договоре поставки. Товарно-транспортную накладную в 2023-2024  году заполняют компании, которые доставляют груз покупателю. Это могут быть специализированные организации, занимающиеся перевозками, продавцы и производители товара, покупатели, использующие свой или арендованный транспорт.

Иллюстрация: Вера Ревина/Клерк.ру

Наиболее распространенные ситуации налогового дробления. Как нельзя делить бизнес, с примерами из судебной практики

Приведу в данной статье наиболее типичные (а в чем-то даже одиозные) примеры подобной схемы дробления.

Личные финансы

Почему мы теряем деньги вместо того, чтобы их приумножать

По данным НАФИ, 27% россиян младше 24 лет не ведут учет трат и не планируют свой бюджет. При этом москвичи показывают средний уровень финансовой грамотности, набирая 6,9 баллов из 10. Разбираемся, какие финансовые ошибки чаще всего совершают потребители и как этого избежать.

Иллюстрация: создано с помощью ИИ OpenAI © Вера Ревина/Клерк.ру
Миникурсы, текстовые и видеоинструкции для бухгалтеров
Обзоры новостей

⚡️ Итоги дня: шенгенская виза подорожает, Lada можно купить на Wildberries, получение кешбэка стало схемой

Подготовили обзор главных событий дня — 21 мая 2024 года. Все самое интересное, что писали и обсуждали в сети, в одной подборке.

Маркетплейсы

Как на УСН учитывать удержания маркетплейса из дохода за проданный товар

Сейчас многие предприниматели продают свои товары на маркетплейсах. Это электронные площадки для продажи товаров в интернете. Например, Озон, Вайлдберриз и др. ФНС разъяснила, как продавцу на УСН считать доход при удержании маркетплейсом суммы своего вознаграждения из выручки продавца.

Иллюстрация: Вера Ревина/Клерк.ру

Комплексная проверка юридического лица

Проверка юридического лица — это важный этап при сотрудничестве с другой компанией, подписании каких-либо документов, а так же Покупка Предприятия. Подтверждение его легальности и финансового статуса поможет избежать потенциальных неприятных ситуаций в будущем, а так же снижает риски.

Ведение бизнеса

Трафик торгового центра и торговой точки: как подсчитать, и зачем это делать

Выбирая ТЦ для открытия розничного магазина, важно оценить его трафик — сколько людей приходят за покупками, и есть ли среди них потенциальные клиенты. Стоит ли верить тем данным, которые предоставляют арендаторам ТЦ, как самостоятельно оценить трафик центра и торговой точки, проанализировать полученную информацию и использовать ее для повышения продаж.

Иллюстрация: Вера Ревина/Клерк.ру
Кадры

Цифра дня. Про трудоголиков

Почти треть россиян называют себя трудоголиками.

Цифра дня. Про трудоголиков
Реклама

Роскомнадзор сделает сдачу отчетности и получение токенов для интернет-рекламы более удобными

Изменения позволят сделать более удобным и доступным процесс сдачи отчетности и присвоения токенов и идентификатора рекламы. Роскомнадзор подготовил проект приказа для рекламодателей.

5 главных ошибок в кадровых документах работодателя

Проблемы с кадровым делопроизводством может привести к серьезным последствиям.

Интересные материалы

Банки

Формула успеха: как понимание региональной специфики и гибкие бизнес-процессы помогают бизнесу расти и процветать 

В 2024 году Агророс Банку исполняется 30 лет. За это время он превратился из скромного провинциального банка в крупную региональную организацию, отвечающую всем требованиям финансового рынка.

Иллюстрация: Вера Ревина/Клерк.ру