Главные вопросы по персональным данным: как не попасть под штрафы и заполнять уведомления. Конспект вебинара с видео

Спикер: Елена Ярушкина, кандидат экономических наук, доцент, главный бухгалтер (6 уровня квалификации), эксперт по независимой оценке квалификаций специалистов финансового рынка, продюсер-методолог Школы Клерка.

Ключевой закон, который регулирует работу с персональными данными — закон «О персональных данных» от 27.07.2006 № 152-ФЗ. Отдельные элементы работы с персональными данными также отмечены в постановлении Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных — это любое действие или совокупность действий совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.

В законе отмечено, что обработка должна быть с использованием средств автоматизации: это компьютеры, программы, планшеты, телефон и любой другой электронный носитель, который содержит информацию. 

Кроме обычных персональных данных, имеются и биометрические персональные данные:

• отпечатки пальцев;

• рисунок радужной оболочки глаз;

• термограмма лица;

• ДНК;

• слепок голоса.

Обязанность передачи уведомления в Роскомнадзор сегодня коснулась практически 99% экономических субъектов (организации, ИП, самозанятые и даже физические лица).

Даже если вы ИП и работаете только с юридическими лицами, вы можете стать оператором персональных данных. Например, к вам поступает доверенность от юрлица в которой есть персональные данные человека, которому она выдана (ФИО, паспорт и т.п.).

Закон касается и иностранных граждан и лиц без регистрации в РФ, все, кто обрабатывают данные физических лиц, попадают под действие закона.

В п. 2. ст. 1 закона № 152-ФЗ отмечено, что действие закона не распространяется на отношения, возникающие при:

1. Обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных.

2. Организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда и других архивных документов в соответствии с законодательством об архивном деле в РФ.

3. Обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Оператор персональных данных вправе осуществлять их обработку без уведомления Роскомнадзора, если:

• весь учет ведется на бумаге;

• организация включена в государственные информационные системы и работает с данными, которые размещены в них;

• компания работает с персональными данными в сфере транспортной безопасности.

Уведомление в Роскомнадзор подается один раз, вы становитесь оператором персональных данных. Если вы отказываетесь от такой обязанности, то наступает административная ответственность.

Роскомнадзор сегодня такой же цифровизованный, как и ФНС, и они имеют доступ к базе налоговой, поэтому видят всю деятельность, отчетность и т. п.

Подать уведомление можно как в электронном виде, так и на бумажном носителе.

Однако подать уведомление мало, за ним следует большой объем работы, который нужно провести:

1. Назначить приказом ответственного за организацию обработки персональных данных;

2. Утвердить локальный нормативный акт по вопросам обработки персональных данных.

В ст. 18.1 закона № 152-ФЗ нет исключений, документы должны быть оформлены как у организаций, так и у самозанятых и ИП. 

Согласно рекомендациям Роскомнадзора, политика обработки персональных данных должна включать 6 разделов:

1. Общие положения. Раскрываются основные понятия: объект ПД, субъект ПД, обработка персональных данных и другие;.

2. Цели обработки персональных данных. Цели должны быть четкими, конкретными и законными.

3. Правовые основания. Перечисляются нормативные акты, которыми руководствуется оператор при работе с данными: федеральные законы, учредительные документы, договоры с субъектами ПД, согласие на обработку.

4. Объем и категории обрабатываемых сведений, категории субъектов ПД. Обозначаются группы лиц, чьи данные собираются и обрабатываются, а также категории ПД (общедоступные, специальные биометрические и другие).

5. Порядок и условия обработки ПД. Описываются конкретные действия с данными (сбор, хранение, передача и другие), способы обработки (автоматизированные и неавтоматизированные) и сроки.

6. Актуализация, изменение, удаление и уничтожение ПД, ответы на запросы субъектов на доступ к ПД.

Подробнее о том, как сформировать отдельные пункты политики ПД, читайте здесь. 

Политика в отношении персональных данных должна быть доступна для всех. Она должна быть размещена в доступном месте и хорошо, если у вас есть сайт, тогда можно разместить ее в подвале сайта, потому что как правило, он всегда остается неизменным, а также сделать всплывающее окно, что пользователь согласен с условиями политики конфиденциальности.

Если у вас нет сайта, то в доступе должен быть уголок потребителя, именно там и нужно разместить информацию о политике в области обработки персональных данных.

В приложении к политике обработки персональных данных необходимо утвердить:

• форму согласия на обработку ПД;

• согласия на запрос ПД у третьих лиц;

• согласие на хранение и распространение ПД;

• форму журнала приема-передачи ПД.

Все операторы, независимо от организационно-правовой формы, должны:

1. Применять правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 закона № 152-ФЗ.

2. Осуществлять внутренний контроль и (или) аудит соответствия обработки ПД установленным требованиям.

3. Опубликовать или иным образом обеспечить неограниченный доступ к политике в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

4. При наличии сайта — опубликовать на сайте политику в отношении обработки ПД посетителей сайта.

Список с документами по защите персональных данных достаточно обширный. 

Все должно быть строго регламентировано, а шаблоны документов необходимо разработать для каждой организации, утвердить и пользоваться ими.

ГосСОПКА — это государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, создаваемая в целях предотвращения и устранения последствий компьютерных атак на критическую информационную инфраструктуру (КИИ) Российской Федерации.

К ГосСОПКА обязаны подключиться субъекты критической информационной инфраструктуры. Это органы государственной власти и российские организации в сферах здравоохранения, науки, транспорта, связи, энергетики и ТЭК, банковского и финансового рынка, атомной энергии, оборонной и ракетно-космической отраслей, горнодобывающей, металлургической и химической промышленности.

Если вы в этот перечень не попадаете, то к ГосСОПКЕ подключаться пока не нужно. 

Проверьте, что хостинг и база данных с персональными данными располагаются на территории РФ. Все данные нужно перенести в Россию и хранить здесь, чтобы не нарушать законодательство. 

Если вы на сайте собираете данные, например, для записи на консультацию или для получения персональной скидки, то это по сути форма сбора персональных данных, важно, чтобы эта форма уже предусматривала согласие на обработку персональных данных.

Причем, недостаточно просто написать, что пользователь согласен, он должен совершить действие, например, поставить галочку напротив своего согласия.

Не забудьте разместить политику организации в отношении обработки персональных данных, с которой могут ознакомиться все посетители вашего сайта.

Обязательно показывайте всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя — cookie. Важный момент касается и уведомления пользователя о том, что он может отключить сбор cookie через настройки собственного браузера, однако сделать это нужно до того, как вы посетили новый сайт, как только вы на него зашли — ваши метаданные уже попали в компанию.

Файлы cookie нужны для отслеживания поведения потребителей на самом портале. После этого данные анализируются и сайт предлагает клиенту под его запрос товары, какие-то определенные действия и т.п. Есть много программ, которые помогают маркетологам улучшать товары и услуги с помощью анализа данных о поведении потребителей.

Проверить сайт на наличие сервисов cookies и метрических программ можно прямо на Клерке.

Для этого введите адрес своего сайта, нажмите кнопку «проверить» и получите список найденных проблем. 

Важно, чтобы вся передача персональных данных была именно на сервер в пределах Российской Федерации, в противном случае — это будет трансграничная передача. 

1. Использование cookies и других инструментов отслеживания. Указать какие cookies используются на сайте и для каких целей, а также предоставить информацию о том, как пользователи могут управлять настройками cookies.

   

2. Информация о новых требованиях к трансграничной передаче данных. Указать, какие меры принимаются для обеспечения безопасности данных при их передаче за пределы России. Обязательно нужно уведомить Роскомнадзор о том, что будет трансграничная передача и только после положительного ответа ведомства вы можете начинать работу. К тому же, с сервисом, который получает от вас данные, у вас должен быть договор и указаны условия по защите этих данных за рубежом.

3. Информация о третьих лицах. Указать, передаются ли персональные данные третьим лицам. если да, то на каких условиях и для каких целей. Работники должны подписать соглашения на передачу своих персональных данных аутсорсеру (четко указать какие данные, кому и для каких целей будут переданы).

Подать уведомление в Роскомнадзор необходимо до начала работы с персональными данными. Даже если вы уже не первый год работаете и никогда не подавали уведомлений в Роскомнадзор, сейчас все равно придется это сделать и дату начала работы с персональными данными нужно указать реальную — с того момента, когда вы начали деятельность.

Переходим на сайт Роскомнадзора, далее «Персональные данные» и вкладка «Для операторов персональных данных».

Внизу этой страницы, после обязанностей операторов, осуществляющих обработку персональных данных есть активные ссылки на электронные формы заявлений в Роскомнадзор.

Если вы уже подавали уведомление в Роскомнадзор ранее, то подавать его сейчас не нужно, т.к. в реестр операторов персональных данных вы попали. Подать уведомление нужно только тем, кто до этого не подавал и не был признан оператором персональных данных.

Однако, если у вас меняются сведения, которые содержатся в уведомлении о намерении осуществлять обработку ПД, то такое заявление необходимо подать, как только сведения изменились (например, изменились ответственные лица, руководитель, цели обработки ПД и тп.).

Если вы прекращаете обработку персональных данных, то подаем об этом тоже уведомление о прекращении обработки ПД.

Для того, чтобы отправить уведомление в Роскомнадзор, есть несколько вариантов:

1. Сформировать уведомление и направить его в бумажном виде. Вы заполняете форму, распечатываете и отправляете в территориальный орган Роскомнадзора.

2. Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи. Вы можете заполнить форму и подписать ее электронной подписью. Бумажная версия в таком случае не нужна. При сильной загрузке системы можно отправить уведомление ночью.

3. Сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА. Пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде. Запись на Госуслугах должна быть подтвержденная, отправка бумажной версии не потребуется.

Как заполнить уведомление:

Заполняем сведения об операторе персональных данных. Многие вкладки нужно заполнить, выбирая из списков.

Далее нужно выбрать цели обработки данных. Целей обработки данных у организации может быть несколько. Как правило, первая цель — это ведение кадрового и бухгалтерского учета. Для каждой цели заполняете свой блок данных, которые вы собираете.

Добавить еще одну цель можно с помощью кнопки «Добавить еще одну цель». Вот цели, которые можно выбрать для сбора и обработки персональных данных.

Помимо персональных данных есть еще биометрические данные. Если в вашей организации используются биометрические персональные данные сотрудников, то обязательно нужно отметить это в соответствующем разделе уведомления.

Обратите внимание на категории субъектов, персональные данные которых обрабатываются — это не только работники, но и их родственники, например, дети, для оформления налогового вычета по НДФЛ нужны данные по детям. 

Правовые основания обработки персональных данных, перечень действий и способы обработки данных выбираем из предложенного списка. 

Лучше указать смешанный способ обработки данных, потому что часть данных хранится на бумаге, а часть в электронном виде.

Рассмотрим еще одну цель обработки персональных данных, которая подходит большинству организаций — подбор персонала.

Здесь существенно сократилось и количество получаемых персональных данных и категорий субъектов персональных данных.

Описание мер, предусмотренных статьями 18.1 и 19 закона №152-ФЗ. В данном пункте нет универсальных показателей, поэтому можно перечислить те пункты, которые обязательно должны быть у вас, как у оператора ПД. Можно скопировать пункты ниже.

1. Назначено лицо, ответственное за организацию обработки персональных данных.

2. Изданы документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

3. Обеспечено применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона «О персональных данных».

4. Осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.

5. Обеспечено проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».

6. Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, проведено обучение указанных работников. 

Средства обеспечения безопасности персональных данных — можно в произвольном виде отметить, что были определены угрозы безопасности персональных данных при обработке их в информационных системах персональных данных, что применяются модели актуализации угроз и выполняются меры по их нейтрализации.

Модели актуальных угроз уже есть прописанные у Роскомнадзора, можно воспользоваться их рекомендациями и взять оттуда те пункты, которые касаются угроз безопасности ПД. Посмотрите, какие угрозы у вас есть из этого нормативного акта и пропишите, что для вас применимо для обеспечения безопасности персональных данных.

Важно, чтобы было закреплено в локальном нормативном акте, что вы провели оценку потенциальных угроз и их защиты. 

Использование шифровальных (криптографических) средств. Сегодня все используют эти средства, разных видов, например, электронная подпись.

Классы СКЗИ могут быть разными, проверьте, к какому классу относятся ваши шифровальные средства, это можно найти в договоре или на сайте компании, которая предоставляет вам средства шифрования.

Примеры СКЗИ:

• протоколы безопасности SSL/TLS — обеспечивают безопасную передачу данных в интернете;

• электронная цифровая подпись — подтверждает подлинность документов и проверяет целостность данных;

• шифрование трафика — защищает каналы связи и передачи данных от перехвата.

Ответственный за организацию обработки персональных данных. Как правило — это руководитель организации.

Дата начала обработки персональных данных — лучше всего указать дату начала деятельности. Срок или условие прекращения обработки — как правило до ликвидации организации, потому что пока организация есть — тут будет вестись бухгалтерский и кадровый учет.

Если вы используете иностранные счетчики на сайте, то в графе «осуществление трансграничной передачи персональных данных» необходимо отметить «осуществляется», если нет, то соответственно «не осуществляется».

WhatsApp — это трансграничная передача персональных данных. Если вы с помощью мессенджера получаете данные, то подумайте, нужно ли вам такое.

ЦОД (центр обработки данных) — это помещение, где размещается высокопроизводительная IT-инфраструктура и локальные физические серверы, поддерживающие работу приложений компании и ее рабочие процессы. 

В этом поле можно указать:

• собственный адрес организации, если база данных, содержащая персональные данные, находится на территории организации;

• адрес арендуемого ЦОДа, если база данных находится в арендуемом ЦОД.

Если вы — селлер на маркетплейсе, то вы обрабатываете персональные данные и необходимо указывать в адресе ЦОД свой адрес.

Если вы используете коробочную 1С и ведете весь учет в ней, то указываете адрес организации, где находится программа. Если вы используете 1С:Фреш, то данные хранятся в облаке, в этом случае хранение данных будет по адресу 1С:Фреш, он тоже должен быть указан у вас в договоре.

Сведения об обеспечении безопасности персональных данных. Далее нужно отметить сведения об обеспечении безопасности персональных данных (в произвольном формате).

После заполнения всех указанных пунктов можно направить уведомление в Роскомнадзор теми способами, которые уже рассмотрели ранее.

Если мы отправили уведомление, то у нас появится номер и ключ отправки. По нему можно проверять состояние уведомления, в течение 30 дней вы должны попасть в реестр операторов персональных данных.

Все персональные данные должны собираться, обрабатываться и храниться на территории Российской Федерации (п. 5 ст. 18 закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Для передачи данных за границу необходимо отправить еще одно уведомление в Роскомнадзор. 

Трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства.

На сайте Роскомнадзора также можно подать это уведомление точно такими же способами, как и предыдущее.

Не забывайте проверять это уведомление, чтобы быть уверенным, что вам дали право на такую трансграничную передачу данных.

С 30 мая значительно возросли штрафы за утечку персональных данных, некоторые суммы настолько значительны, что грозят закрытием предприятия.

Что делать, если произошла утечка персональных данных? Нужно отправить специальное уведомление в Роскомнадзор и провести расследование в течение 72 часов.

Утечка может быть не только по вине организации, но и по вине сотрудников, которые могли, например, украсть базу данных. Если вы сделали правильно все внутренние локальные нормативные акты, то все ваши сотрудники будут уведомлены об ответственности за работу с данными и ответственность может быть вплоть до уголовной.

Если неправомерная передача данных затронула от 1 до 10 тысяч граждан (п.12 ст.13 .11 КоАП), то размер штрафа составит:

• от 100 до 200 тыс. руб. — для физических лиц;

• от 200 до 400 тыс. руб. — для должностных лиц;

• от 3 до 5 млн руб. — для организаций и ИП.

Если утечка информации затронет от 10 до 100 тысяч граждан (п.13 ст.13 .11 КоАП), то размер штрафа составит:

• от 200 до 300 тыс. руб. — для физических лиц;

• от 300 до 500 тыс. руб. — для должностных лиц;

• от 5 до 10 млн руб. — для организаций и ИП.

Нарушения, которые затронут более 100 тысяч граждан (п.14 ст. 13.11 КоАП):

• от 300 до 400 тыс. руб. — для физических лиц;

• от 400 до 600 тыс. руб. — для должностных лиц;

• от 10 до 15 млн руб. — для организаций и ИП.

Повторные нарушения влекут за собой оборотные штрафы, зависящие от годовой выручки компании (п.15 ст. 13.11 КоАП). Их размер достигает 3% от дохода, но не менее 20 млн руб. Максимальный размер штрафа за повторную утечку данных составляет 500 млн руб.

Важно создать все меры для защиты персональных данных.

За утечку биометрических данных тоже предусмотрены значительные штрафы (п.17 ст. 13.11 КоАП):

• от 400 до 500 тыс. руб. — для физических лиц;

• от 1,3 до 1,5 млн руб. — для должностных лиц;

• от 15 до 20 млн руб. — для организаций и ИП.

Повторные нарушения будут наказываться строже, минимальный штраф — 25 млн руб., а максимальный — 500 млн руб. (п.18 ст. 13.11 КоАП).

Кроме административной ответственности за утечку персональных данных наступает и уголовная ответственность (ст.272.1 УК). Виды наказаний:

• штраф до 300 000 руб.;

• принудительные работы до 4 лет;

• лишение свободы до 4 лет.

1. Что делать, если уже подали уведомление, но нашли ошибки у себя?

Подаем уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных. Срок для сообщения об изменениях — не позднее 15 числа месяца, следующего за тем, в котором произошли изменения. Может изменится ответственное лицо, цели и т.п.

2. Что считается утечкой персональных данных?

Термин «утечка персональных данных» в законе прямо не используется, но под ним понимается несанкционированный доступ к персональным данным или их раскрытие третьим лицам без соблюдения соглашения о данных. Утечка может действовать по разным причинам: 

• хакерская атака или конкурентное ПО;

• ошибочные или умышленные действия сотрудников (предупредите об ответственности, вплоть до уголовной);

• потеря или кража устройства с персональными данными;

• компрометация учетных данных.

3. Как узнать и определить, что произошла утечка цифровых данных?

4. Считается ли использование WhatsApp и других мессенджеров трансграничной передачей данных и что делать?

Использование WhatsApp и других иностранных мессенджеров (включая Telegram) для передачи данных считается трансграничной передачей цифровых данных, поскольку они могут обрабатываться и храниться на серверах за границей. Данное положение вступило в силу с 1 марта 2023 года и закреплено в законе № 152-ФЗ.

Нужно попробовать перестроить свою работу, чтобы не использовать данные сервисы и трансграничную передачу.

5. Нужно ли подавать новое уведомление при смене директора или названия организации?

Да, если в ранее поданном уведомлении изменились данные об операторах цифровых данных. Срок для сообщения об изменениях — не позднее 15 числа месяца, следующего за тем, в котором произошли изменения.

6. Как заполнять уведомление организации, если ведешь ее на аутсорсе?

В Роскомнадзор подается имя самой организации — оператора персональных данных. В уведомлении нужно указать актуальные данные организации, а аутсорсер помогает в подготовке документов, но подписывает его уполномоченное лицо организации. Если вы подаете уведомление за себя, как аутсорсер и оператор персональных данных, то указываете свои данные.

7. Что делать, если уволенный сотрудник продает базу данных? Кого оштрафуют?

Важно понять, предприняли ли вы меры для того, чтобы сохранить безопасность этих данных. Штрафовать будут и организацию, и сотрудника. Поэтому обязательно создайте все локальные акты, что вы приняли все меры, чтобы утечки не произошло.

8. Нужно ли размещать политику персональных данных в социальных сетях компании?

Да, компании обязаны размещать политику обработки персональных данных в социальных сетях, если они собирают и обрабатывают данные пользователей через эти ресурсы.

9. Переписка с иностранным контрагентом — это трансграничная передача данных?

Да, если при переписке передаются персональные данные граждан РФ и эти данные направляются на территории иностранного государства, то это считается трансграничной передачей данных.

10. Какую дату начала обработки персональных данных указывать?

В уведомлении нужно указать дату, специалисты Роскомнадзора пояснили, что такой датой считается день государственной регистрации компании или ИП.

11. Как подтвердить факт уничтожения ПД? Что делать с хранением кадровых документов 75 лет? Как убрать их из 1С?

12. Нужно ли подавать уведомление, если работаешь на маркетплейсе?

Да, при работе на маркетплейсе селлеры собирают и хранят персональные данные, поэтому уведомление нужно подать.

13. Нужно ли подавать уведомление при работе ИП с ИП?

Да, ИП обрабатывает данные другого ИП и обязан подать уведомление.

14. Нужно ли подавать уведомление, если уже регистрировался как оператор ПД два года назад?

Нет, повторно подавать уведомление не нужно, если организация уже направляла его и была внесена в реестр персональных данных.

15. Если не удалось отправить уведомление на сайте РКН, можно ли отправить его через Госуслуги?

Да, можно. Если не получится, то можно отправить и на бумаге.

16. ИП сдает в аренду нежилые помещения, работников нет, надо ли подавать уведомление?

Да, нужно. К вам все равно попадают персональные данные ИП и организаций.

17. ИП на УСН без сотрудников, занимается розничной торговлей, имеет только договор поставки от поставщика, данные никуда не передает, нужно ли подавать?

Да, нужно, ИП все равно обрабатывает персональные данные.

18. Если не успели подать уведомление в срок до 30 мая, что делать?

Все равно подавать. С 30 мая изменились штрафы, но обязанность подать уведомление есть всегда, не только до 30 мая.

19. Если ООО и в нем учредитель и директор в одном лице, хозяйственной деятельности нет, нужно ли подавать уведомление?

Да, нужно. Его данные тоже являются персональными.

20. Бонусная программа в магазине запрашивает только телефон, улицу, день и месяц рождения, можно ли по этим данным идентифицировать человека?

Вы уже запросили персональные данные, которые косвенно идентифицируют человека, но это персональные данные. Обязательно нужно подать уведомление.

21. Если мы отправили уведомление с данными, что не используем криптографические средства, нужно ли подавать корректировки?

Сейчас важно подать уведомление и дождаться, что вас внесли в реестр операторов ПД, а потом подать информацию об изменениях.

22. Каким образом самозанятый должен получать согласие клиентов салона красоты на обработку персональных данных, если эти данные внесены только в телефонную книгу мастеров?

Нужно придумать какую-то электронную форму, где можно поставить галочку с согласием или же на бумажном носителе.

23. Аутсорсеру тоже нужно получать согласие от сотрудников клиента, если клиент уже получил согласие на передачу данных третьим лицам?

Важно, чтобы сотрудник дал согласие на обработку его данных конкретным аутсорсером, какие данные будут переданы и какие действия с ними можно совершать.

24. Если поменяли ЭЦП нужно ли подавать уведомление об изменении в РКН?

Да, нужно.

25. Нужно ли указывать в ЦОД компанию, через которую передаем отчетность?

Нет, вы же только передаете данные, а не храните.

26. Имеет ли право сотрудник не давать согласие на обработку персональных данных при трудоустройстве? или отозвать во время работы?

Все сотрудники защищены Конституцией, ТК, где сказано, что никакие данные без согласия разглашаться не могут, но чтобы его трудоустроить, нам нужны определенные данные и просим письменное согласие. Запрашиваем данные только в пределах ТК.

Если он не готов предоставить эти данные, то компания не сможет начислять ему зарплату и иные выплаты. Если он захочет отозвать согласие, то нужно подготовить уведомление для сотрудника о том, какие функции компания не сможет выполнять без его персональных данных.