Содержание

Согласие на обработку персональных данных при заключении договора с физическим лицом

Подборка наиболее важных документов по запросу Согласие на обработку персональных данных при заключении договора с физическим лицом (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

Судебная практика: Согласие на обработку персональных данных при заключении договора с физическим лицом Открыть документ в вашей системе КонсультантПлюс:
Подборка судебных решений за 2019 год: Статья 7 “Конфиденциальность персональных данных” Федерального закона “О персональных данных”
(Р.Б. Касенов)Из системного толкования ст. ст. 3, 6, 7 Федерального закона от 27.07.2006 N 152-ФЗ следует, что сбор, обработка, передача, распространение персональных данных возможны только с согласия субъекта персональных данных, при этом согласие должно быть конкретным. Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.
Вместе с тем обработка персональных данных допускается или с согласия субъекта персональных данных, или в случаях необходимости исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, то есть одной из сторон является лицо, осуществляющее в соответствии с заключенным договором в дальнейшем обработку персональных данных субъекта, а другой стороной договора (или выгодоприобретателем, поручителем) является субъект персональных данных. Таким образом, названные положения защищают субъектов персональных данных от несанкционированного доступа к их данным со стороны других граждан, криминальных структур, представителей государственных органов, служб, организаций и учреждений, не имеющих на то соответствующих полномочий, путем регулирования порядка доступа субъектов к персональным данным. Между тем, как установлено материалами дела, поставщик газа вправе запрашивать сведения о количестве зарегистрированных в жилом помещении лицах.
Таким образом, суд отказал в иске о возмещении физического и морального вреда.

Статьи, комментарии, ответы на вопросы: Согласие на обработку персональных данных при заключении договора с физическим лицом Открыть документ в вашей системе КонсультантПлюс:
Статья: Принципы Общего регламента Европейского союза о защите персональных данных (GDPR): проблемы и перспективы имплементации
(Чурилов А.Ю.)
(“Вестник Омской юридической академии”, 2019, N 1)Законность подразумевает, что данные обрабатываются по основаниям, закрепленным в Регламенте: субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей; обработка необходима для исполнения договора, в котором субъект данных является одной из сторон, или для принятия мер по требованию субъекта данных до заключения договора; обработка необходима для соблюдения юридической обязанности, объектом которой является контролер; обработка необходима для защиты жизненных интересов субъекта данных или другого физического лица.
Соблюдение принципа законности подразумевает также недопустимость незаконных операций с персональными данными. Открыть документ в вашей системе КонсультантПлюс:
Статья: Участие физических лиц без статуса индивидуального предпринимателя в закупках по Законам 44-ФЗ и 223-ФЗ
(Чагин К.Г.)
(“Прогосзаказ.рф”, 2017, N 10)Однако существует и противоположное мнение. Так, если рассматривать реестр (контрактов) договоров как “общедоступный источник персональных данных”, то персональные данные физического лица могут размещаться в таком источнике только с его письменного согласия . И тогда для соблюдения этого положения законодательства заказчикам необходимо включать в документацию о закупке требование о предоставлении физическим лицом в составе заявки на участие в закупке своего письменного согласия на обработку своих персональных данных. В частности, такого мнения придерживаются Минфин России и Минэкономразвития России . Поэтому во избежание возможных конфликтных ситуаций с контрольными органами заказчикам рекомендуется запрашивать у физических лиц без статуса ИП их письменное согласие на обработку персональных данных, если сведения о договоре, который заключается с ними как с единственным подрядчиком/исполнителем или может быть заключен с ними по результатам торгов, должны размещаться в реестре контрактов (договоров).

Нормативные акты: Согласие на обработку персональных данных при заключении договора с физическим лицом Открыть документ в вашей системе КонсультантПлюс:
Обзор: “Вопросы о закупках при применении Федерального закона N 223-ФЗ”
(КонсультантПлюс, 2020)Вопрос: О включении заказчиком в документацию о закупке требования к участникам закупки – физлицам о представлении их письменного согласия на обработку персональных данных, а также о предоставлении поставщиком (подрядчиком, исполнителем) информации о привлечении к исполнению договора субподрядчиков (соисполнителей) из числа субъектов малого и среднего предпринимательства для целей ведения реестра договоров, заключенных заказчиками по результатам закупки.

как с ними работать — СКБ Контур

Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).

В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты. 

Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.

Что включают персональные данные работника

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.  

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников? 

На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Что делать с персональными данными кандидата

Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

  • если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
  • при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность.

Можно воспользоваться образцом согласия на обработку персональных данных.

Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Что делать, если персональные данные собираются с помощью анкеты

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

А во-вторых, она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Это значит, что:

  • в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
  • в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
  • анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
  • в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.

Что делать с данными кандидата, которого не взяли на работу

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

Направление запросов на прежние места работы

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя.

Сбор и обработка персональных данных при приеме на работу

Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовая книжка;
  • документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  • при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.

Оформление зарплатной карты и персональные данные работника

Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.

При этом важно, чтобы:

  • перечень персональных данных строго соответствовал тому, что передается в банк;
  • была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.
Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:
  • договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
  • у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
  • соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.  

Сотрудник сменил фамилию — что делать с трудовым договором?

В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.

Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную. 

Размещение «черных списков» сотрудников на сайте

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Каким должно быть согласие на обработку персональных данных

Роскомнадзор в своих рекомендациях формулирует следующие требования:

  1. Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
  2. Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
  3. Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.

Оформление доски почета

Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.

Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием.

Персональные данные для пропуска

В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требует оформление пропуска.

В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

  • компания самостоятельно осуществляет пропускной режим;
  • если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.

Кадровый и бухгалтерский учет на аутсорсе и персональные данные

Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.

Что делать с персональными данными уволенных сотрудников

Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.

Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.

Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.

Соглашение о предоставлении персональных данных

Присоединяясь к настоящему Соглашению и оставляя свои данные на Сайте https://aledo-pro. ru (далее – Сайт) принадлежащий компании aledo, которая расположено по адресу: 190005, Санкт-Петербург, Измайловский пр., 31/163, путем заполнения полей формы обратной связи Пользователь:

1. Подтверждает, что все указанные им данные принадлежат лично ему.

2. Подтверждает и признает, что им внимательно в полном объеме прочитано Соглашение и условия обработки его персональных данных, указываемых им в полях он-лайн заявки (регистрации), текст соглашения и условия обработки персональных данных ему понятны.

3. Даёт согласие на обработку Сайтом предоставляемых в составе информации персональных данных как без, так и с использованием средств автоматизации, в целях заключения между ним и Сайтом настоящего Соглашения, а также его последующего исполнения; выражает согласие с условиями обработки персональных данных без оговорок и ограничений.

Согласие дается в том числе на возможную трансграничную передачу персональных данных и информационные (рекламные) оповещения.

Пользователь дает свое согласие на обработку его персональных данных, а именно совершение действий, предусмотренных п. 3 ч. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных”, и подтверждает, что, давая такое согласие, он действует свободно, своей волей и в своем интересе.

Согласие Пользователя на обработку персональных данных является конкретным, информированным и сознательным.

Настоящее согласие Пользователя признается исполненным в простой письменной форме, на обработку следующих персональных данных: номер телефона, адрес электронной почты (E-mail), почтовый адрес, Ф. И.О., адрес места жительства.

Пользователь, предоставляет https://aledo-pro.ru право осуществлять следующие действия (операции) с персональными данными: сбор и накопление; хранение в течение установленных нормативными документами сроков хранения отчетности, но не менее трех лет, с момента даты прекращения пользования услуг Пользователем, уточнение (обновление, изменение), использование, уничтожение, обезличивание, передача по требованию суда, в т.ч., третьим лицам, с соблюдением мер, обеспечивающих защиту персональных данных от несанкционированного доступа.

Указанное согласие действует бессрочно с момента предоставления данных и может быть отозвано Вами путем подачи заявления администрации сайта с указанием данных, определенных ст. 14 Закона «О персональных данных».

Отзыв согласия на обработку персональных данных может быть осуществлен путём направления Пользователем соответствующего распоряжения в простой письменной форме на адрес электронной почты (E-mail) [email protected]

В случае отзыва субъектом персональных данных или его представителем Согласия на обработку персональных данных, aledo вправе продолжить обработку без разрешения субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 26.06.2006 г.

Сайт не несёт ответственности за использование (как правомерное, так и неправомерное) третьими лицами Информации, размещенной Пользователем на Сайте, включая её воспроизведение и распространение, осуществленные всеми возможными способами.

Сайт имеет право вносить изменения в настоящее Соглашение. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Соглашения вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Соглашения.

К настоящему Соглашению и отношениям между пользователем и Сайтом, возникающим в связи с применением Соглашения подлежит применению право Российской Федерации.

Принципы обработки персональных данных

ООО «Аледо» принимает и обеспечивает выполнение следующих принципов обработки персональных данных:

  • Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  • Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  • Обработке подлежат только персональные данные, которые отвечают целям их обработки.
  • Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
  • При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В ООО «Аледо» принимаются необходимые меры по удалению или уточнению неполных или неточных данных.
  • Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
  • ООО «Аледо», получившее доступ к персональным данным, обязано не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Основания для обработки персональных данных

Обработка персональных данных в ООО «Аледо» производится в следующих случаях:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на ООО «Аледо» функций, полномочий и обязанностей;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для осуществления прав и законных интересов ООО «Аледо» или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, требующих обязательного обезличивания персональных данных в соответствии с законодательством Российской Федерации.

Общее описание обработки персональных данных

При обработке персональных данных ООО «Аледо» совершает следующие действия (операции) или совокупность действий (операций), с использованием средств автоматизации или без использования таких средств с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, не осуществляется. Данные о состоянии здоровья работников обрабатываются в ООО «Аледо» в соответствии с трудовым законодательством Российской Федерации.

Сроки хранения и требования к уничтожению персональных данных

Сроки хранения персональных данных в ООО «Аледо» определены законодательством Российской Федерации и зависят от состава обрабатываемых данных. Перечень сроков хранения зафиксирован в документе «Перечень персональных данных», принятом в ООО «Аледо». Персональные данные, обрабатываемые в ООО «Аледо», подлежат уничтожению в следующих случаях:

  • при достижении целей обработки или в случае утраты необходимости в их достижении;
  • при получении соответствующего запроса от субъекта персональных данных, если это не противоречит требованиям к сроку хранения персональных данных либо документв, содержащих персональные данные, установленному федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • при получении соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных;
  • по истечении определенных сроков хранения персональных данных.

Согласие на обработку персональных данных

НОЧУ ДО « ЦКОИЯ»
ИНН 7734270860
КПП 770401001
Юр.Адрес: 119121, г. Москва, переулок Ружейный, дом 6, строение 1, помещение 35
Фактический Адрес: 125047, г. Москва, 4-ый Лесной переулок, д.4, офис 498

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение об обработке персональных данных (далее – Положение, настоящее Положение) разработано НОЧУ ДО « ЦКОИЯ»(далее также – Оператор) и применяется в соответствии с п. 2 ч. 1 ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2. Настоящее Положение определяет политику Оператора в отношении обработки персональных данных.

1.3. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

1.4. Настоящее Положение и изменения к нему утверждаются руководителем Оператора и вводятся приказом Оператора.

1.5. В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» под персональными данными клиентов, физических лиц понимается любая информация, относящаяся к прямо или косвенно определённому или определяемому на основании такой информации клиенту, физическому лицу (далее – персональные данные).

1.6. НОЧУ ДО « ЦКОИЯ» является оператором, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.

1.7. Целью обработки персональных данных является:

  • обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
  • оказание Оператором физическим и юридическим лицам услуг, связанных с хозяйственной деятельностью Оператора, включая контакты Оператора с такими лицами, в том числе по электронной почте, по телефону, по адресу, предоставленным соответствующим лицом;
  • направление консультаций, ответов обратившимся лицам с помощью средств связи и указанных ими контрактных данных;
  • продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (допускается только при условии предварительного согласия субъекта персональных данных).
1. Обработка организована Оператором на принципах:
  • законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • обработки только персональных данных, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  • недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
  • обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
  • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
1.8. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящим Положением.

1.9. Персональные данные обрабатываются с использованием и без использования средств автоматизации.

1.10. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных.

1.11. Ответственный за организацию обработки персональных данных получает указания непосредственно от исполнительного органа Оператора и подотчетен ему.

1.12. Ответственный за организацию обработки персональных данных вправе оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.13. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему.

1.14. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

1.15. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей Оператор обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

1.16. Условия обработки персональных данных Оператором. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

3) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

6) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных;

7) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

8) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1.17. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном Положением о хранении персональных данных у Оператора.

1.18. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

1.19. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.

2. ОБЕСПЕЧЕНИЕ ОПЕРАТОРОМ ПРАВ

СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.

2.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

2.3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту расположения Оператора в рабочее время Оператора.

2.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

2.5. В случае представления интересов субъекта персональных данных представителем полномочия представителя подтверждаются доверенностью, оформленной в установленном порядке.

2.6. В случаях предоставления субъектом персональных данных письменного согласия на использование персональных данных для такого согласия достаточно простой письменной формы.

2.7. Оператор гарантирует безопасность и конфиденциальность используемых персональных данных.

2.8. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.

3. ПОЛУЧЕНИЯ, ОБРАБОТКА, ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. У Оператора устанавливается следующий порядок получения персональных данных:

1. При обращении за получением услуг Оператора клиент указывает установленные соответствующими формами данные.

2. Оператор не получает и не обрабатывает персональные данные клиента о его расовой принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, если законом не предусмотрено иное.

3. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации Организация вправе получать и обрабатывать данные о частной жизни клиента только с его письменного согласия.

3.2. В случае принятия клиентом оферты, размещённой на сайте Оператора, либо заключения другого договора с Оператором обработка персональных данных клиента осуществляется для исполнения соответствующего договора, вступившего в силу вследствие принятия условий оферты клиентом либо заключения другого договора соответственно.

3.3. Также Оператор вправе обрабатывать персональные данные клиентов, обратившихся к Оператору физических лиц только с их согласия на использование персональных данных.

3.4. Согласие клиента на обработку персональных данных не требуется в следующих случаях:

  • персональные данные являются общедоступными;
  • обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Организации;
  • по требованию полномочных государственных органов – в случаях, предусмотренных федеральным законом;
  • обработка персональных данных в целях исполнения договора, заключённого с Оператором;
  • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение его согласия невозможно.
3.5. Оператор обеспечивает безопасное хранение персональных данных, в том числе:

1. Хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Оператора.

2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1.Персональные данные передаются с соблюдением следующих требований:

  • запрещается сообщать персональные данные третьей стороне без письменного согласия клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни, здоровью клиента, а также в других случаях, предусмотренных законами;
  • не сообщать персональные данные в коммерческих целях без письменного согласия субъекта таких данных;
  • предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
  • разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
  • не запрашивать информацию о состоянии здоровья клиента, за исключением тех сведений, которые относятся к вопросу о возможности выполнения клиентом обязательств по договору с Оператором;
  • передавать персональные данные клиента его представителям в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

5.1. Право доступа к персональным данным имеют:

  • руководитель Оператора;
  • работающие с определённым клиентом работники Оператора;
  • работники бухгалтерии;
  • работники, осуществляющие техническое обеспечение деятельности Оператора.
5.2. Клиенты в целях обеспечения защиты персональных данных имеют следующие права:
  • на полную информацию об их персональных данных и обработке этих данных;
  • на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
  • на определение своих представителей для защиты своих персональных данных;
  • на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
5.3. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с разрешения руководителя.

6. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

6.2. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.

Роскомнадзор о персональных данных в 2021 году

26 ноября 2020 г. Роскомнадзор провел онлайн-трансляцию по вопросам персональных данных и фактически рассказал, как будет применять Закон  152-ФЗ в следующем году.

Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.

На семинаре прозвучали доклады:

Дмитрия Рудакова, заместителя начальника отдела ведения реестра операторов, осуществляющих обработку персональных данных. Он рассказал о реестре. Его презентация.

Второй спикер, Альфия Гафурова, заместитель начальника Управления по защите прав субъектов персональных данных Роскомнадзора, озвучила основные вопросы по жалобам граждан. Ее презентация содержит информацию о типовых нарушениях:

  • в банковской сфере;
  • в ЖКХ;
  • в интернете;
  • в связи;
  • в торговле.

Во время трансляции Юрий Контемиров, начальник Управления по защите прав субъектов персональных данных Роскомнадзора, ответил на самые актуальные вопросы. Здесь полная двухчасовая версия:

Получилось много информации, поэтому я отказался от стенографирования и написал как мне нравится: без потери смысла, сокращая фирменный стиль выступления  чиновников.

Читайте и имейте в виду, что практика в регионах может отличаться. Некоторые тезисы выступления спорные, но они показывают, как Роскомнадзор будет применять законодательство о персональных в данных в 2021 году.

GDPR и российские компании

GDPR  может применяться к российским компаниям в нескольких случаях:

  1. Российская компания имеет филиалы на территории Европы.
  2. Российская компания действует по поручению европейской компании и отвечает перед ней за обработку персональных данных.
  3. Российская компания работает не только на территории России, но и направлена на европейского потребителя. Например, интернет-магазин предлагает продажу товаров в Европу, при этом одновременно выполняются два условия:
  1. сайт доступен на языках стран ЕС;
  2. предусмотрены расчеты в евро.

Если одно из этих условий не выполняется, то требования GDPR на такой магазин не распространяются.

Будет ли приведено российское законодательство к требованиям GDPR

По словам Контемирова, это дискуссионный вопрос. Специалисты изучают практику применения европейского законодательства, но как это будет реализовано в России будет видно в ближайшем будущем.

Трудовые отношения

Как передавать персональные данные сотрудников в рамках групп компаний

Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе.

Поскольку каждая компания выступает как отдельный оператор, то необходимо получать письменное согласие работника на передачу его персональных данных от одной компании в другую (ч. 4 ст. 9 Закона “О персональных данных”).

Если  в группу компаний входит иностранное юридическое лицо, то необходимо оформлять не только согласие, но и договор поручения на обработку персональных данных.

Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании

Да, нужно. Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”).

В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника.

Порядок уничтожения персональных данных

Терминатор – оператор обработки персональных данных

Порядок уничтожения персональных данных работников и иных лиц должен быть закреплен локальных актах оператора. С актами должны быть ознакомлены все заинтересованные лица.

Оператором должен быть обеспечен неограниченный доступ к этим документам, а если сбор персональных данных осуществляется с помощью сайта, то Роскомнадзор рекомендует размещать ссылки на политику обработки персональных данных непосредственно рядом с веб-формами.

Что относится к персональным данным по мнению Роскомнадзора

Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.

Сбор копий документов, содержащих персональные данные

Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.

Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч. 4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.

Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.

Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.

Являются ли идентификаторы персональными данными

Такие идентификаторы как ИНН, СНИЛС, электронная почта  и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.

Даже без дополнительной информации идентификаторы являются персональными данными.

Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или  кукис, то в совокупности эта информация является персональными данными.

Комбинация: фамилия, имя и телефон — персональные данные.
Но отдельно номер телефона – не персональные данные, т.к он относится не к пользователю, а к абонентскому устройству.

Фотографии и видеозаписи в контексте персональных данных 

Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”

Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.

Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.

Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.

Профилирование и оценка личностных качеств

Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя. По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных

Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности. Для проведения профилирования необходимо получать согласие на обработку персональных данных.

О согласиях на обработку персональных данных

Несколько целей в одном согласии

Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.

Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.

Получение согласия на обработку персональных данных при заключении договора

Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.

Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.

Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.

Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора.

 Согласия на обработку персональных данных соискателя и близких родственников

Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.

Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников. 

Например, сообщить о необходимости проверки конфликта интересов.

Обработка персональных данных родственников сотрудника имеет ряд особенностей

Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.

Электронные копии согласий на обработку персональных данных

Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?

Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо  предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски.

Срок согласия на обработку персональных данных

По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.

Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные. Например, неправильно установить срок согласия на 15, 50 или 70 лет. 

Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.

 Форма согласия на получение рассылки от иностранного сайта

Достаточно ли получения согласия в электронной форме в виде проставления галочки в  чек-боксе, если сайт или его администратор находятся за пределами РФ?

Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в  частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.

Передача персональных данных третьим лицам

Что делать, если персональные данные передаются третьим лицам? Причем этот список может изменяться.

Если для обработки персональных данных  необходимо получать письменное согласие (ч. 4 ст. 9 Закона “О персональных данных”) например, трансграничная передача, обработка биометрических данных и т. д, то в этом случае обязательно поименное указание организаций, которые действуют по поручению оператора. В случае изменения этих организаций, согласие придется переподписывать.

Во всех остальных случаях согласие может содержать отсылку на сайт оператора, где можно разместить список третьих лиц, которым передаются персональные данные. В самом согласии необходимо указать цели, в которых ПД передаются этим третьим лицам. 

Об изменении списка Роскомнадзор рекомендует уведомлять субъектов персональных данных. Срок такого уведомления законом не определен, но РКН считает разумным делать это в течение 10 дней.

Договоры поручения на обработку персональных данных

Является ли провайдер облачных услуг оператором?

Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.

Требуется ли при использовании облачных услуг заключать договор поручения на обработку персональных данных?

Да, потому что один оператор передает для хранения ПД другому оператору. А этот случай предполагает заключение договора поручения. Дополнительно нужно получать согласие субъекта на передачу его персональных данных по договору поручения.

Можно ли в согласии работника указывать всех третьих лиц, которым передаются ПД в рамках договоров поручений?

Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.

Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.

Должны ли третьи лица, которые осуществляют обработку персональных данных по договору поручения, направить в Роскомнадзор уведомления об обработке?

Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам.

Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.

Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных?

Действующим законодательством такая обязанность не предусмотрена,  поскольку ответственность перед субъектом несет только оператор, даже за действия третьего лица. 

Поэтому РКН рекомендует урегулировать этот вопрос в договоре поручения на обработку персональных данных, если необходимо.

Персональные данные представителей компаний в договоре

Типичная ситуация: два юридических лица заключили между собой договор. С одной стороны договор подписал представитель по доверенности. 

Организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных контрагенту по договору.

Для контрагента, получившего доверенность этого работника, получать отдельное согласие на обработку не нужно, т.к. обработка ПД доверенного лица осуществляется в рамках договора.

Ответственное лицо

Будет ли привлечен оператор к ответственности, если он не назначил ответственное лицо за обработку персональных данных?

К административной ответственности РКН привлекать не будет. Но если в ходе проверки такой факт будет выявлен, то проверяющий выдаст предписание с указанием срока его исполнения. И если оператор в этот срок не устранит нарушение, то будет привлечен к административной ответственности по ст. 19.5 КоАП РФ.

Можно ли назначить нескольких лиц, ответственных за обработку ПД?

В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных. Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.

Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД?

Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст. 22 Закона № 152-ФЗ.

Заключение 

Если вы дочитали и не нашли каких-то ответов — это нормально. Отрасль развивается и даже регулятор не может дать четких рекомендаций. Судебная практика охватывает частные случаи, поэтому ее нужно изучать в контексте  вашей ситуации. 

Контемиров пообещал, что по результатам работы Центров компетенций в 2021 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными. РКН хочет, чтобы такой портфель был хорошим подспорьем.

Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.

Почитайте пост о Реестре операторов персональных данных.

Ну а я продолжаю наблюдение. Подпишитесь на мои страницы в Фейсбуке, Яндекс Дзене и Телеграм, чтобы делать это вместе.

Остаюсь с вами на связи. Все вопросы по статье можно написать в чат в Я.Дзене.

ps. Чатик придумал, чтобы избежать включения в реестр ОРИ, но быть с вами на связи.

Поделитесь в соцсетях

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ на сайте солнечный-парк-отель.рф:

1.ООО «Центр Гостиничных Решений», юридическое лицо, зарегистрированное в соответствии с законодательством Российской Федерации, осуществляющее турагентскую деятельность ОГРН1157746972635 ИНН7734367277, адрес местонахождения: 123181 г. Москва, Неманский проезд, дом 4, корп.2, офис 20.

2.Настоящее согласие разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных», другими законодательными и иными нормативными правовыми актами Российской Федерации в области персональных данных и регулирует правоотношение в области обработки персональных данных между ООО «Центр Гостиничных Решений» и Клиентами, желающими заключить договор на бронирование номеров в отелях/гостиницах/кемпингах/санаториях/домах отдыха/других объектов временного размещения оказание иных туристических услуг.

3.Целью обработки персональных данных является предоставление Клиенту услуг бронирования туристических услуг при оказании которых ООО «Центр Гостиничных Решений» собирает и использует персональные данные для обработки запроса Клиента на сайте солнечный-парк-отель.рф, при оформлении бронирования, и передачу данных в выбранный Клиентом объёкт временного размещения, а также для быстрой и качественной консультации Клиенту по уточнению или изменению бронирования.

4. Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину). Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций) с персональными данными субъектов персональных данных, совершаемые с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5. Обработка персональных данных осуществляется как с использованием автоматизированных средств обработки персональных данных субъекта персональных данных, так и без использования средств автоматизации.

6. Обработка персональных данных осуществляется с согласия Клиента. Являясь пользователем сайта солнечный-парк-отель.рф, Клиент предоставляет свои персональные данные ООО «Центр Гостиничных Решений» и даёт полное согласие на их обработку. Получение согласия на обработку персональных данных – необходимое условие совершение им бронирования услуг. Бронирование услуг не возможно и не будет завершено без получения согласия Клиента на обработку его персональных данных.

Я настоящим даю свое согласие Обществу с ограниченной ответственностью «Центр Гостиничных Решений» (ОГРН1157746972635 ИНН7734367277) (далее – Компания) в порядке ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») с целью исполнения определенных сторонами условий договора об оказании услуг свободно, своей волей и в своих интересах даю согласие ООО «Центр Гостиничных Решений» (Адрес места нахождения: 123181 г. Москва, Неманский презд, дом 4, корп.2, офис 20) на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных (фамилия, имя, отчество; дата рождения, паспортные данные (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство; адрес места жительства (по паспорту и фактический), номер домашнего и мобильного телефона; номер паспорта/заграничного паспорта и срок его действия; фамилия и имя, как они указаны в паспорте/загранпаспорте; иная информация, строго в объеме, необходимом для оказания услуг, входящих в состав договора услуг), а именно – совершение действий, предусмотренных ст. 3 ФЗ «О персональных данных», содержащихся в настоящем Согласии, в целях заключения и исполнения договоров с участием ООО «Центр Гостиничных Решений», партнерам ООО «Центр Гостиничных Решений», а также иными третьими лицами, непосредственно оказывающими услуги, использовать все перечисленные данные для: бронирования Отеля; заключения и исполнения договоров по оказанию услуг субисполнителями, совершения иных фактических действий, связанных с оказанием услуг по настоящему Договору. Настоящее согласие может быть отозвано мной в письменной форме.

Настоящее согласие действует до даты его отзыва мною путем направления в ООО «Центр Гостиничных Решений» по адресу: 123181 г. Москва, Неманский презд, дом 4, корп.2, офис 20 письменного сообщения об указанном отзыве в произвольной форме, если иное не установлено законодательством Российской Федерации.

СОГЛАСИЕ на обработку персональных данных

Настоящим я, свободно, своей волей и в своем интересе в соответствии с положениями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями) даю свое согласие: Обществу с ограниченной ответственностью «Планета Авто», адрес: 454128, г. Челябинск, ул. Братьев Кашириных, 143 (далее – «Общество»), его филиалам и обособленным подразделениям, а также следующим Операторам (далее – «Операторы»):
ООО «Планета Авто Групп», адрес: 454003, г. Челябинск, ул. Братьев Кашириных, 143;
на обработку своих персональных данных, указанных при регистрации и/или оставлении запроса, заявки на получение предложения и/или подписании на получение рекламной информации путем заполнения веб-формы на сайте http://cadillac.planeta-avto.ru и его поддоменов (далее – «Сайт»), направляемой (заполненной) с использованием Сайта.

Под персональными данными понимается любая информация, относящаяся ко мне как к субъекту персональных данных, в том числе: фамилия, имя, отчество, паспортные данные, дата и место рождения, адрес места жительства, контактные данные (номер домашнего, мобильного, рабочего телефонов, адрес электронной почты), семейное, социальное, имущественное положение, образование, профессия, информация об автомобиле (в случае наличия автомобиля), данные обо мне, которые станут известны в ходе исполнения договоров (в случае заключения договоров между мной и Обществом), а также иная общедоступная информация обо мне.

Я согласен с тем, что в рамках обработки персональных данных Общество, а также Операторы, поименованные выше, вправе осуществлять сбор, запись, систематизацию, накопление, анализ, использование, извлечение, распространение, передачу Операторам и / или любым иным третьим лицам, получение, обработку, хранение, уточнение (обновление, изменение), обезличивание, блокирование, удаление, уничтожение моих персональных данных путем ведения баз данных автоматизированным, механическим, ручным способами в целях:

  • ведения и актуализации клиентской базы;
  • получения и исследования статистических данных об объемах продаж и качестве оказываемых услуг;
  • проведения маркетинговых программ;
  • изучения конъюнктуры рынка автомобилей, автомобильных запасных частей и аксессуаров, услуг по ремонту автомобилей;
  • проведению опросов и исследований, направленных на выявление удовлетворенности/неудовлетворенности Пользователя, постоянного совершенствования уровня предоставляемых услуг;
  • информирования меня о предлагаемых Обществом/Оператором автомобилях, запасных частях и аксессуарах, оказываемых услугах, проводимых бонусных мероприятий, акций и т.д.;
  • рекламирования и иного любого продвижения товаров и услуг на рынке путем осуществления прямых контактов со мной и иными потребителями;
  • реализации страховых продуктов, в том числе, но, не ограничиваясь, оформление полисов КАСКО, ОСАГО и т.д.;
  • технической поддержки при обработке информации, документации и персональных данных с использованием средств автоматизации и без такого использования.

Когда «необходимо» обрабатывать персональные данные для выполнения контракта?

Европейский совет по защите данных принял окончательные рекомендации по обработке персональных данных, используя законную основу « необходимо выполнить договор » в соответствии со статьей 6 (1) (b) GDPR в контексте предоставления онлайн Сервисы.

Статья 6 (1) (b) GDPR обеспечивает законную основу для обработки персональных данных в той степени, в которой обработка составляет:

  • Необходимо для выполнения контракта , стороной которого является субъект данных; или
  • Для того, чтобы предпринял шаги по запросу субъекта данных до заключения договора.

В Руководящих принципах излагаются элементы законной обработки в соответствии со статьей 6 (1) (b) и делается акцент, в частности, на концепции «необходимости». Они начинают с изучения взаимосвязи между этим правовым основанием и другими обязательствами в соответствии с GDPR.

Законная, справедливая и прозрачная обработка

В Руководстве поясняется, что для того, чтобы обработка персональных данных на этом основании была «законной» [1], договор на предоставление онлайн-услуг должен быть действительным.Например, когда речь идет о детях, обеспечение соблюдения национальных законов, касающихся правоспособности детей заключать контракты.

Требование справедливости и законности обработки также требует от контролера выполнения других связанных юридических обязательств, например, связанных с несправедливыми условиями в потребительских договорах. [2]

В целях соблюдения обязательств по прозрачности в соответствии с GDPR, контролеры должны убедиться, что они избегают путаницы в отношении того, что является правовым основанием, в частности, убедитесь, что субъекты данных не имеют ошибочного впечатления, что они дают свое согласие на обработку их личные данные в соответствии со статьей 6 (1) (a) GDPR, когда они подписывают договор или принимают условия обслуживания.Руководящие принципы напоминают нам, что это две совершенно разные концепции с разными требованиями и последствиями.

Как удовлетворить требования статьи 6 (1) (b) и необходимость

Тест для оценки того, удовлетворяется ли статья 6 (1) (b) как законное основание, заключается в том, является ли обработка « объективно необходимым » для (i) выполнения контракта с субъектом данных; или (ii) для принятия преддоговорных шагов по запросу субъекта данных.

В Руководстве используется узкое толкование понятия «необходимость», которое включает «комбинированную, основанную на фактах оценку обработки» для преследуемой цели и рассмотрение того, существует ли какой-либо менее интрузивный способ достижения той же цели.Если да, то обработка не является «необходимой» для выполнения контракта или принятия преддоговорных шагов.

Встраивание ссылок на обработку персональных данных в условия контракта, недостаточно для включения обработки в сферу действия статьи 6 (1) (b), и, наоборот, обработка может быть объективно необходимой для выполнения контракта, даже если это не упоминается в контракте. Контракт не может искусственно расширять категории персональных данных или типы обработки, которые необходимы для выполнения контракта в соответствии со статьей 6 (1) (b), например, путем включения условий, налагающих дополнительные условия, касающиеся рекламы или файлов cookie.Ключевой вопрос заключается в том, является ли обработка объективной необходимой для цели, которая является неотъемлемой частью предоставления контрактных услуг субъекту данных.

Контроллер должен иметь возможность продемонстрировать, что основной предмет конкретного договора с субъектом данных не может, по сути, выполняться без конкретной обработки соответствующих персональных данных. Следует учитывать разумные ожидания субъекта данных – будет ли обычный пользователь службы разумно ожидать, что обработка будет иметь место для предоставления услуги?

Если несколько отдельных услуг или элементов услуги связаны вместе в одном контракте, но они могут разумно выполняться независимо, то при оценке того, удовлетворяется ли статья 6 (1) (b) в качестве правовой основы, каждая услуга или элемент должны быть оцениваться отдельно, чтобы определить, какая обработка объективно необходима для выполнения этой услуги или элемента.

Практические примеры

Руководящие принципы содержат некоторые более конкретные указания по применению статьи 6 (1) (b) к определенной обработке, например:

  • Поведенческая онлайн-реклама и связанное с ней отслеживание и профилирование субъектов данных, как правило, не являются необходимыми для выполнения контракта на онлайн-услуги, поскольку обычно трудно утверждать, что контракт не может быть выполнен без показа поведенческой рекламы. На статью 6 (1) (b) нельзя полагаться на том основании, что онлайн-реклама косвенно финансирует услугу.Хотя это может способствовать предоставлению услуги, этого недостаточно для подтверждения необходимости выполнения контракта.
  • Персонализация – Персонализация содержимого может быть необходима для выполнения контракта, если она является неотъемлемым и ожидаемым элементом онлайн-службы, а не просто предназначена для увеличения взаимодействия с услугой. Это зависит от характера услуги и ожиданий среднего субъекта данных в свете условий обслуживания, от того, как она продвигается среди пользователей и может ли услуга быть предоставлена ​​без персонализации.
  • Контрактные гарантии – Для выполнения контракта может потребоваться хранение определенных данных в течение определенного времени после обмена товарами или услугами для целей договорных гарантий;
  • Улучшение услуг – Обработка личных данных с целью улучшения услуг, как правило, не является необходимой для выполнения контракта, поскольку услуга может быть предоставлена ​​без сбора этой информации. Однако контролер может полагаться на альтернативное правовое основание, такое как законные интересы или согласие.
  • Предотвращение мошенничества – Обработка персональных данных в целях предотвращения мошенничества может выйти за рамки того, что объективно необходимо для выполнения контракта. Однако такая обработка может соответствовать законным интересам контролера или может быть необходима им для выполнения юридического обязательства.

[1] В соответствии с требованиями статьи 5 (1) (а) GDPR

[2] Например, Директива 93/13 / EEC – Директива о недобросовестных условиях контрактов

Общий регламент по защите данных (GDPR)

Обработка персональных данных обычно запрещена, если это прямо не разрешено законом или если субъект данных дал согласие на обработку.Согласие является одной из наиболее известных правовых основ для обработки персональных данных, но это лишь одна из шести оснований, упомянутых в Общем регламенте защиты данных (GDPR). К другим относятся: договор, юридические обязательства, жизненно важные интересы субъекта данных, общественный интерес и законный интерес, как указано в статье 6 (1) GDPR.

Основные требования для эффективности действительного законного согласия определены в статье 7 и подробно описаны в пункте 32 GDPR. Согласие должно быть добровольным, конкретным, информированным и недвусмысленным.Чтобы получить свободно данное согласие, оно должно быть дано на добровольной основе. Элемент «бесплатно» подразумевает реальный выбор субъектом данных. Любой элемент ненадлежащего давления или влияния, который может повлиять на результат такого выбора, делает согласие недействительным. При этом юридический текст учитывает определенный дисбаланс между контроллером и субъектом данных. Например, в отношениях между работодателем и работником: работник может беспокоиться о том, что его отказ дать согласие может иметь серьезные негативные последствия для его трудовых отношений, поэтому согласие может быть законным основанием для обработки только в некоторых исключительных обстоятельствах.Кроме того, применяется так называемый «запрет сцепления» или «запрет сцепления или связывания». Таким образом, выполнение контракта не может зависеть от согласия на обработку дополнительных персональных данных, которые не нужны для выполнения этого контракта.

Чтобы согласие было информированным и конкретным, субъект данных должен быть, по крайней мере, уведомлен об идентичности контролера, о том, какие данные будут обрабатываться, как они будут использоваться и о цели операций обработки в качестве защиты от «нарушения функций» .Субъект данных также должен быть проинформирован о своем праве отозвать согласие в любое время. Отзыв должен быть таким же простым, как и согласие. В соответствующих случаях контролер также должен информировать об использовании данных для автоматизированного принятия решений, возможных рисках передачи данных из-за отсутствия решения об адекватности или других соответствующих мер безопасности.

Согласие должно быть связано с одной или несколькими конкретными целями, которые затем должны быть подробно объяснены. Если согласие должно узаконить обработку особых категорий персональных данных, информация о субъекте данных должна прямо относиться к этому.
Всегда должно быть четкое различие между информацией, необходимой для получения информированного согласия, и информацией о других договорных вопросах.

И последнее, но не менее важное: согласие должно быть недвусмысленным, что означает, что оно требует либо заявления, либо четкого позитивного действия. Согласие не может быть подразумеваемым и всегда должно быть дано посредством согласия, заявления или активного ходатайства, чтобы не возникло недопонимания, что субъект данных дал согласие на конкретную обработку. При этом не требуется формы согласия, даже если письменное согласие рекомендуется из-за подотчетности контролера.Поэтому его также можно подавать в электронном виде. В этом отношении согласие детей и подростков на услуги информационного общества является особым случаем. Для лиц моложе 16 лет требуется дополнительное согласие или разрешение от лица, несущего родительскую ответственность. Возрастное ограничение регулируется положением о гибкости. Государства-члены могут установить более низкий возраст в соответствии с национальным законодательством, при условии, что этот возраст не ниже 13 лет. Когда предложение услуг явно не адресовано детям, оно освобождается от этого правила.Однако это не относится к предложениям, адресованным как детям, так и взрослым.

Как видите, согласие – не панацея, когда дело касается обработки персональных данных. Особенно с учетом того, что европейские органы по защите данных ясно дали понять, «что если контролер решит полагаться на согласие для какой-либо части обработки, он должен быть готов уважать этот выбор и остановить эту часть обработки, если физическое лицо отзовет согласие. ” Строго говоря, это означает, что контроллеру не разрешается переключаться с согласия на законной основе на законный интерес после отзыва согласия субъекта данных.Это применимо, даже если изначально существовал законный законный интерес. Поэтому согласие всегда следует выбирать в качестве последнего варианта обработки персональных данных.

Внешние ссылки

Органы

  • Управление по защите данных Великобритании ► Руководство по согласию GDPR (ссылка)
  • Управление по защите данных Великобритании ► Согласие (ссылка)
  • Управление по защите данных Остров Мэн ► Согласие (Ссылка)
  • Рабочая группа по защите данных, статья 29 ► Рабочий документ WP 259 – Руководство по согласию (ссылка)
  • Европейская комиссия ► Основания для обработки (ссылка)
  • Европейская комиссия ► Когда действительно согласие? (Ссылка)
  • Публикации ЕС ► Справочник по европейскому законодательству о защите данных – Согласие, стр. 111 (Ссылка)

Экспертный вклад

  • Лукас Золейник ► Как: GDPR, согласие и обработка данных (ссылка)
  • IAPP ► Руководство по UX для получения согласия (ссылка)
  • Тилбургский университет ► Согласие время от времени (Ссылка)
  • CIPL ► Внедрение GDPR в отношении данных и согласия детей (ссылка)
  • CIPL ► Рекомендации по обеспечению прозрачности, согласия и законного интереса в соответствии с GDPR (ссылка)
  • Oxford University Press ► Комментарий к Общему регламенту ЕС по защите данных (GDPR) – Законность обработки, стр. 32 (Ссылка)

Можете ли вы полагаться на свой контракт при обработке личных данных? Все лет

EDPB принял 9 апреля 2019 года набор проектов руководящих принципов обработки персональных данных в соответствии со статьей 6 (1) (b) GDPR в контексте предоставления онлайн-услуг субъектам данных.Прочтите ниже все, что вам нужно знать о критерии (до) договорной необходимости, руководящих принципах и многом другом.

Европейский совет по защите данных («EDPB») принял 9 апреля 2019 года набор проектов руководящих принципов по обработке персональных данных в соответствии со статьей 6 (1) (b) GDPR в контексте предоставления онлайн-услуг субъектам данных («Рекомендации» ). Руководящие принципы дополняют все еще актуальное мнение Рабочей группы по статье 29 06/2014 («Мнение»), которое уже частично касается критерия (пред-) договорной необходимости, закрепленного в статье 6 (1) (b) GDPR.Вместе Рекомендации и Заключение отвечают на некоторые вопросы, которые до сих пор оставались без ответа.

Ниже приводится все, что вам нужно знать о критерии (до) договорной необходимости, Руководящих принципах и Заключении. Мы также изложили ниже набор инструментов (пред-) договорных требований, которые могут быть полезны.

1. Законное не эквивалентно законному

Статья 6 GDPR устанавливает 6 критериев «легализации». Это критерии, выполнение которых делает обработку персональных данных законной.Однако контроллеры данных могут достичь порога соответствия GDPR только в том случае, если они соответствуют всем требованиям GDPR, включая законность, справедливость, прозрачность, ограничение цели, минимизацию данных, точность, ограничение хранения, целостность и конфиденциальность. Другими словами, законная обработка необходима, но ее далеко не достаточно для соблюдения GDPR, не говоря уже о различных законодательных актах, касающихся электронной конфиденциальности, защиты потребителей, конкуренции и контрактов.

2.Нет действующего контракта, нет действующей обработки

Статья 6 (1) (b) GDPR требует наличия действующего договора в соответствии с применимым национальным законодательством. Поэтому контролеры данных должны проявлять особую осторожность при обработке личных данных несовершеннолетних на основе критерия (до) договорной необходимости, поскольку дети могут заключать договоры только на определенных условиях.

3. Контракт между контролером и субъектом данных

Статья 6 (1) (b) GDPR не является правильным основанием для обработки личных данных третьих лиц.Например, если субъект данных желает использовать услуги банка для перевода денег третьей стороне, банк не может обрабатывать персональные данные третьей стороны на основании (пред-) договорного критерия необходимости.

4.

Обработка для выполнения контракта или для принятия мер по запросу субъекта данных до заключения контракта

Обработка ограничивается выполнением контракта (первый сценарий) или принятием таких мер (второй сценарий), поэтому статья 6 (1) (b) GDPR не является правильным основанием для легализации обработки данных с целью предъявления иска должнику или взыскание долгов.Однако отправка официальных напоминаний должнику считается нормой в рамках договорных отношений. Точно так же, если договор будет расторгнут, обработка персональных данных по логике больше не будет необходимой для выполнения договора, поэтому контролер должен будет прекратить обработку персональных данных, если он уже не основывал такую ​​постдоговорную обработку на другое правовое основание до такой обработки, а также проинформировал об этом субъекта данных.

5. Обработка должна быть «необходимой»

Контроллеры должны спросить себя, могут ли они выполнить конкретный договор с этим конкретным субъектом данных без обработки личных данных этого субъекта данных.Если обработка полезна, но не обязательна, статья 6 (1) (b) GDPR не является правильным основанием.

6. Справедливость

В Руководящих принципах EDPB также разъясняет концепцию справедливости. В нем говорится, что, во-первых, принцип справедливости применяется к выбору законной основы, поэтому контролер должен учитывать влияние на права субъектов данных при определении соответствующей законной основы. Во-вторых, этот принцип подразумевает, что контролер данных должен учитывать разумные ожидания субъекта данных, последствия обработки для него или нее и учитывать баланс (или, скорее, любой дисбаланс) отношений.В целом принцип справедливости включает оценку пропорциональности в GDPR.

7. Свободно данное согласие и договорная необходимость

Распространенная ошибка – слишком легко полагаться на критерий согласия. Совершенно нелогично полагаться как на согласие, так и на статью 6 (1) (b) для одной и той же обработки. Действительно, контролер не может предполагать, что он получил добровольно данное согласие, если обработка необходима для выполнения контракта или для его создания.Другими словами, субъекты данных не могут дать добровольное согласие, если они знают, что в конечном итоге без их согласия они не получат услуг или товаров, на которые они заключили контракт.

8. Принятие Условий ≠ согласие на обработку персональных данных

Другая распространенная ошибка – полагать, что подписание или согласие с условиями равносильно согласию на обработку персональных данных. Однако согласие на заключение договора и согласие в контексте защиты данных – это разные концепции с разными требованиями.В результате согласие на защиту данных должно быть конкретным для определенных целей обработки данных. Согласие на защиту данных не получено действительным образом, если оно связано с общими положениями и условиями. Конкретно, согласие на заключение контракта должно быть отделено от согласия на обработку данных.

9. Нет конфиденциальных личных данных

Конфиденциальные персональные данные (т. Е. Персональные данные, определенные статьей 9 GDPR, такие как данные о здоровье, расовые данные, религиозные данные, биометрические данные и т. Д.) не может обрабатываться на основании статьи 6 (1) (b) GDPR. Следовательно, необходимо выбрать другой критерий легализации, такой как явное согласие субъекта данных.

10. Необходимо для контролера не означает, что это необходимо для контракта.

Например, бизнес-модель Google основана на данных и рекламе, поэтому, если Google не получает никаких данных, Google не может предоставлять свои услуги. Однако, согласно EDPB, необходимость бизнес-модели не подразумевает договорной необходимости.Кроме того, обработка персональных данных необходима для выполнения контракта не потому, что договор предусматривает обработку персональных данных. Следовательно, простое указание в договоре о том, что личные данные будут обрабатываться, не дает контроллеру данных какой-либо правовой основы; Контроллерам данных необходимо провести основанную на фактах оценку того, можно ли выполнять основные обязательства по контракту без обработки персональных данных. Точно так же статья 6 (1) (b) GDPR не должна использоваться для оправдания обработки данных в контексте улучшения услуг, разработки новых функций или предотвращения мошенничества.В целом, контролеры данных должны учитывать существенный характер услуги и разумные ожидания субъектов данных, поэтому все зависит от конкретных обстоятельств контракта.

11. Необходимое разделение на разные службы

EDPB указывает, что если контракт состоит из нескольких отдельных услуг (пакетный договор на условиях «бери или оставь»), которые можно разумно разделить и выполнить независимо, контракт должен быть разделен на основные услуги, чтобы можно было оценить, что правильная правовая основа для каждой услуги, а не обязательно для контракта в целом.Это возвращается к проблеме необходимости бизнес-модели, описанной выше (пункт 10).

12. Данные не новое масло

EDPB прямо квалифицирует личные данные как товар, не предназначенный для торговли. Нет никаких сомнений в том, что это заявление вызовет множество споров. Тот факт, что персональные данные концептуально отличаются от денежных выплат, также приводит к следующему выводу: хотя обработка персональных данных может поддерживать финансирование услуги (например, поиск в Google или Facebook), такая обработка считается отдельной от объективной цели контракта, поэтому контролер не может полагаться на Статью 6 (1) (b) для легализации обработки персональных данных.

13. Инструментарий (пред) договорной необходимости

На основании Руководства и Заключения мы считаем, что предприятия должны провести пятиступенчатый тест, чтобы проанализировать, могут ли они полагаться на критерий (пред-) договорной необходимости.

  • Контрактный контекст . Есть ли действующий договор, стороной которого является субъект данных (первый сценарий)? Или субъект данных предпринял шаги для заключения контракта (второй сценарий)?
  • Определение содержания контракта .Контроллер данных должен определить, какова цель, цель или задача контракта как с его точки зрения, так и с точки зрения среднего субъекта данных. Во втором сценарии (выполнение преддоговорных шагов), какие существенные шаги необходимо предпринять, чтобы должным образом ответить на запрос субъекта данных?
  • Необходимая обработка персональных данных . Обязательно ли выполнение существенных обязательств по контракту подразумевает, что личные данные должны обрабатываться? Во втором сценарии обязательно ли предполагают действия, которые необходимо предпринять, вспомогательную обработку персональных данных?
  • Субсидиарность .Не могла ли цель (выполнение существенного обязательства или ответ на запрос субъекта данных) быть достигнута с помощью реально менее инвазивных средств, то есть без данных, с меньшим количеством данных или с менее «интимными» данными?
  • Пропорциональность . Соразмерна ли цель средствам (обработке)? Конкретно, обработка персональных данных может быть необходима для заключения или выполнения контракта, и что нет другого способа достичь цели, чтобы были выполнены первые четыре шага, но такая обработка все же будет непропорциональной.Это может быть, например, в случае, если содержание контракта очень требовательно к персональным данным, но услуга по сравнению с этим предоставляет небольшую добавленную стоимость для субъекта данных.

правовых оснований для правомерной обработки персональных данных

Общее положение о защите данных (GDPR) упоминает несколько юридических оснований для законности обработки персональных данных субъектов данных. Законное основание для обработки персональных данных состоит как минимум из одного из этих юридических оснований и может варьироваться в зависимости от деятельности и цели обработки персональных данных.

Необходимость в законном основании для обработки персональных данных в соответствии с GDPR (с необходимыми исключениями) не нова. В своих декларациях и статьях GDPR говорит примерно то же, что и его предшественник, Директива о защите данных (Директива 95/46 / EC) , по нескольким направлениям. Но есть и важные изменения.

Основные положения и статьи о законной обработке и законных основаниях обработки как таковых, для начала, относятся к числу тех, в которых не так много изменилось.

Изложение 39 GDPR говорит об этом о законности, справедливости, прозрачности и цели обработки персональных данных: любая обработка персональных данных должна быть законной и справедливой, она должна быть прозрачной для субъектов данных, которые обрабатывают персональные данные, касающиеся их, и принцип прозрачности требует, чтобы ЛЮБАЯ информация и сообщения, касающиеся обработки персональных данных, были легкодоступными и понятными. Наряду с необходимостью использовать ясный и простой язык, последний прямо упоминается в рамках целей обработки.Помните цель, она возвращается.

Изложение 40 GDPR гласит, что для того, чтобы обработка была законной, личные данные должны обрабатываться на основе согласия соответствующего субъекта данных или на каком-либо другом законном основании.

Эта законная основа должна быть заложена в законе, при этом закон должен быть самим Общим регламентом защиты данных или другими законами ЕС или его государств-членов.

В жизни и юридических основаниях для законной обработки больше, чем согласие

Хотя согласие (что не совсем то же самое, что явное согласие, даже если де-факто граница может быть очень тонкой) является наиболее известным из юридических оснований, поскольку они резюмированы в статье 6 GDPR текста GDPR на законность обработки, это не всегда лучший путь.

Для каждого действия по обработке персональных данных важно определить наилучшее правовое основание, что также рекомендуется в руководящих принципах Рабочей группы по статье 29 (Европейский совет по защите данных) о согласии с конца ноября 2017 года. Лучшая правовая основа для законности каждого процесса обработки начинается до фактической обработки. И, очевидно, в рамках соблюдения GDPR это означает, что у вас уже есть список и обязательная запись ваших действий по обработке персональных данных.

В упомянутых руководящих принципах подчеркивается, что согласие является одной из шести законных оснований для обработки персональных данных, как указано в этой статье 6. Тем не менее, в то же время, когда контролер инициирует действия, связанные с обработкой персональных данных, следует рассмотреть вопрос о том, является ли согласие является наиболее подходящим правовым основанием для законной обработки или может быть лучше другое. Помните, что когда согласие выбирается для какой-либо конкретной обработки, вам также необходимо соблюдать все правила и права в отношении согласия.

Шесть основных правовых оснований законности обработки персональных данных

Конечно, не всегда можно выбрать другой, и нужно быть уверенным. Это начинается со знания и понимания всех шести юридических оснований для обработки персональных данных. Так что бегло взгляните на них в качестве напоминания.

Также помните, что законность обработки означает, что применимо, ПО МЕНЯ, одно из шести правовых оснований, другими словами: достаточно одного.

1. Согласие как правовое основание для законной обработки

В статьях GDPR согласие упоминается в первую очередь как правовое основание законности обработки персональных данных как в статье 6, так и в статье 40.

В то время как общие правила относительно законного основания для согласия не сильно изменились, новые правила о согласии как законном основании имеют большое влияние на организации (как контроллеры данных, так и обработчики данных) .

Согласие означает, что субъект данных дал согласие на обработку персональных данных для одной или нескольких конкретных целей. Как уже упоминалось, понятие цели здесь является ключевым. Если субъект данных, также известный как физическое лицо, дает согласие на обработку, не зная (нескольких) целей (целей) в полном объеме и в понятной форме, то согласие не является законным основанием для обработки, поскольку оно по определению не предоставляется свободно, конкретно , информированный и недвусмысленный. Более того, согласие не может быть объединено.Итак, для каждого действия по обработке данных в рамках одной более широкой операции общее правило заключается в том, что согласие недействительно, если оно предназначено для всех действий сразу. В качестве примера: давать согласие на ряд маркетинговых целей недействительно.

Статья 6 GDPR гласит, что согласие субъекта данных должно быть дано в отношении «одной или нескольких конкретных» целей и что субъект данных имеет выбор в отношении каждой из них. Это ясно: конкретные цели. Наряду со всеми обязанностями в отношении информации, несколько прав субъектов данных после получения согласия используются в качестве законного основания для обработки и, что гораздо важнее, не всегда идеальный выбор, мягко говоря.Однако GDPR и его несколько юридических оснований для законной обработки не похожи на меню. Правило таково и остается тем, что для целей всех операций по обработке персональных данных выбирается наиболее подходящее правовое основание для каждой цели / деятельности.

2. Договорная необходимость как законное основание для обработки

Вторым правовым основанием для законной обработки, упомянутым в статье 6 GDPR, является необходимость обработки персональных данных для контракта.

Физическое лицо или субъект данных является стороной в контракте или должно предпринять шаги для заключения контракта по его или ее запросу, и для заключения контракта или выполнения контракта необходимо и согласовано, что обработка персональных данных происходит в рамках этого договора. Это не новость по сравнению с Директивой, замененной GDPR.

GDPR Recital 40 упоминает «выполнение договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора» как законное основание для законной обработки и GDPR Recital 44 просто говорится, что обработка должна быть законной, если это необходимо в контексте контракта или намерения заключить контракт.

Каждый договор по определению означает обработку персональных данных. Вы не можете вступать в какие-либо договорные отношения без предоставления личных данных и идентификаторов, в зависимости от характера договора. По крайней мере, это касается контактной информации, в определенных типах договоров, таких как договор страхования, требуется гораздо больше. Лучше не растягивать определение контракта слишком далеко, например, чтобы избежать необходимости использовать согласие. В конце концов, все можно рассматривать как контракт, и будут случаи, когда контролеры будут использовать слишком широкий подход, чтобы они могли использовать контракт в качестве основы для законной обработки.

На этом же сайте мы могли бы, например, написать длинный текст условий и положений, в котором говорится, что посещение нас устанавливает договор, по которому мы имеем право обрабатывать то или это. Не пытайтесь: данные, необходимые для заключения или выполнения контракта, действительно должны быть предоставлены в рамках контракта и предлагаемых услуг.

Когда дело доходит до контрактов, обратите внимание на конкретные правила, применимые к конкретным отраслям или должностным обязанностям. Трудовой договор – это не просьба о жилищном кредите, не дополнительная медицинская страховка, ну, список можно продолжить.

3. Законная обработка на основании юридических обязательств

Третьим правовым основанием для законной обработки является соблюдение юридических обязательств.

Если у контролера есть юридическая обязанность, для которой необходимо обработать определенные персональные данные, то обработка разрешена. Это соблюдение юридического обязательства, для которого требуется обработка и которому подчиняется контролер, также не ново.

Однако и здесь действуют особые правила.Что изменилось по сравнению с предшественником Общего регламента защиты данных, так это то, что в Recital 45 говорится, что «если обработка выполняется в соответствии с юридическим обязательством, которому подчиняется контролер, или когда обработка необходима для выполнения выполняемой задачи. в общественных интересах или при исполнении официальных полномочий обработка должна быть основана на законодательстве Союза или государства-члена ». Ограничение законодательством ЕС или законов государств-членов ЕС влечет за собой последствия.

4. Жизненные интересы и законная обработка персональных данных

Защита «жизненно важных интересов» физического лица является четвертым основанием для законной обработки.

В этом случае физическое лицо не обязательно должно быть субъектом данных, им также может быть другое физическое лицо. Конечно, контролер не должен определять, в чем заключается жизненный интерес. Мы действительно говорим об опасных для жизни обстоятельствах здесь, когда нет другого законного основания для обработки, но когда отказ от обработки персональных данных по сути означает, что кто-то умрет, если вы не примете меры, и поэтому вам нужно знать несколько вещей о естественных условиях. человек, который находится в опасности.

Если произошел серьезный несчастный случай, вам стоит попытаться узнать кое-что из истории болезни жертвы, например, аллергию на определенные лекарства, GDPR или нет.

Кроме того, некоторые типы обработки персональных данных в таких случаях могут не только служить жизненно важным интересам субъекта данных или другой естественной цели, но также служить общественным интересам , например, в случае стихийных бедствий, эпидемий и т. Д., Как гласит GDPR Recital 46. . И это подводит нас к следующему правовому основанию для законной обработки: причинам общественного интереса как такового.

5. Общественный интерес как основание для законной обработки

Общественный интерес как основа для законной обработки описан в статье 6 GDPR следующим образом: «обработка необходима для выполнения задачи, выполняемой в общественных интересах или при исполнении официальных полномочий, возложенных на контролера».

Это почти то же самое, что и в Директиве о защите данных, и на нелегальном языке просто означает, что этот общественный интерес остается основанием для обработки с общественным интересом, означающим, среди прочего, выполнение нескольких возможных общественных задач (e.g обязательства в отношении НДС и налогов) , задачи, которые вы выполняете как государственный орган и которые требуют обработки личных данных в соответствии с юридическими обязательствами, и другие операции по обработке данных, которые рассматриваются как представляющие общественный интерес, такие как научные исследования, общественное здравоохранение и больше.

Из GDPR Recital 45: «Законодательство Союза или государства-члена также должно определять, должен ли контролер, выполняющий задачу, выполняемую в общественных интересах или при осуществлении официальных полномочий, быть государственным органом или другим физическим или юридическим лицом, управляемым. публичным правом или, если это отвечает общественным интересам, в том числе в целях здравоохранения, таких как общественное здравоохранение и социальная защита и управление медицинскими услугами, частным правом, например профессиональной ассоциацией ».

6. Законные интересы как правовая основа обработки

Последним из шести оснований, служащих законным основанием для обработки персональных данных в первом абзаце статьи 6 GDPR, является часто упоминаемая категория «законных интересов».

Законные интересы уже существовали в качестве законной основы для обработки персональных данных в Директиве, но GDPR добавляет к ней в форме оговорок, когда она НЕ применяется. В статье 6 говорится, что обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной.Первое исключение, которое существовало раньше, – это когда законные интересы перекрываются интересами или основными правами и свободами субъекта данных (конечно, включая основные права субъекта данных в соответствии с GDPR) . Что касается последнего, GDPR, в отличие от Директивы, явно фокусируется на случае, когда субъектом данных является ребенок и всегда требуется разрешение родителей. Кроме того, в GDPR прямо говорится, что правовое основание законного интереса не распространяется на обработку персональных данных государственными органами при выполнении ими своих задач.

Общего регламента по защите данных 47 и 48 дают несколько примеров законных интересов (хотя их основная цель – подчеркнуть, какие права, свободы и т. Д. Имеют приоритет над законными интересами) .

  • Одним из таких примеров законного интереса может быть ситуация, когда «между субъектом данных и контролером существуют соответствующие и подходящие отношения в таких ситуациях, как если субъект данных является клиентом или находится на службе у контролера».
  • Другой пример: обработка персональных данных, строго необходимая для предотвращения мошенничества, также представляет собой законный интерес.
  • GDPR Recital 47 также заявляет, что обработка персональных данных в целях прямого маркетинга может рассматриваться как осуществляемая в законных интересах.
  • В других Ситуациях упоминаются другие законные интересы, начиная от сетевой и информационной безопасности до внутренней работы в группе предприятий.

Главное, что нужно помнить о законных интересах, – это то, что эти интересы должны быть сбалансированы и сопоставлены с правами и рисками субъектов данных.Они должны быть пропорциональными, четко объясненными, более чем экономическими по своему характеру и, конечно, требовать обработки. С дополнительными положениями, касающимися детей, и множеством элементов, которые необходимо учитывать, когда контролер взвешивает законные интересы и их множество, это не самое простое из основных правовых оснований для законной обработки.

Дополнительные факты о законном оформлении

Очевидно, что существует гораздо больше возможностей для обработки особых типов и категорий персональных данных, как упоминалось ранее.

Существуют также специальные правила в отношении данных, касающихся обвинительных приговоров и правонарушений, и государства-члены могут более точно определять требования к обработке, а также могут определять другие меры для удаленной и законной обработки, среди прочего, в рамках положений, касающихся конкретных ситуаций обработки, которые являются рассматривается в главе IX текста GDPR.

Убедитесь, что вы тщательно перечислили свою деятельность по обработке данных и нашли наиболее подходящую законную основу для обработки персональных данных, которая на практике требует большего, чем этот обзор, конечно, для особых категорий персональных данных и организаций (контроллеры и процессоры) в очень конкретных отрасли, такие как здравоохранение, и даже группы, такие как религиозные организации, к которым применяются дополнительные или особые правила.

Верхнее изображение: Shutterstock – Авторское право: Billion Photos – Векторы в графике: Shutterstock – Авторские права: Марина Шевченко –Все остальные изображения являются собственностью их соответствующих владельцев. Несмотря на то, что содержание этой статьи тщательно проверено, мы не несем ответственности за возможные ошибки и советуем вам обратиться за помощью в подготовке к соблюдению GDPR ЕС.

Каковы требования к согласию GDPR?

Один из простых способов избежать крупных штрафов GDPR – всегда получать разрешение от пользователей перед использованием их личных данных.В этой статье объясняются требования к согласию GDPR, которые помогут вам соответствовать.

Вопреки распространенному мнению, GDPR (Общий регламент по защите данных) ЕС не требует, чтобы компании получали согласие людей перед использованием их личной информации в деловых целях. Скорее, согласие – это лишь одна из шести правовых основ, изложенных в статье 6 GDPR. Компании должны определить правовую основу для обработки своих данных.

Согласие является одним из самых простых для удовлетворения, поскольку оно позволяет вам делать с данными практически все, что угодно – при условии, что вы четко объясните, что собираетесь делать, и получите явное разрешение от субъекта данных.Однако, как недавно узнала компания Google, оштрафовав ее на 50 миллионов евро, нельзя срезать углы. Французские органы по защите данных заявили, что версия компании о получении согласия не является ни «информированной», ни «однозначной» и «конкретной».

В этой статье основное внимание уделяется тому, как удовлетворить требования GDPR для получения согласия в качестве правовой основы.

Чтобы получить более подробную информацию о GDPR, прочтите нашу статью «Что такое GDPR?» Он дает концептуальный обзор закона.Мы также опубликовали полный текст GDPR.

GDPR требует правовой основы для обработки данных

«Чтобы обработка была законной, личные данные должны обрабатываться на основании согласия соответствующего субъекта данных или на каком-либо другом законном основании», – поясняет GDPR в Recital 40. Другими словами, согласие – это лишь одна из юридических оснований, которую вы можете использовать для оправдания вашего сбора, обработки и / или хранения личных данных людей. В статье 6 говорится о пяти других оправданиях.

Как мы объясняем в нашем обзоре GDPR, это и другие правовые основания:

  1. Обработка необходима для выполнения контракта, стороной которого является субъект данных.
  2. Вам необходимо обработать данные в соответствии с юридическим обязательством.
  3. Вам нужно обработать данные, чтобы спасти чью-то жизнь.
  4. Обработка необходима для выполнения задачи в общественных интересах или для выполнения некоторых официальных функций.
  5. У вас есть законный интерес к обработке чьих-либо личных данных.Это наиболее гибкая законная основа, хотя «основные права и свободы субъекта данных» всегда имеют приоритет над вашими интересами, особенно если это данные ребенка.

Вам нужно выбрать только одно правовое основание для обработки данных, но как только вы выберете его, вы должны его придерживаться. Вы не можете изменить свое правовое основание позже, хотя вы можете указать несколько оснований. Перед обработкой персональных данных вам следует провести оценку воздействия на защиту данных GDPR.

Определение согласия GDPR

Если вы обрабатываете чьи-либо данные на основе их согласия, GDPR четко объясняет обязательства, которые вы должны выполнить.Статья 4 (11) определяет согласие:

Согласие субъекта данных означает любое свободно данное, конкретное, информированное и недвусмысленное указание желаний субъекта данных, посредством которого он или она посредством заявления или четкого позитивного действия означает согласие на обработку относящихся к нему персональных данных.

GDPR дополнительно разъясняет условия согласия в статье 7:

1. Если обработка основана на согласии, контролер должен иметь возможность продемонстрировать, что субъект данных дал согласие на обработку его или ее личных данных. .

2. Если согласие субъекта данных дается в контексте письменного заявления, которое также касается других вопросов, просьба о согласии должна быть представлена ​​способом, который четко отличается от других вопросов, в понятной и легко доступной форме. , используя ясный и понятный язык. Любая часть такого заявления, которая представляет собой нарушение настоящего Регламента, не является обязательной.

3. Субъект данных имеет право отозвать свое согласие в любое время.Отзыв согласия не влияет на законность обработки на основании согласия до его отзыва. Прежде чем дать согласие, субъект данных должен быть проинформирован об этом. Отзыв должен быть таким же легким, как и дать согласие.

4. При оценке того, было ли дано согласие свободно, в максимальной степени учитывается, обусловлено ли, среди прочего, выполнение контракта, включая предоставление услуги, согласием на обработку персональных данных, в которых нет необходимости. для выполнения этого контракта.

Теперь, когда у вас есть определение, давайте разберемся с некоторыми из этих понятий.

Согласие должно быть дано свободно.

Согласие «добровольно дано», по сути, означает, что вы не уговорили субъекта данных дать вам согласие на использование его данных. Во-первых, это означает, что вы не можете требовать согласия на обработку данных в качестве условия использования службы. Им нужно иметь возможность сказать «нет». Согласно декларации 42, «согласие не должно рассматриваться как предоставленное свободно, если субъект данных не имеет подлинного или свободного выбора или не может отказать или отозвать согласие без ущерба.”

Единственное исключение – если вам нужны какие-то данные от кого-то, чтобы предоставить им вашу услугу. Например, вам может потребоваться информация об их кредитной карте для обработки транзакции или почтовый адрес для отправки продукта.

Подробное описание 43 обсуждает добровольно данное согласие. В нем объясняется, что вы должны получать отдельное согласие на каждую операцию обработки данных. Поэтому, если вам нужен их адрес электронной почты для маркетинговых целей и их IP-адрес для целей аналитики веб-сайта, вы должны предоставить пользователю возможность подтвердить или отклонить каждое использование.

Согласие должно быть конкретным

«Запрос на согласие должен быть представлен в форме, которая четко отличается от других вопросов». Должно быть ясно, какие действия по обработке данных вы собираетесь выполнять, давая субъекту возможность дать согласие на каждое действие.

В примере с адресом электронной почты и IP-адресом вы не можете объяснить их использование в рамках одного длинного абзаца с подробным описанием деятельности вашей маркетинговой группы с единственным флажком согласия в конце.Вместо этого вы должны объяснять каждый вариант использования данных отдельно, давая субъектам данных возможность давать согласие на каждое действие индивидуально.

Если у вас есть несколько причин для выполнения действий по обработке данных, вы должны получить согласие для всех этих целей. Поэтому, если вы храните номера телефонов как для маркетинговых целей, так и для проверки личности, вы должны получать согласие для каждой цели.

Согласие должно быть проинформировано

Информированное согласие означает, что субъект данных знает вашу личность, какие действия по обработке данных вы собираетесь проводить, цель обработки данных и что он может отозвать свое согласие в любое время.

Это также означает, что запрос на согласие и объяснение действий по обработке данных и их цели описаны простым языком («в понятной и легко доступной форме, используя ясный и простой язык»). Это не означает никакого технического жаргона или юридического языка. Любой, кто обращается к вашим услугам, должен понимать, на что вы просите его согласиться.

Случай с Google представляет собой поучительный пример из реальной жизни. Французские власти заявили, что компания не выполнила требования информированного согласия:

Информация об операциях обработки для персонализации рекламы представлена ​​в нескольких документах и ​​не позволяет пользователю узнать об их объеме.Например, в разделе «Персонализация рекламы» невозможно узнать о множестве служб, веб-сайтов и приложений, участвующих в этих операциях обработки… и, следовательно, об объеме обработанных и объединенных данных.

Управление британского комиссара по информации предоставляет дополнительный контекст: «Если запрос о согласии является расплывчатым, всеобъемлющим или трудным для понимания, то он будет недействительным. В частности, формулировка, которая может ввести в заблуждение – например, использование двойного отрицания или противоречивой формулировки – сделает согласие недействительным.”

Согласие должно быть недвусмысленным

То есть не должно быть никаких сомнений в том, дал ли субъект данных согласие. Согласно GDPR Recital 32.

Однозначное согласие, «молчание, предварительно отмеченные флажки или бездействие не должны означать согласие», «может включать в себя установку флажка при посещении веб-сайта, выбор технических настроек для услуг информационного общества или другое заявление или поведение, которое четко указывает в этом контексте согласие субъекта данных с предлагаемой обработкой его или ее личных данных.”

Согласие можно отозвать

GDPR не указывает срок хранения согласия. Теоретически согласие человека бессрочно, хотя могут быть ситуации, в которых становится ясно, что согласие больше не является действительным или разумным или нарушает какой-либо принцип обработки данных.

Однако субъект данных имеет право отозвать согласие в любое время. Более того, вы должны упростить им это. В общем, для них должно быть так же легко отозвать согласие, как и для вас, чтобы получить согласие.

Требования GDPR относительно легко понять, но, возможно, сложнее реализовать. Вы можете столкнуться с техническими препятствиями или проблемами, связанными с согласованием потребностей вашего бизнеса с требованиями соответствия GDPR. Может помочь заполнение вашей оценки воздействия на защиту данных. Так же можно поговорить с юристом GDPR. Соответствие
GDPR – это непрерывный процесс. Обратитесь к нашему контрольному списку GDPR, чтобы убедиться, что ваша организация честно.

Контракт | ICO

Кратко

  • Вы можете полагаться на это законное основание, если вам необходимо обработать чьи-либо личные данные:
    • для оказания им договорных услуг; или
    • , потому что они попросили вас что-то сделать перед заключением контракта (например, предоставить расценки).
  • Обработка должна быть обязательной. Если бы вы могли разумно делать то, что они хотят, обрабатывая меньше данных или используя их данные менее навязчивым образом, это основание не будет применяться.
  • Вы должны задокументировать свое решение полагаться на это законное основание и убедиться, что вы можете обосновать свои доводы.

Вкратце

Когда может применяться законная основа для заключения контрактов?

У вас есть законное основание для обработки, если:

  • у вас есть договор с физическим лицом, и вам необходимо обрабатывать его личные данные для выполнения своих обязательств по договору.
  • , у вас есть контракт с физическим лицом, и вам необходимо обработать его личные данные, чтобы они могли выполнять определенные встречные обязательства по контракту (например, вы обрабатываете платежные реквизиты).
  • , у вас еще нет контракта с физическим лицом, но они попросили вас сделать что-то в качестве первого шага (например, предоставить расценки), и вам необходимо обработать его личные данные, чтобы сделать то, что они просят. Это применимо, даже если они фактически не заключают с вами договор, при условии, что обработка была в контексте потенциального контракта с этим лицом.

Пример

Индивидуальный поиск автострахования запрашивает расценки. Страховщику необходимо обработать определенные данные, чтобы подготовить предложение, например, марку и возраст автомобиля.

Это не применяется, если вам нужно обработать данные одного человека, но контракт заключен с кем-то другим.

Это не применяется, если вы собираете и повторно используете данные своих клиентов в собственных деловых целях, даже если это разрешено в соответствии с вашими стандартными договорными условиями и является частью вашей модели финансирования.

Это не применяется, если вы предпринимаете преддоговорные шаги по собственной инициативе, для выполнения других обязательств или по запросу третьей стороны.

Обратите внимание, что в этом контексте контракт не должен быть официально подписанным документом или даже записанным, если есть соглашение, которое соответствует требованиям договорного права. В широком смысле это означает, что условия были предложены и приняты, вы оба предполагаете, что они будут иметь обязательную юридическую силу, и есть элемент обмена (обычно это обмен товаров или услуг на деньги, но это может быть что угодно, имеющее ценность).Однако это не полное объяснение договорного права, и в случае сомнений вам следует обратиться за собственной юридической консультацией.

Когда обработка «необходима» для контракта?

«Необходимый» не означает, что обработка должна быть абсолютно необходимой или «единственным способом» для выполнения контракта или принятия соответствующих преддоговорных шагов. Однако это должно быть больше, чем просто полезное, и больше, чем просто часть ваших стандартных условий. Это должен быть целенаправленный и соразмерный шаг, который является неотъемлемой частью предоставления контрактных услуг или выполнения запрошенных действий.Это законное основание не применяется, если есть другие разумные и менее навязчивые способы предоставления контрактных услуг или принятия запрошенных мер.

Обработка должна быть необходима для выполнения контракта с этим конкретным лицом. Если вместо этого обработка необходима для поддержания вашей бизнес-модели в целом или включена в ваши условия для других деловых целей, помимо предоставления контрактных услуг, это законное основание не будет применяться, и вам следует рассмотреть другое законное основание, такое как законные интересы.

Пример

Когда субъект данных совершает онлайн-покупку, контролер обрабатывает адрес физического лица, чтобы доставить товар. Это необходимо для выполнения контракта.

Однако профилирование интересов и предпочтений человека на основе приобретенных товаров не является необходимым для выполнения контракта, и контролер не может ссылаться на Статью 6 (1) (b) в качестве законного основания для такой обработки. Даже если этот тип целевой рекламы является полезной частью ваших отношений с клиентами и необходимой частью вашей бизнес-модели, нет необходимости выполнять сам договор.

Это не означает, что обработка, которая не является необходимой для контракта, автоматически является незаконной, а скорее, что вам нужно искать другое законное основание (и другие гарантии, такие как право на возражение, могут вступить в игру).

Что еще нам следует учитывать?

Если обработка необходима для заключения договора с физическим лицом, обработка является законной на этом основании, и вам не нужно получать отдельное согласие.

Если для контракта необходима обработка данных специальной категории, вам также необходимо указать отдельное условие для обработки этих данных.Прочтите наше руководство по данным специальных категорий для получения дополнительной информации.

Если договор заключен с ребенком младше 18 лет, вам необходимо определить, обладает ли он необходимой компетенцией для заключения договора. Если вы сомневаетесь в их компетентности, вы можете рассмотреть альтернативное основание, такое как законные интересы, которые могут помочь вам продемонстрировать, что права и интересы ребенка должным образом учитываются и защищаются. Прочтите наше руководство по детям и GDPR для получения дополнительной информации.

Если обработка не требуется для контракта, вам необходимо рассмотреть другое законное основание, такое как законные интересы или согласие. Обратите внимание, что если вы хотите полагаться на согласие, вы, как правило, не сможете сделать обработку условием контракта. Прочтите наше руководство по согласию для получения дополнительной информации.

Если вы обрабатываете на основании контракта, право физического лица на возражение и право не подвергаться решению, основанному исключительно на автоматизированной обработке, не применяются.Однако у человека будет право на переносимость данных. Прочтите наше руководство по правам человека для получения дополнительной информации.

Не забудьте задокументировать свое решение о том, что обработка необходима для контракта, и включить информацию о ваших целях и законных основаниях в свое уведомление о конфиденциальности.

Подробнее – Европейский совет по защите данных

Европейский совет по защите данных (EDPB), который заменил Рабочую группу по статье 29 (WP29), включает представителей органов по защите данных каждого государства-члена ЕС.Он принимает рекомендации по соблюдению требований GDPR.

EDPB утвердил окончательные руководящие принципы обработки в соответствии со статьей 6 (1) (b) в контексте онлайн-услуг. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Однако они могут по-прежнему давать полезные советы по определенным вопросам.

Соглашение об обработке данных: 7 элементов, которые должен иметь каждый DPA, соответствующий GDPR [Обновлено]

Если вы хотите знать, как составить законное соглашение об обработке данных (DPA), вы находитесь в нужном месте.В этом сообщении блога мы познакомим вас со всеми важными элементами DPA в соответствии с Общим регламентом защиты данных (GDPR).

GDPR налагает множество обязательств на тех, кто хочет собирать и использовать персональные данные о пользователях. Одним из наиболее важных является DPA с каждой стороной, имеющей доступ к этим данным. Пункт DPA или заказной обработки данных – это юридически обязательный документ, подписанный между контролером и обработчиком. Он регулирует особенности обработки данных, например:

  • Объем и цель обработки
  • Отношения между этими участниками
  • Обязательства каждой стороны в соответствии с положением

Когда вам понадобится DPA?

Каждый раз, когда обработчик данных выполняет какую-либо обработку от вашего имени, вам необходимо заключить письменный договор.

Это означает, что вам понадобится DPA, например, когда вы используете платформы управления взаимоотношениями с клиентами (CRM), платформы данных о клиентах (CDP), аналитику и многие другие инструменты, предназначенные для анализа поведения пользователей.

Контракт важен для того, чтобы обе стороны понимали свою роль в обработке персональных данных пользователей и свои обязательства, вытекающие из этого. Это гарантирует, что цепочка ответственности ясна каждому участнику процесса.

В этом нет ничего нового.Подписание такого документа требуется многими другими положениями о конфиденциальности данных, в том числе Британским Законом о защите данных и директивой 95/46 / EC о защите данных, предшествующей GDPR.

Тем не менее, согласно GDPR требования к контракту шире. Они также помогают продемонстрировать соответствие каждой стороны в случае проверки органами по защите данных.

По данным Управления комиссара по информации Великобритании:

Контракты между контролерами и обработчиками гарантируют, что они оба понимают свои обязательства, ответственность и ответственность.Они помогают им соблюдать GDPR и помогают диспетчерам продемонстрировать свое соответствие GDPR. Использование контрактов контроллерами и обработчиками также может повысить уверенность субъектов данных в обработке их личных данных.

Должен ли DPA быть отдельным документом?

Нет никаких юридических ограничений, согласно которым DPA не может быть частью обычного контракта между процессором и контролером. Однако, учитывая сложность задачи, хорошо бы создать отдельный документ или приложение к основному договору.

Что должно быть включено в DPA?

GDPR дает некоторые общие рекомендации о том, что включать в DPA. Основываясь на нормах, а также на нашем собственном опыте и знаниях, мы подготовили список элементов, которые должны быть в каждом соглашении об обработке данных.

Важное примечание! Информация, содержащаяся в этой статье, предназначена только для информационных целей и не должна рассматриваться как юридическая консультация.

1) Общие положения

В этой части контракта вы указываете термины, используемые в документе.Помимо прочего, вы должны определить:

  • Предмет соглашения – обычно это все действия, связанные с договорными отношениями между партнерами.
  • Объем, характер и продолжительность обработки данных – как личные данные будут использоваться и какая сторона будет нести ответственность за соблюдение процесса. Эта ответственность обычно лежит на контроллере данных (на вас).
  • Субъекты обработки данных – чьи данные вы хотите обработать, e.грамм. дети, клиенты банков, пациенты или просто посетители веб-сайтов. Субъекты данных могут относиться к нескольким категориям.
  • Тип данных, которые вы хотите обработать – различные категории данных, которые вы хотите обработать. Это может быть, например, технические характеристики браузера, данные о поведении на веб-сайтах или IP-адресах.

передовой опыт

Контроллер должен информировать обработчика данных, если они собирают особые категории данных, поскольку существуют дополнительные ограничения на обработку определенных типов данных.Если вы хотите узнать больше о категориях личных данных, прочтите это сообщение в блоге.

  • Хранение данных – Хотя GDPR не запрещает компаниям хранить личные данные пользователей за пределами ЕС, он устанавливает ограничения для такой передачи (см. Главу 5). Обработчик не должен отправлять данные за границу без предварительного согласия. Если данные должны храниться за границей, вам необходимо описать, как обработчик данных должен обрабатывать их, чтобы соответствовать стандартам защиты, установленным GDPR. Поскольку инструкции должны быть подробными, их стоит включить в отдельный пункт или даже приложение к контракту.
  • Условия прекращения действия контракта – Здесь вы должны указать, что все данные о ваших пользователях должны быть удалены из баз данных процессора после прекращения действия контракта. Вы также должны указать, когда у вас есть право расторгнуть соглашение – например, если процессор не сообщает вам о нарушении данных или вносит несанкционированные изменения в процедуры обработки данных.

2) Права и обязанности контролеров данных (вы)

Вы также должны указать свои обязанности в качестве контроллера данных и включить следующие положения:

  • Вы несете ответственность за установление законной обработки данных и соблюдение прав субъектов данных, включая сбор согласий и запросов субъектов данных.
  • Вы несете ответственность за выдачу инструкций по обработке данных, например назначение сотрудников в качестве контактных лиц.

Чтобы узнать больше о том, что GDPR говорит о роли контроллера данных, прочитайте статью 24.

3) Обязанности обработчиков данных

Статьи 28-36 GDPR устанавливают обязанности обработчиков данных. Среди прочего их:

  • Должен обеспечивать адекватную информационную безопасность
  • Запрещается привлекать субпроцессоров без вашего предварительного согласия.
  • Должен сотрудничать с властями в случае запроса
  • Должны сообщать вам об утечках данных, как только они узнают о них
  • Может потребоваться назначение сотрудника по защите данных
  • Должен дать вам возможность проводить аудит для проверки их соответствия
  • Должен вести учет всех операций по переработке
  • Должен соответствовать правилам трансграничной передачи данных ЕС
  • Должен помочь вам в соблюдении прав субъектов данных, включая обработку запросов субъектов данных.
  • Должен помочь вам в управлении последствиями утечки данных
  • Должен удалить или вернуть все личные данные в конце контракта, если требуется
  • Должен сообщить вам, если ваши инструкции по обработке нарушают GDPR

передовой опыт

DPA не должно допускать неправильного толкования.Чтобы избежать серых областей, не забудьте:

  • Установите временные рамки, в течение которых процессор данных должен обрабатывать запросы данных и в течение которых процессор данных должен сообщить вам об утечке данных
  • Раскройте контактные данные своего уполномоченного по защите данных
  • Укажите, планируете ли вы проводить аудит процессора, и как часто, и кто покроет связанные с этим расходы

Таким образом вы убедитесь, что нет слабых звеньев и процессор данных точно знает, чего вы от них ожидаете.

Положения этой части контракта должны быть адаптированы к конкретным потребностям организации и отраслевым требованиям. Если вы хотите более подробно изучить обязанности обработчика данных, посетите эту страницу.

4) Технические и организационные меры

Этот пункт контракта относится к системам и процедурам, которые применяют обработчики данных для обеспечения безопасности личных данных, содействия соблюдению закона и предотвращения утечки данных.

Согласно статье 32 Постановления:

Принимая во внимание уровень техники, затраты на реализацию и характер, объем, контекст и цели обработки, а также риск различной вероятности и серьезности для прав и свобод физических лиц, контролера и обработчика должен применять соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, включая, помимо прочего, при необходимости:

  • Псевдонимизация и шифрование персональных данных
  • Возможность обеспечить постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем обработки и услуг
  • Возможность своевременного восстановления доступности и доступа к персональным данным в случае физического или технического происшествия
  • Процесс регулярного тестирования, оценки и оценки эффективности технических и организационных мер по обеспечению безопасности обработки

В контракте должно быть указано, что обработчик данных должен принять все необходимые технические и организационные меры до того, как начнет обработку персональных данных пользователей.В конце концов, одна из ключевых ролей DPA – гарантировать, что процессоры предоставляют достаточные гарантии защиты данных.

Учитывая сложность этих мер, лучше всего включить их в отдельное приложение к контракту (см .: Приложение 1).

5) Субподрядные отношения

Этот раздел проливает свет на отношения между основным процессором данных и подпроцессорами (сторонами, которые обрабатывают данные от имени процессора). Вот что включить в эту часть договора:

  • Обработчик данных должен получить письменное согласие контролера данных на привлечение субпроцессоров.
  • Контракт между процессором и субпроцессором должен обеспечивать уровень защиты данных, сопоставимый с уровнем, обеспечиваемым DPA.
  • Контроллер данных должен нести ответственность за регулярную проверку соответствия субпроцессоров (например, не реже одного раза в 12 месяцев).

Также, для ясности, неплохо перечислить субпроцессоров в отдельном приложении к контракту (см. Раздел «Приложение 2»).

6) Заключительные положения

Это стандартная часть каждого контракта.Упомяните здесь, что:

  • Любые изменения в контракте должны быть приняты обеими сторонами
  • DPA заменяет все другие соглашения между процессором данных и контроллером данных

Это не оставит места для неправильного толкования в случае, если положения других соглашений противоречат требованиям DPA.

7) Приложения

DPA не было бы полным без приложений, в которых подробно излагаются договорные отношения. Вот что в них стоит включить:

Приложение 1. Технические и организационные меры

Это приложение дополняет пункты DPA, касающиеся технических и организационных мер.Здесь обработчик данных должен доказать свою «способность обеспечивать постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем обработки и услуг » и установить «процесс для регулярного тестирования, оценки и оценки эффективности технические и организационные меры по обеспечению безопасности обработки ». Обе цитаты являются выдержками из статьи 32 GDPR.

Ниже приведен список областей, имеющих решающее значение для соблюдения GDPR:

Конфиденциальность

Среди прочего процессор должен описать:

  • Структура дата-центра, в котором планируется хранить персональные данные
  • Протоколы управления информационной безопасностью
  • Физический доступ в офис и примененные меры безопасности
  • Удаленный доступ в офис
  • Контроль доступа к приложениям (ПО)
Целостность

В этой части контракта обработчик данных должен доказать, что личные данные не могут быть прочитаны, скопированы, изменены или удалены какой-либо неавторизованной стороной во время передачи данных.

Доступность и устойчивость

В этом разделе приложения процессор должен представить свои политики резервного копирования и меры, используемые для обеспечения избыточности, возможности восстановления и высокой доступности данных.

Процедуры периодической проверки

Здесь обработчик данных должен подробно описать схему периодической оценки технических и организационных мер из предыдущих частей приложения.

Приложение 2 – Список подпроцессоров

Здесь ничего сложного – в этот список должны быть включены все субпроцессоры данных, а также адреса их головных офисов.

Соглашение об обработке данных в соответствии с GDPR

Мы надеемся, что это сообщение в блоге даст вам хорошее представление о том, как должно выглядеть соглашение об обработке данных. Но мы знаем, что это сложная проблема, и у вас могут остаться вопросы, на которые нет ответа. Если да, обязательно ознакомьтесь с некоторыми дополнительными источниками информации о составлении DPA, включая это чрезвычайно информативное руководство Управления Комиссара по информации Великобритании.

Изучите 10 элементов, которые должна содержать каждая политика конфиденциальности, соответствующая GDPR >>
Соответствует ли Google Analytics GDPR? 10 вещей, которые следует учитывать >>
Узнайте, как получить согласие и собрать данные в соответствии с руководством CNIL и GDPR >>
Узнайте, как темные шаблоны противоречат GDPR и CCPA >>

.