Увеличился штраф за отсутствие и некорректность составления согласия на обработку персональных данных. Теперь он составляет 700 тысяч рублей за первое нарушение и 1,5 миллиона рублей за повторное.
В этой статье мы рассмотрим, как на наш взгляд, безопаснее всего составить письменное согласие, какие ошибки встречаются чаще всего и что может помочь в случае возникновения претензий Роскомнадзора.
Роскомнадзор на практике смотрит на отражение форме необходимых положений закона «О персональных данных».
Ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Указание на субъекта данных. Закон указывает, что необходимо указать паспортные данные (Ф.И.О., адрес регистрации, номер, дата, орган выдачи документа). Не рекомендуем указывать данные излишне описанных, например электронная почта, номер телефона, адрес проживания, Роскомнадзор может счесть это сбором персональных данных не предусмотренным законодательством.
КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных
Указание на оператора. Рекомендуем в этом случае не ограничиваться требованиями закона (Ф.И.О. или наименование организации, адрес). Будет полезным внести данные об ИНН и ОГРН, это предостережет Вас от изменения адреса или названия, если изменения не внесены в соглашение, Роскомнадзор может счесть это за невозможность идентификации оператора, что также будет нарушением.
Цель соглашения. Роскомнадзор требует, чтобы одно соглашение соответствовало одной цели. Ведомство считает, что закон предусматривает цель в единичном числе. Можете расширить одну цель также задачами, которые не требуют письменного согласия. Также советуем формулировать цель максимально конкретно, описывая ее детально. Если это трудовые отношения, то можете указать, например, «проведение оценки эффективности работника», «предоставление корпоративных льгот», «выпуск именной корпоративной продукции».
Перечень действий. В согласии необходимо исчерпывающе указать перечень действий, который намеревается осуществить оператор. Не рекомендуем вносить все действия из ст. 3 закона «О персональных данных», Роскомнадзор может обратить на это внимание. Безопаснее всего корректировать список действий в зависимости от потребности соглашения.
Рекомендуем также отказаться от использования терминов «распространение» и «обезличивание». На распространение требуется отдельное согласие, а термин обезличивание, как считает ведомство, коммерческие организации не могут проводить такую процедуру, так как закон не предусматривает случаи, когда она необходима. (Приказ Роскомнадзора от 24.02.2021 № 18 )
Срок действия соглашения. Роскомнадзор требует, чтобы у соглашения был определенный срок, либо условие прекращения действия. Так что не получится использовать авто пролонгацию или сделать соглашение бессрочным. Также рекомендуем не устанавливать большой срок для соглашений, так как закон требует устанавливать сроки в зависимости от функций, полномочий и обязанностей, возложенных на оператора. Также срок должен соответствовать цели согласия.
П. 2 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»