Горячая линия бесплатной юридической помощи:
Москва и область:
Москва И МО:
+7(499) 110-93-26 (бесплатно)
Санкт-Петербург и область:
СПб и Лен.область:
+7 (812) 317-74-92 (бесплатно)
Регионы (вся Россия):
8 (800) 550-95-86 (бесплатно)

ФЗ 152 – закон о персональных данных для интернет-магазинов

Оформляем документы для защиты личных данных работников

Важно

При этом лицо признается оператором ПДн вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений, а в силу самого факта осуществления им деятельности по обработке ПДн.

Инфо

Случаи, при которых допускается обработка ПДн без согласия субъекта таких данных, установлены ст.

Закона N 152-ФЗ. Причем установлены они исчерпывающим образом.

5 ч. 1 ст. 6 Закона N 152-ФЗ).

Законы Российской Федерации не утверждают точную форму бланка согласия, поэтому, чтобы договор имел юридическую силу нужно лишь проконтролировать, чтобы он содержал все сведения, диктуемые пунктом 4 статьей 9 закона № 152-ФЗ.

Любой человек может разработать бланк

согласия

подходящий именно под то, какие сведения он хочет в нем отразить и как впоследствии их обработают.

Договор включает в себя такие пункты как:

  1. Сначала вы должны указать свое имя, фамилию, отчество.
  2. Потом субъект соглашения указывает, какой документ он использует для удостоверения своей личности и его номер.
  3. Указывает кем и когда выдан этот документ.
  4. Вы должны написать место вашей постоянной регистрации.
  5. И уточнить название организации, которой вы даете свое согласие.
  6. Потом указываются цели, для которых оператор берет в обработку ваши персональные данные.
  7. И перечень личной информации, которую вы передаете на обработку.
  8. Следующий пункт, включает в себя информацию о том, какие действия оператор может делать с данными при согласии субъекта.
  9. Упоминается, что соглашение действует бессрочно (подробнее о сроках хранения и обработки читайте тут).
  10. Может быть отозвано в любое время, а в случае неправомерного использования отзывается с помощью письменного заявления.
  11. Указывается, что субъект имеет право на получение информации о том, как обрабатываются его данные.
  12. Ставится число, подпись, фамилия, имя и отчество.
  13. И после информации о том, что вы ознакомлены с №152-ФЗ, также ставится дата, ваша подпись и Ф.И.О.

Важно отметить, что обработка ПД для заключения контракта допускается только по инициативе самого гражданина (субъекта). То рассылка писем (SMS или прочие) под предлогом того, что их получатели будут клиентами, является неправомерной (вряд ли суд примет излюбленный аргумент спамеров, что, мол, все адресаты тысяч писем мечтают получить наиважнейшую информацию и тому подобное).

Более того, закон прямо предусматривает необходимость получения согласия адресата (субъекта ПД) на использование его данных «в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи». Причем отсутствие такого согласия презюмируется (доказывание его наличия возлагается на отправителя). Кроме того, в отличие от законодательства о рекламе, закон о ПД запрещает не только электронную, но и любую иную рассылку (в том числе почтовую).

Для чего нужен и когда пишется

Документ предназначен для того, чтобы работодатель мог обозначить ответственность и при выявлении нарушений привлечь к ней работников, которые имеют доступ к личным сведениям коллег. Количество людей, в чьи обязанности входит обработка и неразглашение персональных данных, может различаться. Если в малых организациях все ограничивается лишь главным бухгалтером, то в средних и крупных компаниях сотрудники, работающие с личной информацией, числятся в структурных подразделениях:

  • бухгалтерия;
  • отдел персонала;
  • отдел информационных технологий;
  • отдел продаж или отдел обслуживания (если речь идет об информации о клиентах).

Список может быть расширен в зависимости от специфики и структуры организации. Таким образом, в пакет типовых кадровых документов работодателя должна входить форма обязательства о неразглашении персональных данных. Оптимальный срок для подписания этого документа ответственными лицами — в момент приема на работу.

Договор на обработку персональных данных — образец

Нужно ли вообще согласие человека и какие условия? Согласно ч. 1 ст. 9 закона № 152-ФЗ разрешение физического лица на обработку его личных данных должно быть полностью добровольным. Иногда люди, ошибочно полагающие, что данный договор направлен не на обеспечение безопасного использования их данных и защиту прав, а наоборот, поспособствует передаче информации в руки злоумышленников, отказываются от подписания данного соглашения.

В ряде случаев при отказе физического лица, работодатель может обработать персональные данные исключительно в служебных целях, без согласия работника. Именно это и гласит ч. 5

ст. 6 закона № 152-ФЗ

, однако такое возможно только уже при заключенном трудовом договоре.

Например, работодатель может обработать данные, без согласия, для прохождения работником медкомиссии или переводе его на другую должность, в связи с состоянием здоровья. Если новый сотрудник при трудоустройстве, отказывается дать согласие на обработку своих персональных данных, взять на работу его не получится.

Разрешение не понадобится для передачи сведений о человеке в пенсионный фонд, фонды осуществляющие социальное страхование, военный комиссариат. Так же согласие не понадобится при угрозе жизни или здоровью человека, когда он сам не в состоянии подписать договор. Без согласия сотрудника, при пропускной системе на предприятии или организации, невозможно будет ему сделать новый пропуск или заменить старый.

Следует помнить, что закон возлагает ответственность за получение согласия на обработку данных, на оператора, поэтому даже если в конкретном случае, письменное разрешение не требуется, то лучше перестраховаться.

Согласие физического лица требуется если составлен трудовой, страховой, ренты, подряд и любые другие где может потребоваться личная информация о человеке.

Как прописать пункт о согласии? Касательно договора, составленного в письменной форме на бумаге, то данный пункт, о согласии на обработку, должен быть явно выделен в тексте. Потребуется поставить вашу роспись, это и будет означать то, что вы ознакомлены с всеми пунктами договора и даете свое разрешение.

Что касается интернет ресурсов, то там может быть не все так явно, но так же обязательно, потому что интернет операторы персональных данных, так же отвечают перед законом Российской Федерации. В основном требуется ставить галочку в отдельном пункте/окне/параграфе.

Инфо

Исполнять необязательно? С другой стороны, законодательству о ПД свойственна популярная характеристика всего российского права – его жесткость компенсируется необязательностью исполнения. Ведь ответственность за нарушения ограничена суммой в 10 тысяч рублей для юридических лиц и тысячу рублей для их руководителей. Кроме того, проводить проверки надзорный орган (Роскомнадзор) может только по поручению прокуратуры, которой также делегировано право составлять протоколы о таких административных правонарушениях.

А выносить постановление вправе исключительно суд, причем это нужно сделать в течение трех месяцев со дня совершения проступка.

Важно

Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, признаются обработкой персональных данных (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ). Оператором персональных данных, как следует из п. 2 ст.

Предлагаем ознакомиться:  Попал в большую яму на дороге – что проверять в автомобиле?

Правительства РФ от 06.05.2011 № 354);

  • соглашение об оценке эффективности мер защиты ПД может быть заключено только с организацией, имеющей лицензию на осуществление деятельности по техзащите информации конфиденциального характера (п. 6 состава и содержания организационных и технических мер по обеспечению безопасности персональных данных…, утв. приказом ФСТЭК России от 18.02.2013 № 21);
  • в соответствии с ч. 1 ст. 15.3 закона «О государственном оборонном заказе» от 29.12.2012 № 275-ФЗ по запросам контролирующих органов организации и органы власти обязаны представлять документы и информацию, включая соглашения, несмотря на содержащиеся в них ПД.

Согласие на обработку персональных данных Согласие на обработку ПД может быть выражено как в форме отдельного документа, так и в соглашении.

О, адрес субъекта персональных данных или его представителя, реквизиты документа, удостоверяющего его личность;

  • наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
  • цель обработки персональных данных;
  • перечень ПД, на обработку которых дают согласие;
  • наименование или ФИО и адрес лица, обрабатывающего ПД по поручению оператора;
  • перечень действий с ПДн, на совершение которых даётся согласие;
  • общее описание используемых оператором способов обработки ПД;
  • срок действия согласия субъекта ПД;
  • подпись субъекта ПД;
  • условия прекращения работы с персональными данными.

Могут ли персональные данные собственников появиться в открытом доступе 1548 0 Согласие на обработку ПД в договоре управления МКД Согласие на обработку персональных данных можно включить в приложение к договору управления МКд.

Таким образом, обработка ПДн контрагентов — физических лиц (в том числе являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключены договоры поставки (либо оказания услуг), может осуществляться без согласия на обработку ПДн и без уведомления уполномоченного органа при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта ПДн и будут обрабатываться только в целях заключения с ними соответствующих договоров (определение СК по гражданским делам Московского городского суда от 06.04.2012 N 33-8687).

Внимание

Если же организация намерена осуществлять обработку ПДн в иных случаях, не связанных с исполнением договора, то она обязана получить согласие на обработку ПДн.

Верховный Суд РФ: временная нетрудоспособность наступает до получения листка нетрудоспособности, и является уважительной причиной отсутствия работника на работе 27.02.2018 Штрафы для работодателей прибавятся! Трудоустройство инвалидов Все новости Опрос дня Время предоставления работнику-пенсионеру отпуска за свой счет (до 14 дней) должно определяться только работником или же по соглашению работника и работодателя?

— время предоставления работнику-пенсионеру отпуска за свой счет (до 14 дней) определяется только работником- время предоставления работнику-пенсионеру отпуска за свой счет (до 14 дней) определяется только по соглашению работника и работодателя Проголосовать и узнать результаты опроса всех Все опросы сайта Тест дня Книги по кадровому делопроизводству От профессионалов КД.Печатные и электронные версии.Доставка по РФ Все книги Подписаться Журналы учета и регистрации.

Этот пункт желательно выделить под отдельную подпись;

  • Подтверждение субъекта, что он передает достоверные сведения;
  • Право на передачу персональных данных субъекта третьим лицам (с разъяснением);
  • Согласие субъекта в ЯВНОМ виде на использование его данных с целью продвижения товаров и услуг (если планируется это делать).

    Этот пункт желательно выделить под отдельную подпись;

  • Согласие субъекта на обработку его данных до достижения целей обработки (пункт можно оспорить, но, все-таки лучше прописать).
  • Что касается требования получать согласие субъекта персональных данных в ПИСЬМЕННОЙ форме.
    С сотрудников, которые устраиваются на работу в компанию, лучше брать такое согласие на этапе подписания трудового договора.
    С работающих сотрудников фирмы получить такое согласие также нужно, пусть хранится в личном деле.

Права граждан, сис, Система защиты персональных данных не по ГОСТу, система персональных данных, Суды, Требования «…дам небольшой список того, что должно присутствовать..» А также: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;3) цель обработки персональных данных;4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;6) срок, в течение которого действует согласие, а также порядок его отзыва.

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн, признаются обработкой ПДн (п. 3 ч. 1 ст.

Физические лица (в том числе ИП), заключая договор на поставку и оказание услуг с различными организациями, предоставляют свои персональные данные. Необходимо ли организации брать письменное согласие на обработку персональных данных с физических лиц? Если у организации с физическим лицом, заключен договор, то обработка персональных данных может осуществляться без согласия на обработку персональных данных при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях исполнения заключенных с ними договоров поставки (оказания услуг). Согласно ст.

Законный интерес или базис без согласия

Внимание

Например, Арбитражный суд Санкт-Петербурга и Ленинградской области счел незаконным действия ООО «Единый медицинский центр», которое требовало от пациентов согласие на обработку их ПД (включая сведения о семейном и имущественном положении, образовании, доходах, а также «другой информации») в неопределенных целях (дело № А56-56137/2013). Формальное начало Никто не мешает компаниям с помощью сайта собирать и обрабатывать заказы, отправлять клиентам информацию об их исполнении и так далее. Главное – делать это добросовестно. Аналогичные требования распространяются и на данные сотрудников, которых в рамках закона о ПД можно рассматривать, как контрагентов по договорам.

Хотя очень редко компании публикуют список рядовых работников, а сами по себе контактные реквизиты менеджеров (должность с телефонами и адресами корпоративной почты) ПД не являются.

Законный интерес не является новым для сферы защиты данных. Отличия в деталях.

Пункт 47 преамбулы GDPR раскрывает смысл базиса. Думаю, полезно привести его полное содержание. По тексту под «законным интересом» понимается именно сам базис.

ФЗ 152 - закон о персональных данных для интернет-магазинов

Выделим основные критерии для применения данного базиса:

  1. Вы преследуете законную цель.
  2. Обработка необходима, то есть цели нельзя достигнуть иным способом.
  3. Обработка сбалансирована, а потенциальный вред не является существенным.
  4. Обработка очевидна для субъекта данных.

Базис многогранный и непростой. Возможные ситуации его применения: предотвращение мошенничества, правовая защита, директ-маркетинг. В случае с директ-маркетингом следует обратиться также к ст. 21 GDPR и актам регулирования электронной коммерции, например,

Предлагаем ознакомиться:  Справка о заработной плате форма 1. Особые требования к справке в суд о заработной плате (образец)

Для иллюстрации основания законного интереса расскажу про абсурдный случай из российской судебной практики. Суть в двух словах: компания из сферы ЖКХ передала юрфирме данные о неплательщиках, чтобы та подготовила исковое заявление в суд. В свою очередь, один из должников добился привлечения компании к административной ответственности по ст. 13.

11 КоАП РФ, так как согласия на передачу своих данных не давал. Абсурд! Фактически 152-ФЗ ущемил права участников гражданского оборота и привел к возможности злоупотребления со стороны должника. Этого бы не случилось, если в законе применялся базис законного интереса. В GDPR он создает вполне законную почву для такой передачи данных.

Первая цель относится к договорному базису (подп. (b) ст. 6(1)) и не требует согласия.

а) согласия (подп. (b) ст. 6(1)),б) базиса законного интереса (подп. (f) ст. 6(1)).

Если компания решит применять базис согласия, ей придется добавить в форму заказа не отмеченный заранее чекбокс. Много ли пользователей согласится предоставлять данные для сбора статистики? Вряд ли.

При применении базиса законного интереса компания только рассказывает о правах, не требуя активных действий (ст. 21 (4) GDPR). Более того, если преобладающий интерес над правами субъекта данных обоснован, компания вправе обрабатывать данные независимо от отказа.

Цель использования Повышение стабильности продукта для соблюдения интересов лицензиата.
Необходимость Иным способом получить статистику в совокупности необходимых параметров невозможно.
Баланс интересов Обработка сбалансирована, а потенциальный вред не является существенным.
Открытость Обработка данных открытая и очевидная для субъекта данных.

ФЗ 152 - закон о персональных данных для интернет-магазинов

Как видим, у компании есть все основания не получать согласия. Но следует помнить об ограничениях:

  • До сбора персональных данных субъекту должно быть сообщено о целях и законном интересе обработки (пункт (d) ст. 13 (1), пункт (b) ст. 14(2) GDPR). То есть применение должно быть публично мотивировано и документировано.
  • Субъекту данных должно быть предоставлено право на возражение против обработки (ст. 21), право на удаление и ограничение.

С другой стороны, при сборе статистики просто соблюсти закон можно другим способом: обезличить данные. Обработка анонимизированных данных не регламентируется GDPR.

Статья о неразглашении персональных данных третьим лицам (ст. 7) содержится в Федеральном законе от 27.06.2006 № 152-ФЗ. Однако просто существование закона «О защите персональных данных» еще не дает права работодателю по умолчанию накладывать ответственность на сотрудников, имеющих доступ к личным сведениям.

Необходимость оформления обязательства о неразглашении информации продиктована Постановлением Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». В соответствии с пунктом 6 Постановления, «лица, осуществляющие обработку … данных … должны быть проинформированы о факте обработки ими персональных данных, … а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами…».

Договор управления МКД собственники заключают с управляющей компанией в письменной форме. Составляется один документ и подписывается сторонами (ст. 162 ЖК РФ). Решение ОСС в МКД, принятое по вопросам, отнесённым к компетенции такого собрания, обязательно для всех собственников помещений в МКД, в том числе для тех собственников, которые не участвовали в голосовании (ч. 5 ст. 46 ЖК РФ).

Условия договора управления МКД одинаковы для всех собственников помещений в МКД (ч. 4 ст. 162 ЖК РФ). Согласно пп. «б» п. 4 постановления Правительства РФ от 15.05.2013 № 416, УО собирает, обновляет и хранит информацию о собственниках и нанимателях помещений в МКД. Эта позиция не единственно правильная, судебной практики по этому вопросу нет.

Ответственность за нарушение

Ст. 24 Федерального закона № 152-ФЗ гласит, что нарушение правил обращения с личной информацией влечет за собой ответственность, установленную законодательством Российской Федерации. Характер ответственности конкретизируется несколькими статьями КоАП РФ. Например, в статье 13.11 КоАП РФ за обработку личных данных, несовместимую с целями сбора, зафиксировано наказание в виде штрафов от 1000 до 3000 рублей — для граждан, от 5000 до 10 000 рублей — для должностных лиц и от 30 000 до 50 000 рублей — для юридических лиц.

Юридическая сторона

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

       (указать Ф.И.О. физического лица или наименование организации, у которых получается информация)

ФЗ 152 - закон о персональных данных для интернет-магазинов

О целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение предупрежден.

“____” ______________20___г.

(подпись)

(Ф.И.О. работника)

Примечание:

  1. Вместо паспорта могут указываться данные иного основного документа, удостоверяющего личность работника.
  2. Письменное согласие работника заполняется и подписывается им собственноручно, в присутствии сотрудника отдела кадров.
  3. Перечень персональных данных уточняется исходя из целей получения согласия.

Руководителю _____________________

_________________________________

От ______________________________

                           (Ф.И.О.)

                (должность, подразделение)

                                (дата рождения)

Проживающего  __________________

по адресу:_______________________

паспорт:__________________________

выдан: ___________________________

в соответствии со ст.86 ТК РФ согласен / не согласен (нужное подчеркнуть) на передачу моих персональных данных  третьей стороне, а именно:

  1. фамилия, имя, отчество;
  2. паспортные данные;
  3. год, месяц, дата и место рождения;
  4. домашний адрес (по регистрации) и телефон;
  5. адрес фактического проживания;
  6. семейное, социальное, имущественное положение;
  7. образование;
  8. профессия;
  9. сведения о трудовом и общем стаже;
  10. доходы, полученные мной в данном учреждении;
  11. сведения о воинском учёте;
  12. сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
  13. сведения об идентификационном номере налогоплательщика;

для обработки в целях: осуществления функций ООО «Микрофон» и предоставления отчётных форм  по вопросам социального страхования, медицинского страхования, воинского учёта и.т.д., оказания мне содействия в трудоустройстве, обучении, повышении квалификации, продвижения по службе, а также в целях осуществления аккредитации на различные мероприятия (коллегии, совещания, форумы и т.п.

       (указать Ф.И.О. физического лица или наименование организации, у которых получается информация)

Согласие на передачу персональных данных третьей стороне действительно в течение всего срока действия трудового договора.

Подтверждаю, что ознакомлен с Положением «Об обработке и защите персональных данных» в ООО «Микрофон», права и обязанности в области защиты персональных данных мне разъяснены, а также право работодателя обрабатывать (в том числе и передавать) часть моих персональных данных без моего согласия, в соответствии с законодательством РФ.

Подтверждаю, что отзыв согласия производится в письменном виде в соответствии с действующим законодательством. Всю ответственность за неблагоприятные последствия отзыва согласия беру на себя.

Примечание:

  1. Вместо паспорта могут указываться данные иного основного документа, удостоверяющего личность работника.
  2. Письменное согласие работника заполняется и подписывается им собственноручно, в присутствии сотрудника отдела кадров.
  3. Перечень персональных данных не является исчерпывающим и уточняется исходя из целей получения согласия.

Лайфхак по 152-ФЗ

Для начала небольшое, но важное отступление.

Недавно знакомый из торговой компании попросил посмотреть их договор с веб-студией. Те собирались дорабатывать сайт магазина. Первым делом я открыл техзадание и увидел, что ребята планируют зарегистрировать владельца сайта в Роскомнадзоре как оператора персональных данных. Я подумал: «Они это серьезно?» И сам же ответил: «К сожалению, да».

Такой же совет будет в семи из десяти статей-инструкций по соблюдению закона «О персональных данных» (152-ФЗ). Советчики говорят: «Первым делом подайте заявление о включении в реестр операторов персональных данных». И многие этой рекомендации следуют.

Предлагаем ознакомиться:  Договором аренды нарушены права третьих лиц

А теперь внимание! Статья 22 того же закона определяет, что если обработка данных необходима для исполнения договора, то уведомлять Роскомнадзор не нужно.

Вы продаёте товары/услуги через интернет? Отлично! Если не используете данные ни для чего больше, то и уведомление в Роскомнадзор подавать не надо. Вот такой простой рецепт.Ну а теперь к теме.

О GDPR и почве для ошибок

25 мая в силу вступает европейский аналог нашего 152-ФЗ —

. Документ касается всех, кто продает на территории Евросоюза товары и услуги. Мы в ISPsystem делаем

ФЗ 152 - закон о персональных данных для интернет-магазинов

, которое покупают по всему миру, в том числе в Евросоюзе. Поэтому для нас тема очень актуальна.

Разобраться в GDPR сложно, а за нарушение грозят штрафы до 20 000 000 евро или 4% от годовой общемировой выручки. Поэтому о нем говорят много, и как в истории со 152-ФЗ дают якобы универсальный совет: «получайте согласие на обработку персональных данных».

Если перевести совсем вольно, то выходит: «вы должны всегда получать согласие».

После таких статей хочется сделать 100500 «галочек о согласии». Но действительно ли всегда нужно согласие на обработку персональных данных? Нет, не нужно! Как минимум — не всегда.

«Попытайся понять главное. Ложки не существует» ((С) фильм «Матрица»).

Мы привыкли воспринимать согласие пользователя как единственно возможное основание для обработки данных. Но это неверно. Надо воспринимать его как отдельный правовой базис, как одно из оснований. Согласие как зеленка: помогает, но не от всего.

Основания для работы с персональными данными

Обработка персональных данных законна, только если она производится в соответствии с принципами ст. 5 и на основании одного из шести правовых базисов ст. 6 GDPR.

Несмотря на то что слово «согласие» встречается в тексте GDPR 72 раза, это всего лишь одно из оснований обработки, и не более.

ФЗ 152 - закон о персональных данных для интернет-магазинов

Согласно п. 7 ст. 14 нашего 152-ФЗ, оператор (в терминологии GDPR «контролер», лицо, которое определяет цели и средства обработки) тоже должен определить правовые основания и цели обработки персональных данных. Но для этого нужно изучить много нормативов и сослаться на конкретные положения законов. В GDPR проще: закон требует определить только правовой базис.

С позиции ст. 6(1) GDPR к таким базисам относятся:

  • a) согласие субъекта данных на обработку персональных данных для одной или нескольких конкретных целей;
  • b) обработка для исполнения договора, в котором субъект данных является одной из сторон, а равно и в отношении шагов, предшествующих заключению договора;
  • c) обработка необходима для соблюдения законных обязанностей, субъектом которых является контролёр;
  • d) обработка для защиты жизненных интересов субъекта данных, либо иного физического лица;
  • e) обработка в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера;
  • f) обработка для целей обеспечения законных интересов контролёра или третьего лица.

Согласие субъекта данных нужно, только если никакой другой базис не подходит. Везде и всегда его получать не надо. Тем более что по GDPR у субъекта данных должна быть возможность легко изменить свое решение: как поставить галочку, так и снять ее.

Поэтому до начала верстки формы с «галочками» определите, какие данные и зачем вы собираете, установите применимый базис. Откажитесь от сбора информации, которую вы собираете на всякий случай. Не исключено, что после этого вам вообще не потребуется получать согласие на обработку. Об этом и расскажу подробнее.

Персональные данные и договор: обрабатываем и не спрашиваем

Базис по своему содержанию аналогичен российскому законодательству (вспомним историю из введения).

Согласно подп. (b) ст. 6(1) GDPR, если обработка данных необходима для исполнения договора, вы можете без труда — и, главное, без согласия — ее производить. Даже до заключения договора, но при условии, что действия были запрошены самим субъектом данных (например, он отправил заявку).

Здесь стоит сделать ремарку: данные должны обрабатываться только в том объеме, который необходим для исполнения договора. Если информация нужна для заполнения полей CRM, то она остается вне этого базиса.

Простой пример. Компания продает товары через интернет. При оформлении покупки клиент предоставляет персональные данные, магазин обрабатывает их в связи с исполнением договора. Надо получать согласие? Нет, если данные не избыточны и не будут использоваться иным способом.

ФЗ 152 - закон о персональных данных для интернет-магазинов

Необходимо только сообщить пользователю, что данные все-таки обрабатываются, а также рассказать о способах обработки, мерах по защите и ознакомить с иной информацией в соответствии с GDPR (ст. 5, ст. 13, 14).

В форму заказа магазину надо добавить только уведомление об ознакомлении с политикой. Требовать поставить пресловутую галочку о согласии, создавать технические условия с целью возможности подтверждения получения согласия (п. 42 преамбулы) не нужно. Отмечу, что хорошо бы иметь галочку об ознакомлении с политикой.

Однако, если компания хочет использовать персональные данные, например, для точечных рекламных рассылок, то это уже не подпадает под договорный базис. В этом случае обработка имеет две цели, вторая из которых должна строиться на основании согласия или на основании законного интереса (о нем ниже).

Выводы

  1. Не спешите получать согласие на обработку персональных данных. Сначала ответьте на вопросы: чьи и какие данные вы собираете, с какой целью, какие меры защиты применяете, кому эти данные раскрываете, какой из базисов будет наиболее применим.
  2. Если вы поняли, что собираете избыточные данные, откажитесь от их сбора. Основания для сбора остальных, меры по их защите и потенциальные каналы передачи зафиксируйте в политике обработки персональных данных. Более того, обработку и передачу необходимо документировать. Information Commissioner’s Office рассказывает, как это сделать и рекомендует форму учетного документа.
  3. Если вы собираете данные только для оказания услуг и продажи товаров, то вам не нужно получать согласие (но все еще надо оформить политику и выполнять иные формальности).
  4. Если вы собираете данные еще и для анализа, защиты от мошенничества, нелегальной активности, определите, подпадает ли этот сбор под базис законного интереса, если да, напишите об этом в политике. Или анонимизируйте данные, или, если вам так проще, получайте согласие на обработку.
  5. Получая согласие на обработку, предусмотрите возможность отзыва этого согласия.
  6. Каждое ваше решение должно быть обосновано исходя из специфики вашей деятельности, собираемых данных, а также детально документировано.

GDPR – это крайне обширная тема, детали которой охватить в одной статье невозможно.

Здесь я не коснулся вопросов обработки специальных категорий данных, а также тонкостей и особенностей применения проиллюстрированных базисов, прав и обязанностей сторон, вовлеченных в обработку, вопросы трансграничной передачи и множество иных связанных с GDPR проблем.

GDPR подчеркивает, что персональные данные принадлежат не вам, а субъекту данных. Именно он должен иметь над ними полный контроль — от получения информации, редактирования до права ограничения обработки или удаления.

Понравилась статья? Поделиться с друзьями:
Юридическая помощь
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock detector