Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре. Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона.
Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.
152-ФЗ – не про защиту систем и серверов, а про защиту персональных данных субъектов. Поэтому соблюдение 152-ФЗ начинается не с антивируса, а с большого количества бумажек и организационных моментов. Главный проверяющий, Роскомнадзор, будет смотреть не на наличие и состояние технических средств защиты, а на правовые основания для обработки персональных данных (ПДн):
- с какой целью вы собираете персональные данные;
- не собираете ли вы их больше, чем нужно для ваших целей;
- сколько храните персональные данные;
- есть ли политика обработки персональных данных;
- собираете ли согласие на обработку ПДн, на трансграничную передачу, на обработку третьими лицами и пр.
Ответы на эти вопросы, а также сами процессы должны быть зафиксированы в соответствующих документах. Вот далеко не полный список того, что нужно подготовить оператору персональных данных:
- Типовая форма согласия на обработку персональных данных (это те листы, которые мы сейчас подписываем практически везде, где оставляем свои ФИО, паспортные данные).
- Политика оператора в отношении обработки ПДн (тут есть рекомендации по оформлению).
- Приказ о назначении ответственного за организацию обработки ПДн.
- Должностная инструкция ответственного за организацию обработки ПДн.
- Правила внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям закона.
- Перечень информационных систем персональных данных (ИСПДн).
- Регламент предоставления доступа субъекта к его ПДн.
- Регламент расследования инцидентов.
- Приказ о допуске работников к обработке ПДн.
- Регламент взаимодействия с регуляторами.
- Уведомление РКН и пр.
- Форма поручения обработки ПДн.
- Модель угроз ИСПДн.
После решения этих вопросов можно приступать к подбору конкретных мер и технических средств. Какие именно понадобятся вам, зависит от систем, условий их работы и актуальных угроз. Но об этом чуть позже.
Реальность: соблюдение закона – это налаживание и соблюдение определенных процессов, в первую очередь, и только во вторую – использование специальных технических средств.
Когда вы отдаете на аутсорсинг хранение персональных данных облачному провайдеру или в дата-центр, то вы не перестаете быть оператором персональных данных. Призовем на помощь определение из закона:
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Источник: статья 3, 152-ФЗ
Из всех этих действий сервис-провайдер отвечает за хранение и уничтожение персональных данных (когда клиент расторгает с ним договор). Все остальное обеспечивает оператор персональных данных. Это значит, что оператор, а не сервис-провайдер, определяет политику обработки персональных данных, получает от своих клиентов подписанные согласия на обработку персональных данных, предотвращает и расследует случаи утечки персональных данных на сторону и так далее. Следовательно, оператор персональных данных по-прежнему должен собрать документы, которые были перечислены выше, и выполнить организационные и технические меры для защиты своих ИСПДн. Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако. Он также собирает пакет документов, принимает организационные и технические меры для своего куска инфраструктуры в соответствие с 152-ФЗ. Некоторые провайдеры помогают с оформлением документов и обеспечением технических средств защиты для самих ИСПДн, т. е. уровня выше инфраструктуры. Оператор тоже может отдать эти задачи на аутсорсинг, но сама ответственность и обязательства по закону никуда не исчезают.
Реальность: обращаясь к услугам провайдера или дата-центра, вы не можете передать ему обязанности оператора персональных данных и избавиться от ответственности. Если провайдер вам это обещает, то он, мягко говоря, лукавит.
Да, если вы не забыли подписать поручение. По закону оператор может поручить обработку персональных данных другому лицу, например, тому же сервис-провайдеру. Поручение – это своего рода договор, где перечисляется, что сервис-провайдер может делать с персональными данными оператора.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. Источник: п.3, статья 6, 152-ФЗ
Тут же закрепляется обязанность провайдера соблюдать конфиденциальность персональных данных и обеспечивать их безопасность в соответствии с указанными требованиями:
В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона. Источник: п.3, статья 6, 152-ФЗ
За это провайдер несет ответственность перед оператором, а не перед субъектом персональных данных:
В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. Источник: 152-ФЗ.
В поручении также важно прописать обязанность обеспечения защиты персональных данных:
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее – оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее – уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе. Источник: Постановление Правительства РФ от 1 ноября 2012 г. № 1119
Реальность: если отдаете персональные данные провайдеру, то подписывайте поручение. В поручении указывайте требование по обеспечению защиты ПДн субъектов. Иначе вы не соблюдаете закон в части передачи работ обработки персональных данных третьим лицом и провайдер в части соблюдения 152-ФЗ вам ничего не обязан.
Некоторые заказчики настойчиво доказывают, что у них ИСПДн уровня защищенности 1 или 2. Чаще всего это не так. Вспомним матчасть, чтобы разобраться, почему так получается. УЗ, или уровень защищенности, определяет, от чего вы будете защищать персональные данные. На уровень защищенности влияют следующие моменты:
- тип персональных данных (специальные, биометрические, общедоступные и иные);
- кому принадлежат персональные данные – сотрудникам или несотрудникам оператора персданных;
- количество субъектов персональных данных – более или менее 100 тыс.
- типы актуальных угроз.
Про типы угроз нам рассказывает Постановление Правительства РФ от 1 ноября 2012 г. № 1119. Вот описание каждого с моим вольным переводом на человеческий язык.
- Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
- Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
- Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Если вы признаете этот тип угроз актуальным, значит вы свято верите в то, что агенты ЦРУ, МИ-6 или МОССАД разместили в операционной системе закладку, чтобы воровать персональные данные конкретных субъектов именно из ваших ИСПДн. Если считаете, что угрозы второго типа – это ваш случай, то вы спите и видите, как те же агенты ЦРУ, МИ-6, МОССАД, злобный хакер-одиночка или группировка разместили закладки в каком-нибудь пакете программ для офиса, чтобы охотиться именно за вашими персональными данными. Да, есть сомнительное прикладное ПО типа μTorrent, но можно сделать список разрешенного софта к установке и подписать с пользователями соглашение, не давать пользователям права локальных администраторов и пр. Вам не подходят угрозы 1 и 2 типов, значит, вам сюда. С типами угроз разобрались, теперь смотрим, какой же уровень защищенности будет у нашей ИСПДн. Таблица на основе соответствий, прописанных в Постановлении Правительства РФ от 1 ноября 2012 г. № 1119. Если мы выбрали третий тип актуальных угроз, то в большинстве случаев у нас будет УЗ-3. Единственное исключение, когда угрозы 1 и 2 типа не актуальны, но уровень защищенности все равно будет высоким (УЗ-2), – это компании, которые обрабатывают специальные персональные данные несотрудников в объеме более 100 000. Например, компании, занимающиеся медицинской диагностикой и оказанием медицинских услуг. Есть еще УЗ-4, и он встречается в основном у компаний, чей бизнес не связан с обработкой персональных данных несотрудников, т. е. клиентов или подрядчиков, либо базы персональных данных малы. Почему так важно не переборщить с уровнем защищенности? Все просто: от этого будет зависеть набор мер и средств защиты для обеспечения этого самого уровня защищенности. Чем выше УЗ, тем больше всего надо будет сделать в организационном и техническом плане (читай: тем больше денег и нервов нужно будет потратить). Вот, например, как меняется набор мер обеспечения безопасности в соответствии с тем же ПП-1119.
Теперь смотрим, как, в зависимости от выбранного уровня защищенности, меняется список необходимых мер в соответствии с Приказом ФСТЭК России № 21 от 18.02.2013 г.
К этому документу есть длиннющее приложение, где определяются необходимые меры. Всего их 109, для каждого УЗ определены и отмечены знаком «+» обязательные меры – они как раз и рассчитаны в таблице ниже.
Если оставить только те, которые нужны для УЗ-3, то получится 41.
Реальность: если вы не собираете анализы или биометрию клиентов, вы не параноик боитесь закладок в системном и прикладном ПО, то, скорее всего, у вас УЗ-3. Для него предусмотрен вменяемый список организационных и технических мер, которые реально выполнить.
Если вы хотите или обязаны провести аттестацию, то скорее всего вам придется использовать сертифицированные средства защиты. Аттестацию будет проводить лицензиат ФСТЭК России, который:
- заинтересован продать побольше сертифицированных СЗИ;
- будет бояться отзыва лицензии регулятором, если что-то пойдет не так.
Если аттестация вам не нужна и вы готовы подтвердить выполнение требований иным способом, названным в Приказе ФСТЭК России № 21 «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных», то сертифицированные СЗИ для вас не обязательны. Постараюсь кратко привести обоснование.
В пункте 2 статьи 19 152-ФЗ говорится о том, что нужно использовать средства защиты, прошедшие в установленном порядке процедуру оценки соответствия: Обеспечение безопасности персональных данных достигается, в частности: […]
- 3)применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
- В пункте 13 ПП-1119 также есть требование об использовании средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства:
[…] использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
- Пункт 4 Приказа ФСТЭК № 21 практически дублирует пункт ПП-1119:
- Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
- Если же оператор решает использовать сертифицированные средства защиты, то нужно выбирать СЗИ в соответствие с УЗ, о чем явно указано в Приказе ФСТЭК № 21:
- Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:
Что общего у этих формулировок? Правильно – в них нет требования использовать сертифицированные средства защиты. Дело в том, что форм оценки соответствия несколько (добровольная или обязательная сертификация, декларирование соответствия). Сертификация – это лишь одна из них. Оператор может использовать несертифицированные средства, но нужно будет продемонстрировать регулятору при проверке, что для них пройдена процедура оценки соответствия в какой-либо форме. Пункт 12 Приказа № 21 ФСТЭК России.
Реальность: закон не требует обязательного использования сертифицированных средств защиты.
Тут несколько нюансов:
- Многие считают, что криптография обязательна для любых ИСПДн. На самом деле использовать их нужно лишь в случае, если оператор не видит для себя иных мер защиты, кроме как применение криптографии.
- Если без криптографии никак, то нужно использовать СКЗИ, сертифицированные ФСБ.
- Например, вы решили разместить ИСПДн в облаке сервис-провайдера, но не доверяете ему. Свои опасения вы описываете в модели угроз и нарушителя. У вас ПДн, поэтому вы решили, что криптография – единственный способ защиты: будете шифровать виртуальные машины, строить защищенные каналы посредством криптозащиты. В этом случае придется применять СКЗИ, сертифицированные ФСБ России.
- Сертифицированные СКЗИ подбираются в соответствии с определенным уровнем защищенности согласно Приказу № 378 ФСБ.
Для ИСПДн с УЗ-3 можно использовать КС1, КС2, КС3. КС1 – это, например, C-Терра Виртуальный шлюз 4.2 для защиты каналов. KC2, КС3 представлены только программно-аппаратными комплексами, такими как: ViPNet Coordinator, АПКШ «Континент», С-Терра Шлюз и т. д. Если у вас УЗ-2 или 1, то вам нужны будут средства криптозащиты класса КВ1, 2 и КА. Это специфические программно-аппаратные комплексы, их сложно эксплуатировать, а характеристики производительности скромные.
Реальность: закон не обязывает использовать СКЗИ, сертифицированные ФСБ.
Источник: https://habr.com/post/446696/
СЗПДн. Анализ. Согласие в электронной форме на обработку ПДн
Достаточно давно идут обсуждениямежду специалистами о законности сбора в электронной форме Согласия наобработку персональных данных (были заметки в блогах у Лукацкого, Волкова и других специалистов).
С одной стороны утверждается,что согласие может быть только в письменной форме или в форме электронного документа с электроннойподписью в соответствии с частью 4 статьи 9 152-ФЗ:
“4. В случаях, предусмотренных федеральным законом, обработкаперсональных данных осуществляется только с согласия в письменной формесубъекта персональных данных.
Равнозначнымсодержащему собственноручную подпись субъекта персональных данных согласию вписьменной форме на бумажном носителе признается согласие в форме электронного документа, подписанногов соответствии сфедеральным законом электронной подписью.”
При этом фраза “в случаях, предусмотренных федеральным законом”понимается как в случаях, не попадающих под исключения описанные в пунктах 2 -11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11.
Другие специалисты ссылаются начасть 4 статьи 9 152-ФЗ:
“1. Субъект персональных данных принимает решение о предоставлении егоперсональных данных и дает согласие на их обработку свободно, своей волей и всвоем интересе.
Согласие на обработку персональных данных должно бытьконкретным, информированным и сознательным.
Согласие на обработку персональныхданных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт егополучения форме, если иное не установлено федеральным законом.”
а часть 4 статьи 9 152-ФЗтрактуют, как необходимость сбора согласий в письменном виде только в техслучаях, где законом явно предусмотрена такая необходимость (общедоступность, специальныекатегории, биометрические, трансграничная передача, юридические последствия):
“4. В случаях,предусмотренных федеральным законом,обработка персональных данных осуществляется только с согласия в письменной формесубъекта персональныхданных.”
Пока споры идут, появляется всёбольше интернет ресурсов, на которых требуется поставить галочку о согласии наобработку ПДн. В том числе такую галочку просит поставить Роскомнадзор при заполненииУведомления в электронном виде.
Чтобы для себя расставить точкинад галочками, отправил запрос в Роскомнадор с просьбой разъяснить ситуацию. Вотличие от предыдущего запроса про биометрию, когда пришел ответ о невозможностикомментировать законодательство , в этот раз получил развернутый ответ:
Как видно, Роскомнадор считаетчто галочки достаточно для согласия, надо только не забыть опубликовать рядом политикув отношении обработки ПДн.
Большое количество компаний ужеопубликовало свои политики в отношении обработки ПДн, есть варианты на которыеможно равняться — «Почта Сервис» , KDL , есть варианты из которых ничего непонять ни субъекту ни регулятору ни самим авторам – OZON , ВСК .
Источник: https://www.securitylab.ru/blog/personal/sborisov/20484.php
Персональные данные: изменения – 2017
С 01.07.2017 г. действуют изменения в ст. 13.11 КоАП РФ об административной ответственности за нарушение законодательства о персональных данных физлиц. Поскольку поправки касаются всех, кто использует персональные данные, рассмотрим эти новшества в нашей статье.
Обработка персональных данных – 2017
Персональные данные – это любая информация, прямо или косвенно относящаяся к конкретному физлицу (имя, адрес проживания, дата рождения, паспортные данные, номер телефона, фото, адрес электронной почты, и т.д.).
Организация, госорган или физлицо, собирающее и обрабатывающее персональные данные, именуется оператором (Закон о персональных данных от 27.07.2006 № 152-ФЗ).
К таковым относятся работодатели, а также все, кто получает личные данные от граждан – медучреждения, учебные заведения, интернет-магазины и т.д.
Для работодателя такие данные необходимы в связи с трудовыми отношениями. Получить их можно только лично от самого работника, а от третьих лиц — с его письменного согласия.
Физлицо дает письменное согласие на обработку персональных данных. Бланк законодательством не утвержден, составить его можно самостоятельно, с учетом требований п. 4 ст. 9 закона № 152-ФЗ(п. 3 ч. 1 ст.
86 ТК РФ, п. 1 ст. 9 закона 152-ФЗ).
Согласие на обработку персональных данных (образец)
Недопустимо собирать и обрабатывать персональные данные работника, не относящиеся к его трудовой деятельности, например, об участии в общественных объединениях, вероисповедании, личной жизни и т.п.
Это же касается и прочих операторов, которые запрашивают данные, не имеющие отношения к цели их обработки (например, указание паспортных данных в анкете об оценке работы сайта).
Полученные данные не должны раскрываться третьим лицам или распространяться без согласия физлица (ст. 7 закона № 152-ФЗ).
Оператор обязан обеспечить данным надлежащую защиту, для чего закрепляет порядок их получения, обработки и хранения в Положении о персональных данных или ином внутреннем нормативном акте.
В документе определяются необходимые меры, а также назначается ответственный за обработку.
Доступ к таким данным должен разрешаться только уполномоченным на то лицам, причем они вправе получать только сведения, необходимые для осуществления конкретных функций (ст. 88 ТК РФ, ст. 18.1 закона № 152-ФЗ).
Положение о персональных данных либо иной документ о политике их обработки, находятся в открытом доступе и предъявляются по запросам уполномоченных органов — это касается и работодателей, и прочих операторов (ч. 2 и 4 ст. 18.1 закона № 152-ФЗ).
Персональные данные – 2017: новое в административной ответственности
Законом от 07.02.2017 № 13-ФЗ была принята новая редакция статьи 13.11 КоАП РФ.
Если ранее статья содержала один единственный состав – нарушение ФЗ о персональных данных, теперь это целый перечень из семи оснований административной ответственности и, соответственно, разные штрафы.
Вероятно, что при обнаружении нескольких нарушений у одного оператора, ему грозит несколько штрафов, а не один.
Также претерпели изменения статьи 28.3 и 28.4 КоАП РФ, упростив процесс привлечения операторов к ответственности: с 01.07.2017 г. протоколы о нарушениях закона 152-ФЗ о персональных данных составляют сотрудники Роскомнадзора, а не прокурор, как раньше. Срок для привлечения к ответственности остался прежним – 3 месяца.
За что теперь штрафуют
Итак, вот по каким основаниям теперь могут привлекаться к административной ответственности предприниматели и организации, обрабатывающие персональные данные:
- Данные обрабатываются в случаях, не предусмотренных ФЗ о персональных данных либо их обработка несовместима с целями сбора (ч. 1 ст. 13.11 КоАП РФ). Незаконное использование личных данных, если оно не влечет уголовной ответственности, грозит предупреждением, или штрафом: физлицам в 1000-3000 руб., должностным лицам – 5000-10 000 руб., организациям – 30 000-50 000 руб.
- Обработка данных без письменного согласия, необходимого по закону (п. 2 ст. 13.11 КоАП РФ). Согласие на обработку должно содержать информацию, указанную в ч. 4 ст. 9 закона 152-ФЗ о персональных данных. Изменения 2017 г. предусматривают с 1 июля штраф за его отсутствие в следующем размере: для нарушителей физлиц – 3000-5000 руб., для должностных лиц – 10 000-20 000 руб., для организаций – 15 000-75 000 руб.
- Отсутствие неограниченного доступа к политике оператора в области обработки персональных данных (п. 3 ст. 13.11 КоАП РФ). Обязанность обеспечения доступа установлена п. 2 ст. 18.1 закона 152-ФЗ о персональных данных. Невозможность ознакомиться с таким документом на бумаге либо на сайте, если данные собираются через интернет, обойдется операторам: в 700-1500 руб. — физлицам, 3000-6000 руб. – должностным лицам, 5000-10 000 руб. – ИП, 15 000-30 000 руб. – организациям, а в лучшем случае все обойдется предупреждением.
- Непредоставление лицу информации, касающейся обработки его персональных данных (п. 4 ст. 13.11 КоАП РФ). Порядок запроса такой информации прописан в статье 14 закона 152-ФЗ. Изменения с 01.07.2017 следующие: за нарушение полагается предупреждение, либо штраф 1000-2000 руб. – физлицам, 4000-6000 руб. — должностным лицам, 10 000-15 000 руб. – ИП, 20000-40000 руб. – организациям.
- Невыполнение в установленные сроки требования о блокировании, изменении или уничтожении персональных данных (п. 5 ст. 13.11 КоАП РФ). Физлицо или его представитель могут заявить такие требования, если данные неполные, неточные, получены с нарушением закона, либо устарели, это установлено статьей 21 закона о персональных данных № 152-ФЗ. Нарушителей ждет предупреждение, или штраф: 1000-2000 руб. физлицам, 4000-10 000 руб. должностным лицам, 10 000-20 000 руб. – ИП, 25 000-45 000 руб. организациям.
- Несоблюдение условий, обеспечивающих сохранность персональных данных при неавтоматизированной обработке (п. 6 ст. 13.11 КоАП РФ). Это касается «бумажных» данных, несанкционированный доступ к которым стал причиной их уничтожения, повреждения, незаконного распространения и т.п. Не обеспеченная защита персональных данных в 2017 г. влечет штраф 700-2000 руб. для граждан, 4000-10 000 руб. для должностных лиц, 10 000-20 000 руб. для ИП и 25 000-50 000 руб. для организаций.
Таковы изменения в защите персональных данных 2017 г., заработавшие с 1 июля. Как видим, составы правонарушений стали более конкретными, а штрафы для операторов заметно ужесточились.
Источник: https://spmag.ru/articles/personalnye-dannye-izmeneniya-2017
Обработка персональных данных юридического лица | Субъект персональных данных
Иногда при анализе норм, регламентирующих правила обработки персональных данных, возникает вопрос о персональных данных юридического лица. Вопрос наличия согласия на их обработку может стать принципиальным при заключении различных гражданско-правовых договоров.
Имеет ли юридическое лицо персональные данные
Законодательство очень конкретно подводит под понятие «персональные данные» только ту информацию, которая прямо или косвенно относится к конкретному гражданину, физическому лицу, и позволяет прямо его идентифицировать. Такое понимание содержится в Федеральном законе «О персональных данных». К ПД может быть отнесена абсолютно любая информация – от паспортных данных до адреса электронной почты.
Применительно к юридическому лицу перечень идентифицирующих его сведений является исчерпывающим, практически все они, кроме места жительства и паспортных данных руководителя, учредителя и доверенного лица, осуществляющего юридически значимые действия по регистрации, содержатся в ЕГРЮЛ.
Таким образом, в рамках выполнения своей функции по регистрации юридического лица налоговая инспекция получает персональные данные физического, при этом гражданин не подписывает согласия на обработку и понимает, что в определенных ситуациях эти сведения могут быть предоставлены третьим лицам. Фактически они не являются ПД именно юридического лица, но в отношении них режим конфиденциальности определяется нормами закона «О регистрации», такие сведения могут быть предоставлены только в установленных им случаях.
Вся остальная информация юридического лица, не являющаяся общедоступной, имеет иной статус конфиденциальности, она может охраняться нормами законодательства, регулирующими коммерческую тайну.
Передача персональных данных юридическим лицом на обработку другим лицам
Концепция персональных данных выросла из американской модели «прайвеси», или права на приватность, и Декларации прав человека, на базе его информационных прав. К ним относятся:
- право на получение нужных ему данных, например, от государственных органов;
- право на защиту сведений своей частной жизни от других лиц.
Соответственно, ключевым является определение «частной жизни», которой не может быть у юридического лица.
Но, трактуя термин «персональные данные юридического лица» шире, к ним можно отнести те сведения о гражданах, которые компания получает в ходе своей деятельности и так или иначе обрабатывает.
В ряде случаев такие данные передаются для обработки иным юридическим лицам.
Примером может быть осуществление онлайн-платежей, когда данные плательщика получают платежная система, банк и оператор – интернет-магазин или другое лицо.
Аналогичная ситуация возникает при передаче банком данных страховой компании при оформлении кредитного договора.
Иной случай связан с передачей сведений фирме, оказывающей услуги по аутсорсингу бухгалтерии или кадрового документооборота.
Во всех случаях гражданин дает свое согласие на обработку персональных данных одному юридическому лицу, а осуществляется она вторым или третьим, о чем гражданин не информируется.
Третьим случаем будет хранение сведений на облачных ресурсах.
Фактически информация находится в распоряжении третьих лиц, при этом ситуация не всегда регламентируется в договорных взаимоотношениях между сторонами, заказывающими и предоставляющими услуги.
Это актуально особенно в тех случаях, когда владелец облака технически не оборудовал свою информационную систему необходимыми средствами защиты персональных данных в соответствии с законодательством.
Таким образом, юридическое лицо, исходя из норм закона не имеющее собственных персональных данных, осуществляет некоторые правомочия в отношении данных граждан. В ряде случаев оно распоряжается ими неосмотрительно, должным образом не производя их защиту при передаче и даже не включая информацию о такой возможности в согласие на обработку.
Персональные данные юридического лица в договорах на их обработку
Следует учитывать, что если сведения, переданные гражданином фирме, будут распространены ее контрагентами, наибольшую ответственность понесет именно то лицо, в пользу которого было подписано согласие. Ответственность может быть:
- гражданско-правовой, в виде взыскания убытков или морального вреда. Сейчас часты иски с такими требованиями при передаче банками информации о гражданах коллекторским агентствам;
- административной, в виде штрафа, например, за нарушение оговоренных в уведомлении, подаваемом оператором в Роскомнадзор, целей обработки. Штрафы в России пока невысоки. В Европе за нарушение норм нового Регламента защиты данных на компанию может быть наложен штраф в размере до 20 миллионов евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год;
- уголовной, наступающей, когда неправомерный сбор или распространение данных причинили существенный ущерб.
Во избежание этих рисков в договоры с контрагентами обязательно нужно вносить нормы об ответственности за ненадлежащую обработку персональных данных. Следовательно, система защиты должна выглядеть следующим образом:
1.изучение системы технической защиты информации контрагента в случае, если передаваемые данные имеют существенный объем или повышенную ценность (медицинская информация, финансовые сведения). При необходимости заключение с провайдером облачных услуг соглашения об усилении степени защиты;
2.включение в согласие на обработку персональных данных всех контрагентов, которым предполагается передавать сведения. Об этой необходимости говорит судебная практика;
3.внедрение в компании режима защиты коммерческой тайны. Отнесение к ней персональных данных, имеющихся в распоряжении фирмы, как сотрудников, так и клиентов;
4.включение в договоры с контрагентами нормы о сохранности коммерческой тайны и штрафов за любое неправомерное ее использование.
Юридическое лицо не имеет собственных персональных данных, но оно пользуется информацией, доверенной ему гражданами. Контроль за переданными оператору персональных данных сведениями должен осуществляться и на уровне построения систем информационной безопасности, и на уровне выстраивания взаимоотношений с лицами, которым сведения предоставляются в целях обработки.
Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/yuridicheskogo-litsa/
Скачать бланк согласие на обработку персональных данных в 2019 году
К персональным данным относится личная информация, касающаяся какого-либо человека.
Сюда относятся не только ФИО и паспортные данные, это могут быть черты характера, место проживания, дата рождения, личные характеристики, информация, взятая из трудовой книжки или других документов.
Казалось бы, зачастую такие сведения являются общедоступными. Однако нужно понимать, их использование разрешено лишь в том случае, если физическое лицо предоставит на это разрешение.
Условно личная информация о человеке делится на три группы:
- Общедоступная. Такая информация может содержать дату рождения, ФИО, гражданство и пол физического лица.
- Биометрическая. Здесь указываются физиологические и внешние параметры и особенности.
- Специальная. Данные о месте работы, увлечениях, религии, здоровье, законопослушности.
Если кто-то будет использовать данные последних двух групп, не имея на это согласия их владельца, это считается нарушением закона. Естественно, за такие действия придется отвечать перед законом. Однако в современном мире, когда сохранности личных данных уделяется большое внимание, без разрешения нельзя использовать даже общедоступную информацию, относящуюся к первой группе.
Форма согласия
Чтобы дать свое согласие на использование личной информации в каких-либо определенных целях, достаточно заполнить специальный бланк. Конечно, согласие можно написать в письменном виде в произвольной форме. Однако более удобным будет использование шаблона.
Заполнять его можно не только от руки, но и на компьютере. Если согласие заключается внутри организации, здесь используется специальный бланк. При этом в него вносится не только информация о сотруднике, но и название компании, работником которой он является.
Рекомендуется внимательно подойти к процедуре составления разрешения. Здесь владелец данных имеет возможность отметить, какую именно информацию можно использовать. Также указывает, что именно он разрешает делать с этой информацией.
Хотя законом предусмотрен определенный срок действия этого документа и возможность в любой момент отозвать его, это также рекомендуется указать в документе. Кроме этого, физическое лицо должно указать, что добровольно дает разрешение, без какого-либо принуждения. Свои слова человек подтверждает подписью.
Срок действия согласия на обработку персональных данных
Законодательством не предусматривается какой-то конкретный срок действия документа на согласия обработку персональных данных . Однако, заключая согласие на обработку своих данных, физическое лицо должно указать способ, при помощи которого оно сможет его отменить. Также указывается и срок действия данного документа. Здесь можно использовать один из вариантов:
- Указать конкретную дату, после которой данное согласие будет считаться недействительным;
- Отметить, что согласие будет действовать до тех пор, пока владелец данных не напишет письменную отмену данного документа;
- Сделать пометку, что действие этого разрешения прекратится сразу после того, как оператор использует данные.
Кроме этого, владелец данных имеет право изменять срок действия документа, или досрочно его отменить. Как правило, отзыв составляется в той же форме, в которой было составлено разрешение.
Также физическое лицо может увеличивать этот срок. При необходимости можно внести поправки.
Чтобы в будущем с вашим согласием не возникло сложностей, все изменения не только подтверждаются подписями, но и обозначаются датами.
Уже достаточно давно личная информация является собственностью человека. Любые действия с ней без согласия являются нарушением закона.
Сегодня активную деятельность ведет Государственная служба, занимающаяся контролем сохранности информации.
Если оператор специально или случайно разгласит полученные данные, ему грозит дисциплинарная или административная ответственность. В зависимости от обстоятельств, ответственность может быть и уголовной.
Такую информацию «просят» предоставить в различных учреждениях, с которыми людям приходится сталкиваться на протяжении своей жизни. Если человек не против использования своих данных в каких-то определенных целях, он дает разрешение в письменном виде.
Однако ставить свою подпись следует далеко не на каждом документе. Сначала необходимо тщательно ознакомиться с его текстом. Если с правильным анализом документов возникают сложности, рекомендуется обратиться за помощью к квалифицированному юристу. С его помощью вы определите, не превышает ли организация, требующая данные, свои полномочия.
Также специалист подскажет, можно ли давать разрешение на использование запрашиваемых данных. К примеру, если у гражданина имеется судимость, а он хочет устроиться, например, продавцом, эту информацию он может не предоставлять.
Данная информация указывается только в том случае, если на желаемую должность можно устроиться только при отсутствии судимости.
(Видео: “Согласие на обработку персональных данных детей, юридические последствия.Сбор информации о детях.”)
Когда чаще всего требуется согласие
Учебные, медицинские, государственные и другие учреждения достаточно часто просят личную информацию с разрешением на ее обработку. Наиболее часто она запрашивается:
- при трудоустройстве;
- при оформлении ребенка в школьное или дошкольное учреждение;
- при составлении договора финансовой или страховой организацией.
Разрешение использовать информацию обязан получить каждый оператор. Но закон предусматривает исключения при определенных обстоятельствах:
- При сборе информации федеральными службами;
- Для оказания государственных услуг;
- Для судебных разбирательств;
- Для защиты прав гражданина, когда нет возможности получить его согласия;
- Для защиты прав третьих лиц;
- Журналистам разрешено использовать некоторые данные без согласия гражданина;
- Если на законном основании открытые данные стали доступны, их также можно использовать без разрешения.
Во многих других ситуациях разрешение − необходимое условие для использования информации. При этом каждый гражданин, подтверждая такой документ, должен иметь представление о том, в каких целях будет использоваться информация. Например, если после покупки магазин просит вашего разрешения, чтобы оповещать об акциях, это четко должно быть сформулировано.
(Видео: “Изменения с 01.07.2017 и форма согласия на обработку персональных данных- Елена А. Пономарева”)
В некоторых случаях брать персональные данные у граждан обязывает закон. К примеру, устраиваясь на работу, сотруднику придется указать персональные данные. Ведь трудовой договор обязывает компанию знать, где прописан сотрудник, какое имеет образование, как его зовут.
Хотя согласия здесь не нужно, ведь компания не собирается использовать эти данные. Однако в том случае, если подразумевается перевод заработной платы на банковскую карточку, компании придется предоставить ваши данные финансовой организации.
Естественно, для этого понадобится ваше разрешение.
Кто имеет право обрабатывать сведения о лице
Человек или организация, занимающаяся сбором и обработкой личной информации, называется оператором. К таким лицам выдвигаются определенные требования:
- Оператор должен позаботиться о том, чтобы получаемые данные были в полной сохранности;
- Контроль над соблюдением закона о персональных данных между работником и компанией;
- Следить за правильностью предоставления разрешения и отмены;
- Использовать полученные данные только по закону;
- Категорически запрещается без разрешения копировать информацию на любые носители, делать ее видео и фото;
- При занесении информации в компьютер оператор должен защитить ее от утечки.
Когда информация обрабатывается сотрудником компании, то правила его работы прописаны в должностных инструкциях. Безусловно, компания требует соблюдения конфиденциальности получаемой информации. При этом оператор должен любым удобным способом публично ознакомить всех сотрудников компании с правилами предоставления и обработки личных данных.
Перед тем, как начать собирать информацию, оператору необходимо зарегистрироваться в Роскомнадзоре. Он вносится в реестр, тем самым уведомляя о своем намерении работать с личной информацией.
Как заполнить согласие на обработку персональных данных
Для предоставления своего согласия вам достаточно заполнить специальный бланк. Его можно бесплатно получить в той организации, для которой необходимы ваши данные. Также форму для заполнения можно скачать в сети.
Для ее заполнения необходимо использовать исключительно русский язык. Вносите данные документов, выданных только российскими учреждениями.
Если форма заполняется несовершеннолетним, понадобится указать данные его опекуна или родителя.
Образец согласия на обработку персональных данных
Можно ли обрабатывать сведения о лице без согласия владельца
Существуют ситуации, в которых согласие на обработку личной информации не является обязательным условием:
- Если предусмотрено размещение данных о сотрудниках в Интернете. Например, образовательные и медицинские учреждения должны предоставлять информацию о квалификации и образовании своих сотрудников;
- Когда необходима обработка информации близких родственников, к примеру, для оформления алиментов или социальных выплат;
- В том случае, если нужно знать о здоровье работника, чтобы понять, насколько он способен выполнять свои обязанности;
- При необходимости передать информацию в прокуратуру, полицию, военный комиссариат, службу безопасности, Пенсионный фонд;
- Для предотвращения угрозы жизни и здоровью гражданина.
Письменное заявление о согласии на обработку персональных данных
Любая работа с информацией должна начинаться только после получения письменного согласия. Достаточно заполнить бланк, в котором присутствуют следующие пункты:
- паспортные данные;
- цель обработки;
- название организации, для которой предоставляется информация;
- время действия разрешения;
- варианты отзыва;
- подпись человека, которому принадлежит информация.
Отзыв согласия на обработку персональных данных
Как правило, информация используется практически сразу после получения письменного разрешения. Таким образом, отзывать его просто нет смысла, так как оператор после использования данных просто удаляет их. В любом случае, каждый гражданин имеет право отозвать свое согласие.
К примеру, если человек предоставлял свои данные при устройстве на работу. При увольнении он может отозвать свое согласие, потребовав удалить или уничтожить имеющуюся информацию.
Кроме этого, гражданин имеет право отозвать свое согласие в том случае, если появились подозрения в использовании информации не по назначению.
Отзыв оформляется в том же формате, что и разрешение. Для этого необходимо обратиться к оператору, которому ранее была предоставлена личная информация, и передать ему заявление. В течение одного месяца после принятия заявления оператор должен прекратить обрабатывать данные и уничтожить их.
Законом предусматриваются ситуации, когда обработку информации не прекращают, несмотря на предоставление письменного отзыва:
- Информация используется для выполнения обязанностей по международному договору;
- Гражданин предоставляет государственные услуги, поэтому информация о нем размещена на Едином портале, и доступна каждому посетителю;
- Когда защищаются жизненно важные интересы;
- Человек сам сделал информацию общедоступной, например, путем социальных сетей;
- Информация применяется в исследованиях;
- Данные касаются должника, с которого взимается задолженность через суд;
- Информация является собственностью автора статей или журналиста, который осуществляет профессиональную деятельность.
Скачать бланк и образец согласия на обработку персональных данных
Источник: https://InfoBlank.com/soglasie-na-obrabotku-personalnyh-dannyh-blank/
Персональные данные: защита без нападений. Как защитить ПДн на сайте
2018-09-11 12:47:00
Тем, кто не ознакомился с первой частью материала, рекомендуем предварительно прочитать её.
Пошаговая инструкция для владельца сайта по защите персональных данных
- Составьте список всех форм, в которых вы собираете персональные данные и укажите какие именно данные, для какой цели
- Под каждой такой формой поставьте чек-бокс (место для проставления «галочки») с текстом: «Даю согласие на обработку своих персональных данных» или более развернутый вариант: «Даю согласие на обработку своих персональных данных на условиях и для целей, определенных в Согласии на обработку персональных данных», с указание гиперссылки на текст такого согласия. Ещё более продвинутый вариант: «Нажимая на кнопку „Отправить“, я даю свое согласие на обработку персональных данных и принимаю условия Пользовательского соглашения». В последнем случае вы заключаете договор с каждым пользователем, а в Пользовательском соглашении должны содержаться условия согласия на обработку ПДн и все остальные цели и условия работы сайты и обработки ПДн.
- Подготовьте и разместите на сайте документа с условиями обработки ПДн, коим может быть Согласие или часть Пользовательского соглашения, а равно оно может быть частью Политики обработки ПДн. Укажите в нём следующую информацию согласно ст. 9 Федерального закона № 152-ФЗ:
- наименование организации или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
- цель обработки ПДн;
- перечень ПДн, на обработку которых субъект дает согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
- срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
- подпись субъекта ПДн.
Закон требуется указывать в согласии ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, но на это требование в онлайне в отличии от оффлайна часто закрывают глаза.
- Подготовьте и разместите в свободном доступе Политику в отношении обработки персональных данных и разместите её на сайте в свободном доступе.
- Подайте до начала обработки ПДн уведомление об обработке ПДн в Управление Роскомнадзора, где зарегистрирована ваша компания, ИП или вы как физическое лицо. Уведомление подаётся в электронном и бумажном виде, и представляет собой объемный документ, который самостоятельно без соответствующих знаний заполнить правильно достаточно сложно.
Не стоит забывать, что это лишь видимая часть тех документов, которые должны быть у любого оператора персональных данных и не стоит ограничиваться только указанным выше.
Разграничение доступа
Закон о персональных данных обязывается разграничивать доступ к разным видам ПДн, что делается в целях соблюдения конфиденциальности. Достигается это распределением среди сотрудников прав доступа к определённым группам и категориям ПДн.
За редким исключением (когда используется онлайн-бухгалтерия) бухгалтеру могут понадобиться данные о работнике для начисления ему заработной платы, уплаты взносов, при направлении работников в командировку паспортные данные для покупки билетов.
Но работодатель (оператор ПДн) может разрешить доступ к ПДн работников только специально уполномоченным лицам, при этом указанным лицам будут доступны только те данные, которые необходимы для выполнения конкретных обязанностей работника.
Для этого работодатель издает приказ об утверждении списка лиц, имеющих доступ к персональным данным работников (приказ о разграничении доступа), с указанием критериев необходимых персональных данных, аналогичным образом надо поступить и с ПДн клиентов и иных лиц.
К примеру, в медицинской организации доступ к состоянию здоровья пациента у медицинской сестры, сотрудника регистратуры и лечащего врача очевидно должен быть разным.
В ИТ-компании дизайнеры не обязательно должны иметь доступ к базе данных (БД) клиентов, которые оставляют заявки на сайте их продукта, или тем более к БД, содержащей сведения о покупателях интернет-магазина, который поддерживает их работодатель для стороннего заказчика.
Одним из основных принципов обработки ПДн является постановка заранее определенных конкретных целей обработки ПДн, что предполагает, что вы не должны собирать их избыточное количество и должны всегда быть готовы предоставить обоснование необходимости их обработки, которое в общем виде должно быть сформировано в Политике обработке ПДн каждого оператора.
Персональные данные работников
Трудовой Кодекс РФ вводит дополнительные особенности обработки и хранения ПДн:
-
Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. На первый взгляд может показаться, что ПДн работников в рекламных и маркетинговых целях использовать нельзя, однако это не так.
-
Все персональные данные работника следует получать у него самого. Если это невозможно, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
-
Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
-
Работодатель не имеет права получать и обрабатывать специальные категории персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни), за исключением особых случаев, указанных в законе. Аналогично и в отношении членства в общественных объединениях или профсоюзной деятельности
-
При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
-
Работники должны быть ознакомлены с Политикой обработки ПДн и иные документами в этой сфере.
Ситуация: для выдачи зарплатных карт нужно получать согласие работников на передачу их конкретных ПДн (обычно ФИО, адрес, дата и место рождения) в банк и перед этим в обязательном порядке подать уведомление в Роскомнадзор, т.к. с точки зрения законодательства «это выходит за пределы трудовых отношений».
Когда надо не надо подавать уведомление о начале обработке ПДн в Роскомнадзор?
Если то, что вы обрабатываете — не персональные данные, а также при обработке ПДн, если они:
- получены от работников;
- получены при заключении договора, но не распространяются (делаются доступными для всех), не предоставляются третьим лицам без согласия, то есть используются оператором исключительно для исполнения договора;
- являются общедоступными ПДн;
- включают только ФИО субъектов ПДн;
- нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
- включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.
Остановимся на варианте, когда у вас с клиентом есть договорные отношения. С практической точки зрения, если у вас всегда есть с клиентам договорные отношения, которые предшествуют получению от них ПДн, то вы не должны подавать уведомление.
На практике абсолютное большинство сайтов собирает ПДн в онлайн-чатах и сервисах обратных звонков и только потом эти потенциальные клиенты становятся (да и не все) реальными клиентами, которые заключают договоры с компанией.
Более того, даже если вы работаете на рынке B2B, то в этом случае с вами всё также взаимодействуют обычные люди, хоть и являющиеся работниками других фирм.
Само по себе уведомление в Роскомнадзор содержит всю сводную информацию из мер по защите информации, списка информационных систем, куда вы собираете ПДн, а также их местонахождения и многое другое.
Его правильное заполнение трудоёмко, так как требуется проводить аудит информационных потоков и баз данных компании, а также иметь в наличии подготовленные документы по защите ПДн внутри компании. Поэтому единственным действенным вариантом для исключения подачи такого уведомления является оценка возможности представить всех пользователей вашего сайта его клиентами, которые заключили договор с вами. Такой подход является приемлемым не для всех видов бизнеса и полностью не приемлем для тех, кто ведёт оффлайн-бизнес.
Избежать подачи уведомления в Роскомнадзор можно, если вы начнете собирать данные после регистрации посетителей на сайте.
При этом такие посетители должны будут согласиться с Пользовательским соглашением, что создаст договорные отношения. Не обязательно, чтобы эти отношения были обязательно на предмет покупки или продажи товаров или услуг.
Это могут быть возмездные или безвозмездные услуги по предоставлению информации, возможность пользоваться сервисом сайта и т.п.
Важно: наличие хотя бы ещё одной группы клиентов, которые вам передают ПДн без договора, приводит к обязанности подачи уведомления регулятору.
Уведомлять Роскомнадзор о намерении обрабатывать персональные данные также не нужно, если:
- обрабатывает ПДн соискателей (размещает вакансии в Интернете, получает и хранит резюме кандидатов);
- используете специализированные компьютерные программы для обработки сведений о работниках;
- применяет такие программы для обработки данных клиентов при дистанционной продаже товаров.
Исключение при дистанционной торговле связано с тем, что заключая договор купли-продажи через интернет (дистанционно) покупатель передает магазину (оператору) свои данные исключительно с целью осуществления покупки, её выдачи или доставки (Информация Роскомнадзора от 08.11.2017).
В этой связи возникает необходимость в обязательном порядке иметь оферту или правильнее — Пользовательское соглашение, которое по сути и будет являться договором купли-продажи, определять все «правила игры» между покупателем и интернет-магазином.
Обычно в такое Пользовательское соглашение включаются условия о возможности рассылки рекламных и иных сообщений, право магазина предоставлять ПДн клиента в целях доставки товара, а также определяются иные цели использования ПДн клиента.
В противном случае интернет-магазин может лишь отправить товар клиенту, но под вопросом остаётся даже возможность передать товар в службу доставки, если она является отдельным юридическим лицом, а не самим магазином
В остальных случаях такое уведомление должно быть подано до начала обработки ПДн.
Конкретные ситуации, когда требуются от компании действия по защите персональных данных, получение согласия и т.п.:
-
Для использования фотографий на пропусках, нужно письменное согласие гражданина. Эту позицию, озвученную Роскомнадзором еще в 2013 году, подтвердил ВС РФ в определении от 05.03.2018 г. Если согласие не оформить, компанию могут оштрафовать на сумму от 15 тыс. до 75 тыс. руб.
-
Перечень третьих лиц, которым будут передаваться ПДн, должен быть конкретным. Иными словами, если вы хотите кому-то передавать данные своих работников или клиентов, то позаботьтесь заранее о том, чтобы включить в согласие или оферту сведения о своих партнёрах, подрядчиках, заказчика и т.п.
-
Для установления видеонаблюдения за работником на рабочем месте в обязательном порядке требуется его письменное согласие, но лучше это «согласие получить» сразу, указывая особенности работы в трудовом договоре или в Положении о внутреннем трудовом распорядке (ПВТР).
-
Заблаговременное размещение графических иили текстовых предупреждений о возможной фото-, видеосъемке в публичных местах, установленных администрацией помещения иили организатором мероприятия (свадьба, концерт, ночной клуб), исключает необходимость получения согласий от каждого из посетителей.
Источник: https://MainMine.ru/pro/pd-2