Персональные данные сотрудников: определение, правила работы
У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.
Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.
Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.
Основная информация о персональных данных:
Глава 14 Трудового кодекса РФ
Закон № 152-ФЗ О персональных данных
Положение об особенностях обработки персональных данных без средств автоматизации
Каких работодателей касаются правила о персональных данных
Каждый человек сам решает, что и кому сообщать о себе.
Это его частная жизнь, она конфиденциальна.
Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.
Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.
Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.
Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.
Что такое персональные данные работника
Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст.
Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.
Вот список для ориентира:
Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.
Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.
Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.
Фото работника — например, на пропуск.
Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.
Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.
Новым ИП — год Эльбы в подарок
Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев
Попробовать бесплатно
Что будет за нарушение закона о персональных данных
За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.
Административная ответственность: штрафыРаботу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.
Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.
Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.
Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.
Гражданско-правовая ответственность: моральный вред работникуЕсли по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.
Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.
Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.
Уголовная ответственностьВ тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ.
В уголовном деле смотрят на реальный вред личной и семейной жизни человека.
Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.
Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.
Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.
Правила работы с персональными данными работника
Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:
🔐 Персональные данные работника обрабатывают только с его письменного согласия.
🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.
🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.
О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя.
Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.
🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.
🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.
🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.
🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.
🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.
30 дней Эльбы в подарок
Оцените все возможности онлайн-бухгалтерии бесплатно
Попробовать бесплатно
Как настроить работу с персональными данными: инструкция
Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе).
Это не так сложно, как кажется на первый взгляд.
1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.
Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.
Пример положения о защите персональных данных работников
2. Назначьте ответственного за персональные данные.
Так нужно в силу ст. 22.1 Закона № 152-ФЗ.
Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.
ИП и организации с одним учредителем ответственным назначают себя.
Пример приказа о назначении ответственного за работу с персональными данными
Пример обязательства о неразглашении
3. Берите с каждого работника письменное согласие на обработку персональных данных.
Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.
Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.
Пример согласия на обработку персональных данных
Пример согласия на получение персональных данных у третьих лиц
Типовая форма трудового договора для микропредприятия
4. Храните документы с персональными данными в надёжном месте.
Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.
Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.
Хранить информацию в электронном виде разрешено только на сервере в России по ст.
18 Закона № 152-ФЗ.
5. Уничтожайте персональные данные полностью.
Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение.
Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.
Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.
6. Если нужно, уведомляйте Роскомнадзор.
По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.
Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.
Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных.
Электронное уведомление Роскомнадзору
Образцы бумажных уведомлений
А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.
Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.
7. Исполняйте требования закона не только формально.
Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.
Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.
Статья актуальна на
Распространение персональных данных: новые правила
В 2021 году в России серьезно ужесточились правила обработки персональных данных.
1. ЧТО ТАКОЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ И ИХ ОБРАБОТКА?
Персональные данные (ПД) − это любая информация, прямо или косвенно относящаяся к физическому лицу, с помощью которой он может быть идентифицирован. Закрытого перечня таких данных не существует – к ним относят любые сведения, по которым можно идентифицировать человека: ФИО, паспортные данные, ИНН, СНИЛС, место работы и должность, сведения об образовании, имуществе и здоровье, cookie в браузере пользователя, семейное и социальное положение, а также изображение человека вкупе с другими данными. Для определения того, могут ли сведения идентифицировать человека, важны скорее не сами данные, а их совокупность.
Обработка персональных данных — это любое действие или операция, которые совершается с персональными данными. Например, к обработке относят, в том числе, сбор, запись, систематизацию, накопление, хранение, распространение или уничтожение персональных данных.
2. ЧТО БЫЛО РАНЬШЕ?
С 2006 года в России действует Федеральный Закон «О персональных данных». Согласно ему сбор, хранение и иная обработка персональных данных могут осуществляться только с согласия человека, которому эти персональные данные принадлежат. Это согласие можно получить в письменной или любой другой форме, позволяющей подтвердить факт его получения. Например, вполне подходит кнопка на сайте «Я даю согласие на обработку своих персональных данных».
3. ЧТО ИЗМЕНИЛОСЬ?
В конце 2020 года в Закон «О персональных данных» были внесены изменения — появилась новая статья 10.1 «Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения».
Она начала действовать с марта 2021 года.
Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Если раньше нужно было брать только одно согласие на обработку (которая включала в себя и распространение) персональных данных, то теперь для их распространения нужно еще одно — специальное (в нем должны быть данные, перечень которых утвержден Роскомнадзором, об этом читайте ниже).
Получается, что до вступления в силу этих изменений было достаточно, если на сайте, опубликована политика конфиденциальности и есть кнопка, при нажатии которой человек дает согласие на обработку персональных данных, теперь же, в случае, если вы после планируете распространять эти данные, то такой кнопки уже недостаточно и человек должен дать отдельное согласие.
4. КОГО КОСНУТСЯ НОВЫЕ ПРАВИЛА?
Дополнительное согласие нужно брать только в том случае, если вы распространяете собранные персональные данные для неопределенного круга лиц. Поэтому изменения коснутся всех, кто это делает. Например:
- Компании, на сайтах которых есть раздел “Сотрудники”.
- Сайты, на которых создаются профайлы пользователей, блогеров, экспертов и т.д.
- Ресурсы для аренды жилья, на которых можно посмотреть информацию о съёмщике или арендаторе, и им подобные.
- Сервисы, на которых публикуется информация о специалистах в разных областях и отзывы на них, и так далее.
Во всех этих случаях теперь для распространения персональных данных людей нужно их согласие. Если человек не дал его, то вы не имеете права их распространять.
Если же вы только собираете персональные данные, или же собираете и распространяйте их в обезличенном виде, например, в форме статистики, то изменения вас не коснутся.
5. ТАК ЧТО ЗА СОГЛАСИЕ? КАКИМ ОНО ДОЛЖНО БЫТЬ?
1 сентября начал действовать Приказ Роскомнадзора «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Согласно документу согласие должно содержать:
- ФИО субъекта персональных данных.
- Его контактную информацию (номер телефона, почтовый адрес или адрес электронной почты).
- Сведения об операторе персональных данных:
— для организации: наименование, адрес, указанный в ЕГРЮЛ, ИНН, основной государственный регистрационный номер;
— для гражданина: ФИО, место жительства или место пребывания;
— для ИП: ФИО, ИНН, основной государственный регистрационный номер. - Сведения об информационных ресурсах оператора, где будут распространяться персональные данные.
- Цель обработки персональных данных.
- Категории и перечень персональных данных, на обработку которых человек дает согласие.
- Категории и перечень персональных данных, для обработки которых человек устанавливает запреты и условия, а также перечень этих запретов и условий (заполняется по желанию субъекта ПД)
- Условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации только для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта ПД).
- Срок действия согласия.
Это согласие может быть дано непосредственно оператору или через информационную систему Роскомнадзора. Оно обязательно должно быть активным — согласно пункту 8 статьи 10.1
«молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения»ю
Важно:получив согласие на обработку персональных данных человека, оператор обязан в течение трех дней опубликовать информацию об «условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения».
То есть фактически он должен проинформировать всех, на каких условиях он получил разрешение.
6. СОГЛАСИЕ МОЖНО ОТОЗВАТЬ?
Человек можете отозвать свое разрешение на обработку персональных данных и потребовать прекратить их распространение. Для этого человек должен направить требование оператору. В нем должны быть указаны:
- ФИО субъекта персональных данных;
- контактная информация;
- перечень персональных данных, обработка которых подлежит прекращению.
В этом случае действие согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается в момент получения оператором требования от человека.
Кроме того, человек может обратиться с требованием прекратить распространение его персональных данных, на которое он ранее дал разрешение, к любому лицу, обрабатывающему его персональные данные с нарушением закона. В этом случае распространение должно быть прекращено в течение трех дней.
Также человек, чьи персональные данные, разрешенные ранее для распространения, обрабатываются с нарушениями, может подать иск в суд.
7. ЕСТЬ СЛУЧАИ-ИСКЛЮЧЕНИЯ, КОГДА МОЖНО РАСПРОСТРАНЯТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ БЕЗ СОГЛАСИЯ?
Да. Все описанное не относится к случаям, когда персональные данные обрабатываются органами власти в целях выполнения возложенных на них законом функций, полномочий и обязанностей. Кроме того, в самой статье 10.1 есть еще одно исключение:
«Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации».
Получается, что если субъект персональных данных запретил распространять информацию о нем, вы все равно можете это делать, если есть, например, общественный интерес.
8. КАК ЭТО ВСЕ КАСАЕТСЯ СМИ?
С точки зрения распространения информации именно в публикациях СМИ, то будем надеяться, что почти никак: в Законе «О персональных данных» есть общий список исключений, которые позволяют обрабатывать персональные данные без согласия субъекта. Все они прописаны в статье 6. Из них к деятельности СМИ применимы лишь некоторые. Например, обрабатывать (в том числе и распространять) персональные данные человека без его согласия можно, если:
- обработка персональных данных необходима для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Под последним исключением имеются в виду ситуации, когда персональные уже опубликованы по требованию закона. Например, сюда относят декларации госслужащих, данные из открытых реестров, персональные сотрудников на сайте органов власти и т.д. Это все случаи, когда закон требует раскрывать информацию о людях.
Но помните, что в отдельных случаях редакциям все-таки придется брать дополнительные согласия, ведь не все деятельность редакций укладывается в исключения. Так, дополнительное согласие на распространение персональных данных нужно будет, если, например, редакция публикует списки победителей конкурса или данные о сотрудниках редакции на своем сайте.
9. А ЕСЛИ ЧЕЛОВЕК САМ ОПУБЛИКОВАЛ СВОИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ?
До вступления в силу изменений в закон, действительно, обрабатывать персональные данные можно было без согласия человека, если он сам их сделал общедоступными, например, опубликовал в социальных сетях.
Однако теперь это исключение действовать перестало. Более того, в статье 10.1 отдельным пунктом прописано, что в случае, если человек сам раскрыл неопределенному количеству лиц свои персональные данные, но не дал согласие оператору на их распространение, то доказать законность использования персональных данных должен каждый, кто их распространит без разрешения.
10. ОТВЕТСТВЕННОСТЬ
За нарушение этих правил предусмотрена ответственность по статье 13.11 Кодекса об административных правонарушениях — «Нарушение законодательства Российской Федерации в области персональных данных».
Источник: Центр защиты прав СМИ
Каковы требования согласия GDPR?
Один из простых способов избежать больших штрафов GDPR — всегда получать разрешение от ваших пользователей, прежде чем использовать их личные данные. В этой статье объясняются требования к согласию GDPR, которые помогут вам их соблюдать.
Вопреки распространенному мнению, GDPR ЕС (Общее положение о защите данных) не требует от компаний получения согласия от людей перед использованием их личной информации в коммерческих целях.
Скорее, согласие является лишь одним из шести правовых оснований, изложенных в статье 6 GDPR. Предприятия должны определить правовую основу для обработки своих данных.
Согласие получить проще всего, поскольку оно позволяет вам делать с данными практически все, что угодно, при условии, что вы четко объясните, что собираетесь делать, и получите явное разрешение от субъекта данных. Однако, как недавно узнал Google в виде штрафа в размере 50 миллионов евро, срезать углы нельзя. Французские органы по защите данных заявили, что версия компании о получении согласия не была ни «информированной», ни «однозначной», ни «конкретной».
В этой статье основное внимание будет уделено тому, как удовлетворить требования GDPR в отношении согласия в качестве правовой основы.
Для получения более общей информации о том, что говорит GDPR, прочитайте нашу статью «Что такое GDPR?» Он дает концептуальный обзор закона. Мы также опубликовали полный текст GDPR.
GDPR требует правовой основы для обработки данных
«Чтобы обработка была законной, персональные данные должны обрабатываться на основании согласия соответствующего субъекта данных или на каком-либо другом законном основании», — поясняет GDPR в преамбуле 40.
Другими словами, согласие — это лишь одно из юридических оснований, которые вы можете использовать для оправдания сбора, обработки и/или хранения персональных данных людей. В статье 6 указаны пять других оснований.
Как мы объясняем в нашем обзоре GDPR, это другие правовые основания:
- Обработка необходима для выполнения договора, стороной которого является субъект данных.
- Вам необходимо обработать данные, чтобы выполнить юридическое обязательство.
- Вам необходимо обработать данные, чтобы спасти чью-то жизнь.
- Обработка необходима для выполнения задачи в общественных интересах или для выполнения какой-либо официальной функции.
- У вас есть законный интерес к обработке чьих-либо личных данных. Это самая гибкая законная основа, хотя «основные права и свободы субъекта данных» всегда преобладают над вашими интересами, особенно если это данные ребенка.
Вам нужно выбрать только одно правовое основание для обработки данных, но после того, как вы его выбрали, вы должны придерживаться его.
Вы не можете изменить свою правовую основу позже, хотя вы можете указать несколько баз. Вы должны провести оценку воздействия GDPR на защиту данных перед обработкой персональных данных.
Определение согласия GDPR
Если вы обрабатываете чьи-либо данные на основании их согласия, в GDPR четко разъясняются обязательства, которые вы должны выполнить. Статья 4(11) определяет согласие:
Согласие субъекта данных означает любое свободно данное, конкретное, информированное и недвусмысленное указание на пожелания субъекта данных, которым он или она заявлением или четким утвердительным действием выражает согласие на обработку персональных данных, касающихся ему или ей.
GDPR дополнительно разъясняет условия для согласия в статье 7:
1. Если обработка основана на согласии, контролер должен быть в состоянии продемонстрировать, что субъект данных дал согласие на обработку своих персональных данных. .
2.
3. Субъект данных имеет право отозвать свое согласие в любое время. Отзыв согласия не влияет на законность обработки, основанной на согласии до его отзыва. Прежде чем дать согласие, субъект данных должен быть проинформирован об этом. Отказаться будет так же легко, как и дать согласие.
4. При оценке того, добровольно ли дано согласие, необходимо максимально учитывать, в частности, выполнение договора, включая предоставление услуги, обусловлено согласием на обработку персональных данных, которая не является необходимой. для исполнения этого контракта.
Если согласие субъекта данных дается в контексте письменного заявления, которое также касается других вопросов, запрос на согласие должен быть представлен способом, который четко отличается от других вопросов, в понятной и легкодоступной форме. , используя ясный и простой язык. Любая часть такой декларации, которая представляет собой нарушение настоящего Регламента, не имеет обязательной силы. Теперь, когда у вас есть определение, давайте раскроем некоторые из этих понятий.
Согласие должно быть дано свободно
«Свободно данное» согласие, по сути, означает, что вы не загнали в угол субъекта данных, заставив его согласиться на использование вами его данных. Во-первых, это означает, что вы не можете требовать согласия на обработку данных в качестве условия использования сервиса. Им нужно уметь говорить нет. Согласно Декларации 42, «Согласие не следует рассматривать как добровольно данное, если субъект данных не имеет подлинного или свободного выбора или не может отказаться или отозвать согласие без ущерба».
Единственным исключением является случай, когда вам нужны какие-то данные от кого-то, чтобы предоставить им вашу услугу. Например, вам может понадобиться информация об их кредитной карте для обработки транзакции или их почтовый адрес для отправки продукта.
В преамбуле 43 обсуждается добровольное согласие. В нем поясняется, что вы должны получать отдельное согласие на каждую операцию обработки данных. Поэтому, если вам нужен их адрес электронной почты для маркетинговых целей и их IP-адрес для целей аналитики веб-сайта, вы должны предоставить пользователю возможность подтвердить или отклонить каждое использование.
Согласие должно быть конкретным
«Запрос о согласии должен быть представлен таким образом, который четко отличается от других вопросов». Должно быть ясно, какие действия по обработке данных вы собираетесь выполнять, предоставляя субъекту возможность дать согласие на каждое действие.
В примере с адресом электронной почты и IP-адресом вы не можете объяснить их использование в рамках одного длинного абзаца с подробным описанием операций вашей маркетинговой команды с одним флажком согласия в конце. Вместо этого вы должны объяснить каждый вариант использования данных отдельно, давая субъектам данных возможность дать согласие на каждое действие в отдельности.
Если у вас есть несколько причин для обработки данных, вы должны получить согласие для всех этих целей. Поэтому, если вы храните номера телефонов как в целях маркетинга, так и в целях проверки личности, вы должны получить согласие для каждой из этих целей.
Согласие должно быть информировано
Информированное согласие означает, что субъект данных знает вашу личность, какие действия по обработке данных вы собираетесь проводить, цель обработки данных и что он может отозвать свое согласие в любое время.
Это также означает, что запрос на согласие и объяснение действий по обработке данных и их цели описаны простым языком («в понятной и легкодоступной форме, с использованием ясного и простого языка»). Это означает отсутствие технического жаргона или юридического языка. Любой, кто получает доступ к вашим услугам, должен понимать, на что вы просите его согласиться.
Дело Google представляет собой поучительный пример из реальной жизни. Французские власти заявили, что компания не выполнила требования информированного согласия:
Информация об операциях обработки для персонализации рекламы разбросана по нескольким документам и не позволяет пользователю быть в курсе их объема. Например, в разделе «Персонализация рекламы» невозможно знать о множестве сервисов, веб-сайтов и приложений, участвующих в этих операциях обработки… и, следовательно, об объеме обрабатываемых и объединяемых данных.
Управление комиссара по информации Великобритании предоставляет дополнительный контекст: «Если запрос о согласии является расплывчатым, широким или трудным для понимания, то он будет недействительным.
В частности, язык, который может сбить с толку, например, использование двойных отрицаний или непоследовательный язык, сделает согласие недействительным».
Согласие должно быть недвусмысленным
То есть не должно возникать вопросов о том, дал ли субъект данных согласие. «Молчание, предварительно установленные галочки или бездействие не должны, таким образом, являться согласием», согласно GDPR Recital 32.
Недвусмысленное согласие «может включать отметку в соответствующем поле при посещении интернет-сайта, выбор технических настроек для услуг информационного общества или другое заявление или поведение, которое в этом контексте ясно указывает на согласие субъекта данных с предлагаемой обработкой его или ее персональных данных».
Согласие может быть отозвано
GDPR не указывает срок действия согласия. Теоретически согласие человека является бессрочным, хотя могут быть ситуации, когда становится ясно, что согласие больше не является действительным или разумным или нарушает какой-либо принцип обработки данных.
Однако субъект данных имеет право отозвать согласие в любое время. Более того, вы должны сделать так, чтобы им было легко это сделать. В общем, им должно быть так же легко отозвать согласие, как и вам получить согласие.
Требования к согласию GDPR относительно просты для понимания, но, возможно, их сложнее реализовать. Вы можете столкнуться с техническими препятствиями или проблемами при согласовании потребностей вашего бизнеса с требованиями GDPR. Заполнение оценки воздействия на защиту данных может помочь. То же самое можно сказать и о юристе GDPR. Соответствие
GDPR — это непрерывный процесс. Обратитесь к нашему контрольному списку GDPR, чтобы убедиться, что ваша организация добросовестна.
Согласие GDPR должно быть активно предоставлено субъектом данных
Содержание
Что такое согласие GDPR и зачем оно нужно?
Компании должны запрашивать у людей разрешение на обработку их данных. В соответствии с GDPR это называется «согласие».
Согласие может быть отозвано пользователем в любой момент. Компания должна сделать отзыв согласия простым и доступным.
Статья 4 Общего регламента по защите данных определяет согласие как:
«любое свободно предоставленное, конкретное, осознанное и недвусмысленное указание на пожелания субъекта данных, посредством которого он или она посредством заявления или явного положительного действия выражает согласие на обработку персональных данных». данные, относящиеся к нему или ей».
Согласие GDPR должно быть дано конкретным лицом.
Другими словами, пользователь должен конкретно предпринять действия, чтобы дать согласие. А информация о том, на что они соглашаются, должна быть представлена четко и в понятной форме. Информация, касающаяся согласия, должна быть написана таким образом, чтобы средний человек мог точно понять, на что он дает согласие.
Использование данных не может выходить за рамки того, что указано в этом согласительном соглашении.
Пользователи также должны выполнить определенное действие, чтобы сообщить о своем согласии. Это может быть галочка на веб-сайте или выбор настроек приложения. Согласие путем умалчивания или упущения информации недопустимо по причинам GDPR.
Согласие GDPR и законность обработки
Понять, что означает согласие для бизнеса, не всегда сразу очевидно. Это один из наиболее неоднозначных и, следовательно, спорных элементов GDPR. Прежде чем мы углубимся в детали, важно понять статью 6 GDPR, которая касается законности обработки.
Статья 6 GDPR касается законности сбора и обработки пользовательских данных. Чтобы быть законным в соответствии с GDPR, сбор данных должен соответствовать шести правовым положениям. Предприятия должны определить, подпадает ли любой сбор или анализ данных под соответствующие правовые основания, а именно:
- Согласие пользователя.
- Законные проценты.
- Договорная необходимость.
- Жизненно важный интерес пользователя.
- Юридическое обязательство.
- Общественный интерес.
Если сбор данных не подпадает ни под одну из этих категорий, он является незаконным в соответствии с GDPR и может привести к крупным финансовым санкциям.
Согласие GDPR – законное определение
Это изложено в статье 4, как описано выше. Но что именно это означает для пользователя?
Персональные данные/данные пользователя должны быть:
- Свободно предоставленными — пользователям должен быть предоставлен четкий выбор согласия, а не принуждение.
- Конкретное — согласие должно относиться к конкретным действиям, связанным с данными, а не к каким-либо целям, которые нужны бизнесу. Например, если данные предназначены для подписки на информационный бюллетень, это должно быть указано именно так.
- Информирован — пользователь должен полностью понимать, почему данные собираются и для чего они будут использоваться, прежде чем дать согласие.
- Clear — пользователи должны понимать объем сбора данных и то, для чего они будут использоваться.
Требования к согласию в соответствии с GDPR
Вот что должны сделать компании, чтобы соответствовать положениям GDPR в отношении согласия:
- Сделать согласие добровольным — это должно быть позитивное действие. Предварительно отмеченных галочек или полей для отказа недостаточно.
- Документируйте все согласия — компании должны вести учет согласия каждого пользователя, как они давали согласие, на что они давали согласие и когда.
- Упростите отзыв согласия — четко определите, как пользователи могут отозвать согласие в любое время.
- Сохраняйте согласие отдельно — не объединяйте согласие в качестве предварительного условия для получения услуги или выполнения транзакции. Согласие должно быть свободным от любого другого действия.
- Отдельное согласие — пользователи должны иметь возможность давать согласие на каждое действие компании по обработке данных
Согласие особых категорий GDPR
Статья 9 GDPR гласит, что контролеры данных, которые обрабатывают пользовательские данные из особых категорий персональных данных, должны сначала получить явное согласие. Но что такое явное согласие?
Явное согласие должно быть получено в форме письменного заявления. Компания должна четко указать, для чего именно будут использоваться данные.
Компании должны использовать согласие в качестве законного основания для обработки данных, если другие правовые основания не применяются, если они обрабатывают специальные категории (конфиденциальные данные), если они хотят предоставить пользователям законный выбор, если они хотят создать взаимодействие, если они отправляют маркетинговые материалы с информационными бюллетенями и предложениями третьих лиц.
Куда следует отправить запрос на согласие?
Информация о согласии должна быть легко идентифицируемой пользователем. Он должен быть представлен отдельно от любых условий.
Запрос согласия должен быть сделан до того, как будут собраны и обработаны какие-либо пользовательские данные.
Согласие необходимо запрашивать в каждой отдельной точке сбора данных. Например, если пользователь уже предоставил свой адрес электронной почты для загрузки электронной книги, он не дал согласия на другие маркетинговые материалы.