Специалисты Б-152 о том, что обсуждалось на конференции «Защита персональных данных», проведенной Роскомнадзором и как матричные согласия облегчат документооборот операторов персональных данных.
Ведущий специалист по персональным данным Максим Лагутин принял участие в международной конференции «Защита персональных данных», которая ежегодно проводится при поддержке Роскомнадзора. На площадках мероприятия было озвучено несколько новостей, которые важны для всех операторов персональных данных.
Во-первых, окончательно утверждена схема, по которой для одной цели передачи или обработки персональных данных нужно отдельное согласие (то есть отдельный документ с соответствующей информацией и подписью). За единое согласие на обработку персональных данных для всех целей налагаются штрафы.
Рассмотрим кейс: у нас есть работник, мы должны передать его персональные данные в банк для зарплатного проекта, в страховую компанию для оформления ДМС, а также в охранное предприятие для оформления пропуска. Если будет только одно согласие, как будет налагаться штраф? А если 10 согласий на работника и всего в компании 10 тысяч сотрудников, как будет налагаться штраф в случае отсутствия согласия? Один штраф за все нарушения, за каждое отдельное согласие, которое было неправильно оформлено, или за 10 тысяч сотрудников, согласия которых обрабатывались с нарушением?
Отвечая на этот вопрос, представитель Роскомнадзора Юрий Кантемиров акцентировал внимание на том, что трактовка в Кодексе об административных правонарушениях позволяет налагать как 1, 10, так и 10 тысяч штрафов. В современной практике по данной статье пока применяется 1 штраф за все нарушения, но есть немало предпосылок к тому, что позиция Роскомнадзора изменится.
Что такое матричные согласия?
За последние шесть месяцев мы участвовали более чем в десяти проверках Роскомнадзора по всей России и применяли матричные согласия. Это специальный документ, содержащий:
· Ф. И. О. субъекта персональных данных или его представителя;
· реквизиты;
· адрес субъекта персональных данных или его законного представителя;
· информацию об операторе персональных данных;
· информацию о том, как субъект персональных данных может реализовать свое право на отзыв согласия;
· информацию о том, в каких случаях оператор может продолжить обрабатывать персональные данные даже после отзыва.
В теле документа должна быть таблица с указанием:
· цели обработки персональных данных;
· состава данных, которые обрабатываются для этой цели;
· перечня действий с ними (передача, поручение);
· условий и срока, в течение которого прекращается их обработка;
· перечня третьих лиц, персональные данные которых будут обрабатываться в этих же целях по поручению оператора.
Напротив каждого из согласий должны быть дата и подпись человека.
Проверки, в которых мы участвовали, показали, что Роскомнадзор, как правило, дает возможность выполнить свои требования и не налагает штрафы, что позволяет уменьшить объем предоставляемых согласий и количество потраченной бумаги.
Поделитесь им с коллегами и друзьями
Подпишитесь на нас
Получайте первым рассылку с экспертными материалами, информацией по изменениям законодательства по персональным данным и свежей аналитикой проверок Роскомнадзора.