Специалисты Б-152 о том, что обсуждалось на конференции «Защита персональных данных», проведенной Роскомнадзором и как матричные согласия облегчат документооборот операторов персональных данных.

c3b0e715d53941b893ec

Ведущий специалист по персональным данным Максим Лагутин принял участие в международной конференции «Защита персональных данных», которая ежегодно проводится при поддержке Роскомнадзора. На площадках мероприятия было озвучено несколько новостей, которые важны для всех операторов персональных данных.

Во-первых, окончательно утверждена схема, по которой для одной цели передачи или обработки персональных данных нужно отдельное согласие (то есть отдельный документ с соответствующей информацией и подписью). За единое согласие на обработку персональных данных для всех целей налагаются штрафы.

Рассмотрим кейс: у нас есть работник, мы должны передать его персональные данные в банк для зарплатного проекта, в страховую компанию для оформления ДМС, а также в охранное предприятие для оформления пропуска. Если будет только одно согласие, как будет налагаться штраф? А если 10 согласий на работника и всего в компании 10 тысяч сотрудников, как будет налагаться штраф в случае отсутствия согласия? Один штраф за все нарушения, за каждое отдельное согласие, которое было неправильно оформлено, или за 10 тысяч сотрудников, согласия которых обрабатывались с нарушением?

Отвечая на этот вопрос, представитель Роскомнадзора Юрий Кантемиров акцентировал внимание на том, что трактовка в Кодексе об административных правонарушениях позволяет налагать как 1, 10, так и 10 тысяч штрафов. В современной практике по данной статье пока применяется 1 штраф за все нарушения, но есть немало предпосылок к тому, что позиция Роскомнадзора изменится.

Что такое матричные согласия? 

За последние шесть месяцев мы участвовали более чем в десяти проверках Роскомнадзора по всей России и применяли матричные согласия. Это специальный документ, содержащий:

· Ф. И. О. субъекта персональных данных или его представителя;
· реквизиты;
· адрес субъекта персональных данных или его законного представителя;
· информацию об операторе персональных данных;
· информацию о том, как субъект персональных данных может реализовать свое право на отзыв согласия;
· информацию о том, в каких случаях оператор может продолжить обрабатывать персональные данные даже после отзыва.

В теле документа должна быть таблица с указанием:

· цели обработки персональных данных;
· состава данных, которые обрабатываются для этой цели;
· перечня действий с ними (передача, поручение);
· условий и срока, в течение которого прекращается их обработка;
· перечня третьих лиц, персональные данные которых будут обрабатываться в этих же целях по поручению оператора.

Напротив каждого из согласий должны быть дата и подпись человека.

Проверки, в которых мы участвовали, показали, что Роскомнадзор, как правило, дает возможность выполнить свои требования и не налагает штрафы, что позволяет уменьшить объем предоставляемых согласий и количество потраченной бумаги.

Понравился материал?
Поделитесь им с коллегами и друзьями