31.01.2022
28 Января в День защиты персональных данных прошла ежегодная конференция Роскомнадзора, в рамках которой представители регулятора ответили на наиболее часто задаваемые вопросы операторов.Приведем несколько ответов. Полная запись мероприятия доступна по ссылке
В каких случаях не нужно подавать уведомление об обработке персональных данных в Роскомнадзор?
Уведомление не предоставляется при условии, что вся деятельность компании-оператора подпадает под исключения части 2 Статьи 22 152-ФЗ. Если есть деятельность, которая не подпадает под исключения, уведомление подавать нужно, в уведомлении при этом нужно указывать и те процессы обработки ПДн, которые подпадают под исключения.
Можно ли в уведомлении указывать несколько ответственных за обработку ПДн, можно ли указывать ответственным другое юридическое лицо?
В уведомлении должно быть указано одно лицо, отвечающее за организацию обработки ПДн, при этом часть функционала данный сотрудник может делегировать своим коллегам. Назначение другого юридического лица в качестве ответственного за обработку персональных данных законом не запрещается.
Какие требования предъявляются к согласию?
Для согласия в письменной форме и для согласия на распространение персональных данных требования определены, а для иного вида согласия требования отсутствуют, что и порождает вопросы. При этом у оператора остается обязанность доказать факт получения согласия. Исходить нужно из того, что согласие должно быть информированным, конкретным и сознательным. Оно должно содержать информацию о целях, сроках действия, перечень категорий обрабатываемых персональных данных, информацию о третьих лицах. Чем информативнее согласие, тем лучше для операторов. Более конкретизированное согласие может обезопасить оператора при возникновении спорных ситуаций, тем более что у субъекта есть право на получение информации об обработке персональных данных.
Нужно ли получать согласие на обработку ПДн иностранных граждан?
Обработка персональных данных иностранных граждан осуществляется в соответствии с 152-ФЗ, к согласию применяются ровно такие же требования, как и к обработке ПДн граждан РФ.
Нужно ли получать согласия в рамках вспомогательной деятельности оператора, не связанной с основной. К примеру, нужно ли собирать согласия работников на предоставление их ПДн охранной организации?
Обработка персональных данных должна осуществляться при наличии законных на то оснований. Если между работодателем и ЧОП есть прямой договор на оказание услуг, то этот договор является основанием для обработки. При этом работник дает работодателю согласие на обработку ПДн и на их передачу третьему лицу. Если такого прямого договора нет, то нужно отдельное согласие.
Также, к примеру, основанием для обработки персональных данных субъектов при рассылке резюме может служить пользовательское соглашение на сайте, где должны быть прописаны все условия обработки ПДн. Если соглашение отсутствует, или оно не полное, в качестве правового основания для обработки применяется согласие.
В чем разница между договором поручения и договором оказания услуг?
Разница заключается в делегировании задач. Поручение позволяет делегировать третьему лицу выполнение какой-либо работы от имени оператора на основании поручения. К примеру, ведение кадрового, бухгалтерского учета, заключение договоров от имени оператора. Оператор при этом обязан обеспечить получение согласия субъектов ПДн. Иная деятельность привлекаемого лица с персональными данными, выходящая за пределы поручения, является нарушением.
Для обязательного медицинского страхования согласие субъекта на передачу персональных данных не требуется, так как в этом случае действует отдельный законодательный режим. Для ДМС согласие уже нужно, так как отдельного закона для него нет.
При пользовании услугами облачных провайдеров необходимо заключать договор поручения, так как провайдер осуществляет функцию по хранению, а значит и обработке, персональных данных.
Компания оператор, заинтересованная в соблюдении закона, должна выбирать и контрагентов, заинтересованных в соблюдении закона, в противном случае, при несоблюдении требований она будет нести ответственность.
Являются ли обезличенные данные персональными данными?
Понятия обезличенные данные в законодательстве нет. Есть понятие персональные данные, полученные в результате обезличивания. На такие ПДн все требования законодательства распространяются в полном объеме.
В ближайшее время планируется внести изменения в законодательство, приравнивающие обработку обезличенных ПДн к обработке персональных данных.
Нужно ли получать два вида согласий, на обработку и на распространение?
При обработке ПДн, для обработки которых требуется согласие, к примеру, биометрия, специальная категория ПДн, оператор сначала получает такое согласие, а далее, если предполагается распространение, получает согласие на распространение ПДн. Если речь идет про обработку ПДн, для обработки которых не требуется согласие, а далее оператор планирует их распространение, нужно будет получать согласие только на распространение.
Что относится к биометрическим ПДн?
Будут разработаны новые разъяснения по биометрии. При отнесении сведений к биометрическим персональным данным пока нужно руководствоваться существующим законодательством и судебной практикой.
Можно ли объединять базы данных разных компаний, если они входят в единую группу?
Исходя из положений законодательства и практики, никакое объединение баз данных различных операторов в единую базу данных не допускается, если это не предусмотрено отдельным законодательством. Если все компании являются обособленными юридическими лицами, а во внутренних документах, к примеру, указана организация, осуществляющая кадровый или бухгалтерский учет, заключаем договор поручения, плюс берем согласия работников на передачу. Такая организация ничем не отличается от стороннего контрагента. То же самое относится и к требованиям по локализации в международной группе компаний.
Теги: Роскомнадзор