Роскомнадзор утвердил новые требования к содержанию согласия на обработку персональных данных
22 АПРЕЛЯ 2021
21 апреля 2021 года Минюст России зарегистрировал и опубликовал Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 февраля 2021 года № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
Изменения, введенные приказом
Приказ опубликован почти с двухмесячным опозданием после вступления в силу (с 1 марта 2021 года) Федерального закона от 30 декабря 2020 года №519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», в соответствии с которым он разработан. Однако, в самом тексте Приказа отдельно закреплено, что он действует с 1 сентября 2021 года до 1 сентября 2027 года. Таким образом, ответственность операторов ПДн за несоблюдение требований к получению согласия на обработку персональных данных (ПДн), разрешенных субъектом ПДн для распространения, в период с 1 марта по 1 сентября 2021 года наступать не может.
Следует напомнить, что 519-ФЗ был введен новый термин «персональные данные, разрешенные субъектом персональных данных для распространения» вместо существовавшего ранее термина «персональные данные, сделанные субъектом персональных данных общедоступными».
Также были изменены и требования к обработке персональных данных: если раньше общедоступные персональные данные могли обрабатываться без согласия субъекта ПДн, то теперь ПДн, разрешенные субъектом для распространения, могут обрабатываться только в строгом соответствии с полученным от него согласием. 519-ФЗ установлена обязанность операторов ПДн получать согласие на обработку ПДн, разрешенных субъектом для распространения, отдельно от всех иных согласий в соответствии с требованиями, устанавливаемыми Роскомнадзором (т.е. данным Приказом).
Следует напомнить, что 519-ФЗ был введен новый термин «персональные данные, разрешенные субъектом персональных данных для распространения» вместо существовавшего ранее термина «персональные данные, сделанные субъектом персональных данных общедоступными».
Также были изменены и требования к обработке персональных данных: если раньше общедоступные персональные данные могли обрабатываться без согласия субъекта ПДн, то теперь ПДн, разрешенные субъектом для распространения, могут обрабатываться только в строгом соответствии с полученным от него согласием. 519-ФЗ установлена обязанность операторов ПДн получать согласие на обработку ПДн, разрешенных субъектом для распространения, отдельно от всех иных согласий в соответствии с требованиями, устанавливаемыми Роскомнадзором (т.е. данным Приказом).
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения должно включать в себя следующую информацию:
1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.
2) Контактная информация:
- номер телефона,
- адрес электронной почты или почтовый адрес субъекта персональных данных.
3) Cведения об операторе-организации:
- наименование,
- адрес, указанный в Едином государственном реестре юридических лиц (ЕГРЮЛ),
- идентификационный номер налогоплательщика (ИНН),
- основной государственный регистрационный номер (ОГРН) (если он известен субъекту персональных данных).
Cведения об операторе-физическом лице:
- фамилия,
- имя, отчество (при наличии),
- место жительства или место пребывания.
Cведения об операторе-гражданине, являющемся индивидуальным предпринимателем:
- фамилия, имя, отчество (при наличии),
- ИНН,
- ОГРН (если он известен субъекту персональных данных.
4) Сведения об информационных ресурсах оператора:
адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных.
5) Цель обработки персональных данных.
6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.
Персональные данные: (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
Специальные категории персональных данных: (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
Биометрические персональные данные.
7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта персональных данных).
8) Условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных).
9) Срок, в течение которого действует согласие.
2) Контактная информация:
- номер телефона,
- адрес электронной почты или почтовый адрес субъекта персональных данных.
3) Cведения об операторе-организации:
- наименование,
- адрес, указанный в Едином государственном реестре юридических лиц (ЕГРЮЛ),
- идентификационный номер налогоплательщика (ИНН),
- основной государственный регистрационный номер (ОГРН) (если он известен субъекту персональных данных).
Cведения об операторе-физическом лице:
- фамилия,
- имя, отчество (при наличии),
- место жительства или место пребывания.
Cведения об операторе-гражданине, являющемся индивидуальным предпринимателем:
- фамилия, имя, отчество (при наличии),
- ИНН,
- ОГРН (если он известен субъекту персональных данных.
4) Сведения об информационных ресурсах оператора:
адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных.
5) Цель обработки персональных данных.
6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.
Персональные данные: (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
Специальные категории персональных данных: (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
Биометрические персональные данные.
7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта персональных данных).
8) Условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных).
9) Срок, в течение которого действует согласие.
ч. 9 ст. 10.1 ФЗ «О персональных данных»: в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.