По общему правилу распространение персональных данных без согласия их субъекта – запрещено (ст. 88 ТК РФ, ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ)). Поэтому согласие на распространение персональных данных – обязательный документ для раскрытия сведений субъекта (работника, контрагента и др.) неопределенному кругу лиц.
Ранее согласие на распространение можно было оформить в общем согласии на обработку ПД. Теперь так делать нельзя. Кроме того, при работе с персданными важно учесть правила, вступившие в силу 1 сентября 2022 года (Федеральный закон от 14.07.2022 № 266-ФЗ (далее – Закон № 266-ФЗ). В частности, новые признаки согласия и обязанности оператора при выявлении случайной или неправомерной передачи ПД.
Рассмотрим, как составить согласие на распространение персональных данных (Роскомнадзор) с учетом требований закона.
Узнайте все актуальные изменения в Законе № 152-ФЗ, чтобы выстроить алгоритм работы с ПД в компании. Сделать это законно и профессионально поможет наш новейший обучающий курс. |
Уточните, какие сведения и в каких случаях можно обрабатывать без согласия субъекта ПД.
Образец положений согласия на распространение персданных
Таблица новых штрафов за нарушения в работе с персданными (на декабрь 2023)
|
|
Требования к согласию на распространение персональных данных
Новое согласие на распространение персональных данных необходимо для публикаций на корпоративных сайтах, в иных СМИ и соцсетях, на досках почета и т.п. (п. 3 ч. 1 ст. 86 ТК, ст. 6, ст. 10.1 Закона № 152-ФЗ).
Ранее в обработку ПД входило такое понятие, как передача персданных третьим лицам без каких-либо оговорок. Понятие «распространение» не только было перечислено в этой группе (как и сейчас), но и могло быть оформлено в общем согласии на обработку (до вступления в силу Федерального закона от 30.12.2020 № 519-ФЗ).
С принятием статьи 10.1 Закона 152 о персональных данных к распространению применяют новые требования. Главная цель новаций – сдержать бесконтрольное использование ПД, которые публикуют в открытых источниках информации. Теперь субъект может сам определить, какие сведения о себе он раскрывает неопределенному кругу лиц, а к какие – нет. Согласие на распространение получают в виде отдельного документа. Особые требования к его содержанию устанавливает Приказ Роскомнадзора от 24.02.2021 № 18.
Кроме того, с 1 сентября 2022 года согласие на распространение как частный вид согласия на обработку ПД должно быть составлено предметно и однозначно, а не только конкретно, сознательно и информировано.
С 1 сентября 2022 года предусмотрена новая обязанность оператора при выявлении случайной или неправомерной передачи ПД (включая их распространение): в течение 24 часов сообщить об этом в Роскомнадзор и в течение 72 часов отчитаться о результатах внутреннего расследования (ч. 3.1 ст. 21, ч. 10, 11 ст. 23 Закона № 152-ФЗ).
Новая ответственность операторов обработки ПД
Ужесточили ответственность за размещение персданных без письменного согласия или с нарушением закона(Федеральный закон от 12.12.2023 № 589-ФЗ). Теперь возможны такие штрафы:
Кроме того, за повторное нарушение ИП также грозит штраф – от 500 000 до 1 млн руб. |
О распространении персональных данных в интернете читайте нашу статью. Общие правила организации работы с ПД узнайте здесь.
ВЫПИСКА
Обработка персональных данных – любое действие (операция) или их совокупность, совершаемые с ПД с использованием средств автоматизации (или без них), включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ч. 1 ст. 3 Закона № 152-ФЗ).
Персональные данные, разрешенные субъектом персональных данных для распространения, – это персданные, доступ неограниченного круга лиц к которым предоставлен субъектом ПД с его разрешения в согласии на обработку ПД (п. 1.1 ч. 1 ст. 3 Закона № 152-ФЗ).
Распространение персональных данных – действия, направленные на их раскрытие неопределенному кругу лиц (п. 5 ч. 1 ст. 3 Закона № 152-ФЗ).
Предоставление персональных данных – действия, направленные на их раскрытие определенному лицу или кругу лиц (п. 6 ч. 1 ст. 3 Закона № 152-ФЗ).
Оператор персональных данных – это государственный или муниципальный орган, юридическое либо физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют ее цели; состав персданных, подлежащих обработке; а также действия (операции), совершаемые с ними (п. 2 ч. 1 ст. 3 Закона № 152-ФЗ). |
Различия в способах оформления предоставления ПД (конкретным лицам) и их распространения ПД (неопределенному кругу лиц) (ст. 3 Закона № 152-ФЗ)
Предоставление | Распространение |
Конкретным лицам (п. 6 ч. 1 ст. 3, ст. ст. 6, 9, 10.1 Закона № 152-ФЗ) |
Неопределенному кругу лиц (п. 5 ч. 1 ст. 3, ст. 10.1 Закона № 152-ФЗ)
|
Оформляют согласие на обработку ПД, в котором в качестве действия прописывают предоставление ПД с указанием конкретного получателя или (получателей) такой информации. |
Оформляют согласие на распространение ПД, где можно указать цели и ограничения передачи. |
Форма согласия на распространение персональных данных – устно или письменно?
Получение согласия предусмотрено двумя способами (ч. 6 ст. 10.1 Закона № 152-ФЗ):
-
непосредственно от работника (например, в письменной форме);
-
через информсистему Роскомнадзора.
Что означает «непосредственно от работника»? Например, возможно ли записать телефонный разговор, где субъект четко отвечает на все пункты требований? Закон прямо этого не запрещает. Однако в таком случае вы должны доказать, что звонил именно субъект ПД (не сосед или родственник), а также – установить порядок хранения таких аудиозаписей.
Самая простая форма получения согласия на распространение – письменная. Поэтому продумайте понятную и удобную форму согласия на обработку ПД, разрешенных для распространения. Затем – закрепите ее в локальном нормативном акте компании и используйте (ст. 8 и 22 ТК РФ, ст. 10.1 Закона № 152-ФЗ).
Порядок взаимодействия субъекта ПД с оператором (работодателем) при использовании информационной системы уполномоченного органа по защите прав субъектов ПД определяет этот орган – Роскомнадзор (ч. 7 ст. 10.1 Закона № 152-ФЗ, Приказы Роскомнадзора от 24.02.2021 № 18 и от 21.06.2021 № 106).
Согласие на обработку персональных данных для распространения (Роскомнадзор)
Содержание согласия на распространение персональных данных определено в Приказе Роскомнадзора от 24.02.2021 № 18. В свою очередь работодатель обязан обеспечить субъекту ПД возможность установить перечень персданных по каждой категории, указанной в таком согласии (ч. 1 ст. 10.1 Закона № 152-ФЗ).
Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не считается согласием на обработку ПД, разрешенных для их распространения (ч. 8 ст. 10.1 Закона № 152-ФЗ).
В согласии на распространение субъект ПД вправе ввести запреты на их передачу оператором (кроме предоставления доступа), а также запреты на обработку или условия обработки (кроме получения доступа) ПД неограниченному кругу лиц (ч. 9 ст. 10.1 Закона № 152-ФЗ). В этом праве оператор не может ему отказать (ч. 9 Закона № 152-ФЗ).
Такие запреты не распространяются на случаи обработки ПД в государственных, общественных и иных публичных интересах, определенных законом (ч. 11 ст. 10.1 Закона № 152-ФЗ).
Оператор обязан не позднее трех рабочих дней с момента получения согласия опубликовать информацию об условиях обработки и о наличии запретов (условий) на обработку ПД неограниченным кругом лиц (ч. 10 Закона № 152-ФЗ).
Положения согласия на распространение персональных данных – образец скачайте здесь
Согласие на распространение: образец (152-ФЗ о персональных данных)
Как вписать все требования Роскомнадзора в письменную форму? Для этого удобно применять таблицу, в которой работник сам укажет условия, на которых он согласен распространить свои персональные данные неограниченному кругу лиц или и вовсе – ограничить часть ПД для распространения.
Согласие на распространение персданных дается конкретному оператору для конкретной цели (целей), которые в нем указаны.
Поскольку согласие должно быть составлено предметно и однозначно, избегайте в тексте неопределенных и обобщенных формулировок. Его положения должны отвечать требованиям закона. Сведения о субъекте и операторе нужно указывать точно. Цель распространения, категории, перечень ПД, условия их распространения прописывают конкретно. При этом срок действия согласия необязательно – определенная дата или период времени. Допустимо отметить событие, с наступлением которого его действие прекращается (ч. 13 ст. 10.1 Закона № 152-ФЗ).
Разъясните все положения согласия субъекту ПД, чтобы тот действовал осознанно и информировано (ст. 9, 10.1, 18 и 22 Закона № 152-ФЗ).
Поскольку использовать (распространять) ПД из общедоступных (открытых) источников информации запрещено, любое лицо, сделавшее это, должно доказать правомерность обработки — предоставить согласие субъекта ПД. Нарушения при распространении ПД грозят правовыми последствиями, вплоть до многомиллионных штрафов (ст. 10.1 Закона № 152-ФЗ, ст. 13.11–13.14 КоАП РФ).
Последствия (действия) при раскрытии персданных (ст. 10.1 Закона № 152-ФЗ)
Случай |
Действие |
Раскрытие ПД неопределенному кругу лиц самим субъектом ПД без предоставления работодателю на то своего согласия |
Обязанность предоставить доказательства законности последующего распространения или иной обработки таких ПД лежит на каждом лице, которое осуществило их распространение или иную обработку.
|
Раскрытие ПД неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы |
|
Из согласия на распространение ПД не следует, что субъект согласился на их распространение |
Такие ПД работодатель обрабатывает без права распространения |
Из согласия на распространение ПД не следует, что субъект не установил запреты на их передачу и обработку (кроме предоставления и получения доступа) |
Эти ПД работодатель обрабатывает без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с ПД неограниченному кругу лиц |
В предоставленном субъектом ПД согласии не указаны категории и перечень ПД, для обработки которых устанавливают условия и запрет |
Актуальные штрафы за нарушения при работе с персданными скачайте по ссылке
Обратите внимание! Сокращены сроки, в течение которых оператор предоставляет субъекту ПД информацию об их обработке: с 30 рабочих дней до 10. Сведения составляют по форме запроса (ст. ст. 14 и 20 Закона № 152-ФЗ). |
Прекращение действия согласия о распространении персональных данных
Передача ПД, разрешенных их субъектом для распространения, по его требованию должна быть прекращена в любое время (ч. 12 ст. 10.1 Закона № 152-ФЗ). Такое требование оформляют письменно, и оно должно включать:
-
фамилию, имя, отчество (при наличии),
-
контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных,
-
перечень персональных данных, обработка которых подлежит прекращению.
Сведения, указанные в этом требовании, может обрабатываться только оператор, которому оно направлено.
Если работодатель игнорирует требование, субъект ПД вправе обратиться непосредственно к лицу, обрабатывающему персданные, или в суд (ч. 14 ст. 10.1 Закона № 152-ФЗ).
В этом случае передача ПД, ранее разрешенных для распространения, должна быть прекращена в течение трех рабочих дней с момента получения требования от субъекта ПД (или в срок, указанный во вступившем в законную силу решении суда). Если такой срок не определен – то в течение трех рабочих дней с момента вступления решения суда в законную силу (ч. 14 ст. 10.1 Закона № 152-ФЗ).
Персональные данные 1 сентября 2022 обрабатывают по новым требованиям. Как уведомлять Роскомнадзор, что изменить в Политике по обработке персданных и в Положении о персданных, что учесть при разработке нового согласия на обработку персданных, узнаете на нашем курсе. |
Топ-5 документов по персональным данным, которые скачивают ваши коллеги:
Бланк приказа о назначении ответственного за обработку персданных
Примерная форма политики по персданным
Пример нового согласия на обработку персданных
Таблица изменений в работе с персданными на 2022-2023 гг.
Чек-лист для аудита документов по персданным
|
|