Согласие на обработку персональных данных: новые требования с 1 сентября 2021 года

Последние значительные изменения в Федеральном законе от 27.07.2006 № 152-ФЗ начали действовать с 1 марта 2021 года. Они были внесены Федеральным законом от 30.12.2020 № 519-ФЗ и затронули вопрос предоставления доступа к данным субъекта через согласие на обработку таких данных. Поправки были инициированы с целью решить проблему бесконтрольного использования персональных данных граждан третьими лицами.

В законе подчеркивается, что согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно. А молчание или бездействие владельца данных ни при каких обстоятельствах не может восприниматься как согласие на их обработку.  

В согласии на обработку данных, разрешенных для распространения, можно установить запреты:

• на их передачу неограниченному кругу лиц;
• на обработку или условия обработки данных неограниченным кругом лиц. 

Распространение персональных данных должно быть приостановлено в любое время по требованию субъекта, даже если ранее он дал на это согласие.  

• Как ужесточились требования к работе с персональными данными в 2021 году
• Персональные данные сотрудника: как с ними работать
• Политика обработки персональных данных: как составить документ 

В п. 9 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ уточняется, что требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, устанавливаются Роскомнадзором. Эти требования ведомство прописало в Приказе от 24.02.2021 № 18, который вступает в силу с 1 сентября 2021 года.

Требования к сведениям, которые должны быть в согласии

В Приказе приводится перечень обязательных сведений субъекта персональных данных, которые должны содержаться в согласии на обработку: 

• ФИО;
• контактная информация (номер телефона, адрес электронной почты или почтовый адрес);
• сведения об операторе-организации;
• сведения об операторе-физическом лице;
• сведения об операторе-гражданине, являющимся ИП;
• сведения об информационных ресурсах оператора, через которые неограниченному кругу лиц предоставляется доступ к данным и производятся иные действия с персональными данными;
• цель обработки персональных данных;
• категории и перечень персональных данных, на обработку которых дается согласие субъекта: персональные данные (ФИО, год, месяц, дата рождения, место рождения, адрес, семейное положение и др.), специальные категории персональных данных и биометрические данные; 
• срок действия согласия.

По желанию субъекта персональных данных заполняется следующая информация:

• категории и перечень данных, для обработки которых субъект устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;
• условия, при которых полученные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

Шаблон согласия на обработку ПД, разрешенных для распространения

Роскомнадзор решил помочь бизнесу и разработал специальный конструктор для формирования шаблона согласия. Рекомендуемый документ соответствует всем необходимым требованиям и учитывает особенности деятельности конкретного оператора. 

Конструктор создавался с учетом правоприменительной практики и обращений операторов по оформлению согласия на обработку персональных данных, разрешенных для распространения. 
Сервис Роскомнадзора предлагает заполнить поля, после этого шаблон рассматривается экспертами ведомства. При необходимости оператору даются рекомендации по доработке документа. Результаты проверки отправляются на электронный адрес, указанный в форме. 

В дальнейшем оператор может использовать проверенную форму согласия в своей работе.

Вовремя примите меры по защите персональных данных

В шаблон согласия на обработку персональных данных от Роскомнадзора учитываются все сведения, указанные как обязательные в Приказе от 24.02.2021 № 18: 

• сведения об операторе;
• сведения об информационных ресурсах оператора;
• цель обработки персональных данных;
• категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных, в том числе биометрические данные и специальные категории персональных данных;
• специальные категории персональных данных;
• биометрические персональные данные; 
• срок действия согласия; 
• другая информация. 

Напомним, что с 27 марта заметно выросли штрафы за нарушения в работе с персональными данными (Федеральный закон от 24.02.2021 № 19-ФЗ).