В ходе проведения контрольных мероприятий специалистами Национального центра защиты персональных данных установлен ряд допущенных операторами нарушений в части разъяснения прав субъектам персональных данных, получения согласия на сбор, распространение, предоставление и иную обработку их персональных данных. Зачастую объем данных, которые оператор просит предоставить, не соответствует заявленным целям их обработки и является избыточным.
Ввиду этого Центром разработана рекомендуемая форма согласия на обработку персональных данных. Теперь она доступна для скачивания, в том числе в разделе ”Портфель оператора“.
Согласие является одним из правовых оснований обработки, отражающим принадлежность персональных данных гражданину и возможность распоряжаться ими по своему усмотрению.
Для обеспечения юридически действительного характера согласия такое согласие должно быть:
• свободным;
• однозначным;
• информированным.
Случаи (правовые основания), когда для обработки ваших персональных данных согласие не требуется, перечислены в статьях 6 и 8 Закона о защите персональных данных.
При наличии хотя бы одного из них обработка персональных данных будет осуществляться без согласия субъекта персональных данных.
Согласие на обработку персональных данных
Я,
Примечание
Если цели обработки персональных данных не требуют обработки всей совокупности указанной информации, она не подлежит обработке оператором при получении согласия субъекта персональных данных. Например, если для регистрации личного кабинета на сайте и получения рекламной рассылки достаточно указать ФИО и адрес электронной почты, то указание даты рождения и идентификационного номера при получении согласия на рекламную рассылку не требуется.
Цель:
Примечание
Не допускается получать общее согласие на достижение всех целей. Если оператор заинтересован в получении согласия на несколько не связанных между собой целей обработки, то он может сделать это в одном документе, но обязан получать отдельное согласие на каждую цель (например, согласие на передачу персональных данных конкретной организации (организациям), согласие на получение рекламной рассылки). При этом субъекту должна быть предоставлена возможность согласиться с одной целью и не соглашаться с другой (другими).
Объем:
Согласен | Не согласен |
---|---|
Цель:
Объем:
Согласен | Не согласен |
---|---|
Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных:
Примечание
Отражаемая информация: каким образом будет осуществляться обработка – с использованием средств автоматизации или посредством создания картотек, списков, баз данных, журналов и т.п., без их использования; информация об использовании обезличивания персональных данных в целях повышения их защищенности (при использовании обезличивания); конкретные действия, совершаемые с персональными данными (например, сбор, систематизация, хранение, изменение, использование, обезличивание, блокирование, удаление персональных данных); условия, при которых возможно распространение персональных данных (если предполагается их распространение); при наличии трансграничной передачи персональных данных – государства, в которые будет осуществляться передача. В случае передачи в страны, где не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, необходимо отразить возможные риски такой передачи. Такими рисками, например, могут быть отсутствие единого правового регулирования, то есть общего закона о защите персональных данных, узкое понимание персональных данных (отнесение к ним ограниченного круга сведений о физическом лице), отсутствие независимого контролирующего органа по защите прав субъектов персональных данных, ограниченный круг (отсутствие) прав субъектов персональных данных, широкий доступ к персональным данным у органов государственной власти в целях национальной безопасности и т.п.
Информация об уполномоченных лицах:
Примечание
Указываются конкретные уполномоченные лица и место их нахождения, а в случае затруднительности такого указания (например, наличие значительного количества уполномоченных лиц и их постоянное изменение) – конкретные категории таких лиц (например, организации, оказывающие оператору услуги по системному администрированию локальной сети; организации, осуществляющие доставку покупателю купленных у оператора товаров; организации, оказывающие оператору услуги по ведению бухгалтерского, кадрового учета) и место их нахождения (страна нахождения). Не допускается указание слишком общих категорий (например, ”лица, с которыми оператор имеет договорные отношения“), а также открытого перечня таких лиц (”и иные лица“).
Срок согласия
Примечание
Если срок согласия различается для каждой цели, то его необходимо обозначить для каждой цели. Срок согласия должен быть конкретным, доступным для восприятия и понятным для субъекта персональных данных. Срок согласия может быть выражен конкретными датой, периодом времени либо критериями, используемыми для определения таких сроков, например: конкретная дата (например, до 31.12.2023); период (например, 1 год с даты получения согласия); комбинированный (например, в течение 1 года (месяца) с даты совершения последней покупки, авторизации на сайте и т.п.). Не допускается использование при определении сроков согласия таких формулировок, как ”до отзыва согласия субъектом персональных данных“, ”сроки устанавливаются законодательством“ и т.п., поскольку они не соответствуют требованиям прозрачности обработки персональных данных. Не рекомендуется определять срок действия согласия свыше 3 лет, поскольку в связи со значительным количеством оставляемых согласий гражданину будет затруднительно контролировать обработку своих персональных данных.
Мне разъяснены права, связанные с обработкой персональных данных, механизм их реализации прав, а также последствия дачи мною согласия или отказа в даче такого согласия.
Примечание
Соответствующая информация может быть представлена в виде отдельного документа, с которым следует ознакомить субъекта персональных данных. При этом, если согласие отбирается в письменной форме, то и информация должна быть предоставлена в такой же форме. Обязанность включать данную информацию в текст согласия законодательством не установлена.
Согласие на обработку персональных данных
Согласие на обработку персональных данных (с пояснением)