Обработка персональных данных соглашение: правила и нюансы оформления — Контур.Экстерн

правила и нюансы оформления — Контур.Экстерн

26 сентября 2022 21 721

Согласие на обработку персональных данных — письменный или цифровой документ, который подтверждает добровольное решение гражданина передать оператору свою личную информацию для определенных целей. По Закону № 152-ФЗ оператор должен его получать в большинстве случаев. Разбираемся, когда требуется разрешение на обработку ПД, и какие к нему есть требования в 2022 году.

Содержание

  • Что говорит закон
  • В каких случаях согласие на обработку не требуется
  • Как оформить документ
  • Как оформить разрешение на распространение ПД

Согласие на обработку персональных данных в 2022 году должно быть конкретным, предметным, информированным, сознательным и однозначным (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Это означает, что в нем есть:

  • конкретная цель обработки — например, для оформления трудовых отношений;
  • перечень ПД — например, ФИО, дата рождения, сведения об образовании, месте работы, адресе;
  • список действий с персональными данными — к примеру, сбор, хранение;
  • место и способы обработки ПД — адрес оператора, автоматизированная или неавтоматизированная обработка;
  • срок действия согласия;
  • наименование, ФИО, адрес лица, которое обрабатывает ПД, если оператор поручает это другому лицу;
  • ясно выраженное согласие гражданина — подпись, галочка или другая отметка.

По умолчанию любые действия с личной информацией без согласия субъекта или законных оснований не допускаются (ст. 6, 9 152-ФЗ). При этом на распространение ПД документ оформляют отдельно (ст. 10.1 152-ФЗ).

Согласие получают конкретно для каждой цели. То есть у оператора будет несколько документов. Это следует из части 4 ст. 9 152-ФЗ, где цель указана в единственном числе, а также из требования не хранить в одной базе данных сведения для несовместимых целей (ч. 3 ст. 5 152-ФЗ).

Работать с персональными данными можно только на законных основаниях (ст. 5 152-ФЗ). Обработка без разрешения субъекта допускается в случаях, предусмотренных международными договорами или нормативными правовыми актами (ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 152-ФЗ). Например:

  • личная информация обрабатывается при участии физлица в судебном процессе;
  • гражданин регистрируется на портале Госуслуг;
  • сведения нужны для исполнения условий договора с субъектом ПД;
  • специальные персональные данные, например, о состоянии здоровья обрабатываются в соответствии с трудовым, социальным или пенсионным законодательством.

Гражданин имеет право отозвать выданное согласие на обработку ПД в любой момент. В этом случае действия с его личной информацией можно продолжать только при наличии указанных выше правовых оснований. Обязанность доказать законность обработки: предоставить согласие гражданина или отдельную норму права, возложена на оператора (ч. 2 ст. 9 152-ФЗ).

Работодателям стоит помнить, что обработка биометрических персональных данных работников в рамках трудовых отношений возможна только с письменного согласия сотрудника (ст. 11 152-ФЗ). Для специальных и общедоступных ПД оно не нужно. Это значит, что ФИО, сведения об образовании обрабатываются свободно. А вот видеонаблюдение за работником возможно только с его письменного разрешения.

Закон разрешает получить согласие физического лица на обработку его ПД в любом виде. Главное подтвердить, что оно есть и дано именно субъектом персональных данных либо его представителем (ч. 1 ст. 9 152-ФЗ). То есть теоретически согласие можно оформить даже в виде записи на диктофон, если по ней точно идентифицируется личность гражданина.

Если по Закону согласие должно быть оформлено именно в письменном виде — например, на обработку биометрических данных, то электронный документ с электронной подписью (ЭП) признается равнозначным бумажному оригиналу с личной подписью субъекта (ч. 4 ст. 9 152-ФЗ). Главное, чтобы ЭП соответствовала требованиям (Приказ ФСБ России от 27.12.2011 № 796).

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Попробовать

Утвержденного бланка согласия на обработку ПД нет. Общие требования к его содержанию приведены в статье 9 152-ФЗ. 

В интернете доступно много образцов согласия, например, на сайте Управления Роскомнадзора Сибирского ФО. Пользоваться ими нужно аккуратно, с учетом изменений в Законе 152-ФЗ:

  • одна цель обработки — одно согласие;
  • разрешение на распространение ПД оформляется отдельно.

Лицо, которое обрабатывает ПД по поручению оператора, согласие субъекта не получает (ч.

 4 ст. 6 152-ФЗ).

В некоторых случаях оператор раскрывает персональные данные неопределенному кругу лиц. Например, публикует на сайте отзыв клиента, содержащий ФИО, email и другую личную информацию. Или помогает заказчику получить кредит и отправляет от его имени заявку в разные банки и МФО.

Это называется распространением персональных данных, на которое нужно получать отдельное согласие субъекта ПД (ч. 1 ст. 10.1 152-ФЗ). Требования к содержанию такого разрешения определены Роскомнадзором (Приказ от 24.02.2021 № 18).

Сдать всю отчетность через интернет — с подсказками и проверкой на ошибки

Попробовать

 

Согласие на распространение может быть оформлено двумя способами (ч. 6 ст. 10.1 152-ФЗ):

  • передано субъектом непосредственно оператору;
  • заполнено с использованием информационной системы Роскомнадзора.

В первом случае оператор может получить шаблон документа на сайте Роскомнадзора. Для подготовки разрешения, адаптированного под конкретную деятельность, понадобится подтвержденная учетная запись на портале Госуслуг организации, ИП или физического лица.

На портале Роскомнадзора через ЕСИА формируется запрос. В результате оператор получает доступ к форме согласия на распространение ПД, которую он заполняет с учетом своей специфики. Готовый шаблон можно отправить на проверку в Роскомнадзор и получить его рекомендации.

Форму согласия на распространение ПД можно подготовить с использованием информационного ресурса Роскомнадзора.

Если оператор решит разработать свой бланк, то он должен указать в нем обязательные пункты по Приказу от 24.02.2021 № 18. По каждой категории и перечню ПД у субъекта должна быть возможность выбора одной из трех категорий:

  • разрешено;
  • запрещено;
  • разрешено с условиями — указать условия.

Молчание или бездействие гражданина ни при каких обстоятельствах не считаются согласием на обработку ПД, разрешенных для распространения (ч.  8 ст. 10.1 152-ФЗ).

Оператор обязан в течение трех рабочих дней с даты получения разрешения на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц (ч. 10 ст. 10.1 152-ФЗ). Например, разместить ее на своем сайте.

Эта мера нужна для защиты права субъекта ПД на конфиденциальность. Лица, получающие доступ к его личной информации, должны соблюдать условия и запреты, перечисленные в согласии на распространение.

Главное на почту — и памятка по расчету выплат, налогов и взносов в подарок

Подписаться

Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компаний СКБ Контур.

Соглашение об обработке персональных данных / Consent to process personal data

English version: https://www.econ.msu.ru/PDPAgreementEn/

Данное соглашение об обработке персональных данных разработано в соответствии с законодательством Российской Федерации.

Присоединяясь к настоящему Соглашению и оставляя свои данные на Сайте https://www.econ.msu.ru (далее – Сайт), путем заполнения полей онлайн-заявки (регистрации) Пользователь выражает Согласие на согласие на обработку персональных данных и их передачу оператору обработки персональных данных – Экономическому факультету Московского государственного университета имени М.В. Ломоносова (Адрес местонахождения: Российская Федерация, 119991, г.Москва, Ленинские горы, дом 1, строение 46) (далее – Оператор), которому принадлежит Сайт, на следующих условиях.

Пользователь:

  • подтверждает, что все указанные им данные принадлежат лично ему,
  • подтверждает и признает, что им внимательно в полном объеме прочитано Соглашение и условия обработки его персональных данных, указываемых им в полях он-лайн заявки (регистрации), текст Соглашения и условия обработки персональных данных ему понятны;
  • выражает Согласие на обработку персональных данных без оговорок и ограничений (далее – Согласие). Моментом принятия Согласия является маркировка соответствующего поля в Форме и нажатие на кнопку отправки Формы на любой странице Сайта;
  • подтверждает, что, давая Согласие, он действует свободно, своей волей и в своем интересе;
Данное Согласие дается на обработку персональных данных как без использования средств автоматизации, так и с их использованием.

Согласие дается на обработку следующих персональных данных Пользователя, указанных Пользователем в формах или в файлах, прикрепленных к формам:

  • Фамилия, имя, отчество;
  • Должность, организация;
  • Телефон;
  • Страна;
  • Город;
  • Сферы интересов, услуг и направлений;
  • Адрес электронной почты;
  • Иных персональных данных, указанных Пользователем в формах или файлах, прикрепленных к формам.
Целью обработки персональных данных является их хранение и использование, в том числе:
  • Ответы на запросы Пользователей;
  • Обеспечение работы Пользователя с Сайтом Оператора;
  • Направление Пользователям аналитических материалов и информирование Пользователей о предстоящих мероприятиях, организуемых Оператором, а также регистрация Пользователей для участия в таких мероприятиях;
  • Заключение с Пользователем договора.
Пользователь, принимая условия настоящего Соглашения, выражает свою заинтересованность и дает полное согласие, что обработка его персональных данных включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление доступа), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласие Пользователя на обработку персональных данных является конкретным, информированным и сознательным.

Настоящее Согласие Пользователя признается исполненным в простой письменной форме.

Согласие действует бессрочно с момента предоставления данных и может быть отозвано Пользователем путем подачи письменного заявления Оператору с указанием данных, определенных статьей 14 Федерального закона №152-ФЗ «О персональных данных» по адресу: Российская Федерация, 119991, г.Москва, Ленинские горы, дом 1, строение 46 на имя декана Экономического факультета МГУ им. М.В.Ломоносова.

В случае отзыва Пользователем согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Пользователя при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных».

В ходе обработки персональных данных Оператор вправе осуществлять: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Пользователя.

Передача персональных данных Пользователя третьим лицам не осуществляется, за исключением лиц, осуществляющих обработку персональных данных по поручению Оператора и от его имени, а также случаев, установленных законодательством. В случае участия Пользователей в мероприятиях, организуемых Оператором, последний вправе раскрыть соответствующие персональные данные Пользователей лицам, участвующим в организации такого мероприятия.

Оператор имеет право вносить изменения в настоящее Соглашение в любое время. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Соглашения вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Соглашения.

Действующая редакция всегда находится на странице по адресу: https://www.econ.msu.ru/PDPAgreement
Положение об обработке персональных данных МГУ имени М.В. Ломоносова 

English version: https://www.econ.msu.ru/PDPAgreementEn/#top

факультетская жизньобработка персональных данныхполитика конфиденциальности

11 мая 2017

Что такое соглашение об обработке данных GDPR?

Практически каждый бизнес использует третьи стороны для обработки персональных данных. Будь то клиент электронной почты, служба облачного хранилища или программное обеспечение для веб-аналитики, у вас должно быть соглашение об обработке данных с каждой из этих служб, чтобы обеспечить соответствие требованиям GDPR.

Общий регламент ЕС по защите данных использует более серьезный подход к контрактам, чем предыдущие правила ЕС по защите данных. Если ваша организация подпадает под действие GDPR, у вас должно быть письменное соглашение об обработке данных со всеми вашими обработчиками данных. Да, соглашение об обработке данных — это более раздражающая бумажная волокита. Но это также один из самых основных шагов соблюдения GDPR, необходимый для избежания штрафов GDPR.

Это руководство служит введением в соглашения об обработке данных — что это такое, почему они важны, для кого они предназначены и что они должны сказать. Вы также можете перейти по ссылке, чтобы найти шаблон соглашения об обработке данных GDPR, который вы можете скачать, настроить и использовать в своей компании.

Термин «обработка» встречается в этой статье с отвратительной частотой. В определениях GDPR под обработкой понимается все, что вы можете сделать с чьей-либо личной информацией: ее сбор, хранение, монетизация, уничтожение и т. д.

Основы соглашения об обработке данных

Соответствие GDPR требует от контролеров данных подписать соглашение об обработке данных с любыми сторонами, которые действуют в качестве обработчиков данных от их имени. Если вам нужны некоторые определения этих терминов, вы можете найти их в нашей статье «Что такое GDPR», но обычно обработчик данных — это другая компания, которую вы используете для хранения, анализа или передачи личной информации. Например, если вы являетесь медицинской страховой компанией и делитесь информацией о клиентах по зашифрованной электронной почте, то эта служба зашифрованной электронной почты является обработчиком данных. Или, если вы используете Matomo для анализа трафика на своем веб-сайте, Matomo также будет обработчиком данных.

Соглашение об обработке данных — это юридически обязывающий договор, в котором излагаются права и обязанности каждой стороны в отношении защиты персональных данных (см. «Что такое персональные данные?»). Статья 28 GDPR распространяется на соглашения об обработке данных в соответствии с разделом 3:

. Обработка обработчиком данных регулируется договором или другим правовым актом в соответствии с законодательством Союза или государства-члена, который является обязательным для обработчика по отношению к контролеру и определяет предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категории субъектов данных, а также обязанности и права контролера.

Если вы являетесь владельцем бизнеса, на которого распространяется GDPR, в ваших интересах иметь соглашение об обработке данных: прежде всего, оно требуется для соблюдения GDPR, но DPA также дает вам гарантии того, что используемый вами процессор данных является квалифицированным и способным. Как указано в Декларации 81:

. Поручая обработчику деятельность по обработке, контролер должен использовать только обработчиков, обеспечивающих достаточные гарантии, в частности, с точки зрения экспертных знаний, надежности и ресурсов, для реализации технических и организационных мер, которые будут соответствовать требованиям настоящего Регламента, в том числе для обеспечения безопасности обработки.

Пример соглашения об обработке данных

Этот веб-сайт, как вы, возможно, знаете, управляется поставщиком зашифрованной электронной почты Proton Mail (и частично финансируется программой Horizon 2020 Европейского Союза). В рамках наших усилий по соблюдению GDPR мы сделали наше собственное соглашение об обработке данных доступным для всех наших корпоративных пользователей для загрузки, просмотра и подписания.

Наш DPA дает ряд гарантий компаниям, которые доверяют нам личные данные. Например, соглашение об обработке данных Proton Mail обещает использование технических мер безопасности, таких как шифрование, как указано в статье 32 GDPR. Оно также предлагает разумную помощь контролерам при проведении оценки воздействия на защиту данных.

Для получения более подробной информации вы можете прочитать соглашение об обработке данных Proton Mail или ознакомиться с общим шаблоном соглашения об обработке данных, который мы разместили на этом веб-сайте.

Что должно быть в соглашении об обработке данных

Статья 28 GDPR, раздел 3, подробно объясняет восемь тем, которые должны быть освещены в DPA. Итак, вот что вам нужно включить:

  • Обработчик соглашается обрабатывать персональные данные только по письменным инструкциям контролера.
  • Каждый, кто соприкасается с данными, клянется хранить конфиденциальность.
  • Для защиты безопасности данных используются все соответствующие технические и организационные меры.
  • Обработчик не будет заключать субподряд с другим обработчиком, если только он не получит письменное указание сделать это от контролера, и в этом случае потребуется подписать еще один DPA с обработчиком (в соответствии с разделами 2 и 4 статьи 28).
  • Обработчик поможет контролеру выполнить свои обязательства в соответствии с GDPR, особенно в отношении прав субъектов данных.
  • Обработчик поможет контролеру поддерживать соответствие GDPR в отношении статьи 32 (безопасность обработки) и статьи 36 (консультации с органом по защите данных перед выполнением обработки с высоким риском).
  • Обработчик соглашается удалить все персональные данные после прекращения предоставления услуг или вернуть данные контроллеру.
  • Обработчик должен разрешить контролеру провести аудит и предоставить любую информацию, необходимую для подтверждения соответствия.

Тех, кто не соблюдает требования GDPR, ждут штрафы

С тех пор как GDPR вступил в силу, органы по защите данных продемонстрировали свою готовность налагать штрафы. Не остался без внимания и малый и средний бизнес. Штрафы GDPR могут составлять до 20 миллионов евро или 4% от глобального дохода компании.

Однако существует два уровня штрафов, в зависимости от серьезности и типа нарушения. Штрафы GDPR, налагаемые за нарушения, связанные с обработчиками данных, обычно подпадают под первый уровень, который, согласно рекомендациям, может достигать 10 миллионов евро или 2% от мирового дохода.
В любом случае гораздо менее болезненно подписать соглашение об обработке данных и придерживаться его условий, чем платить штраф GDPR. Мы надеемся, что это руководство поможет. Чтобы получить более удобную справку о соблюдении GDPR, ознакомьтесь с нашим контрольным списком GDPR.

Что такое соглашение об обработке данных (DPA)?

Соглашение об обработке данных, или DPA, — это соглашение между контролером данных (например, компанией) и обработчиком данных (например, сторонним поставщиком услуг). Он регулирует любую обработку персональных данных, осуществляемую в коммерческих целях. DPA также можно назвать соглашением об обработке данных GDPR.

Обработка данных включает любую операцию, при которой данные собираются, переводятся, передаются и/или классифицируются для получения значимой информации. Компании часто нанимают третьих лиц для обработки и анализа личных данных клиентов, что обычно требует наличия DPA.

Например, New York Times (NYT) использует Google BigQuery для сбора и анализа данных о том, какие статьи люди читают, как долго они остаются на сайте и как часто используют приложение NYT. Это значимая информация для принятия бизнес-решений, и между NYT и Google, безусловно, существует DPA, который регулирует использование и управление этими данными.

В связи с этим: узнайте о других основных деловых соглашениях

В соглашении об обработке данных излагаются технические требования, которым контролер и обработчик должны следовать при обработке данных. Это включает в себя настройку условий хранения, защиты, обработки, доступа и использования данных. Соглашение также определяет, что процессор может и не может делать с данными.

DPA является ключевым компонентом соответствия GDPR.

GDPR расшифровывается как Общий регламент по защите данных. Это закон о конфиденциальности и безопасности, принятый Европейским союзом (ЕС). Хотя GDPR был создан ЕС, он применяется к любой организации, которая нацелена или собирает данные о людях в ЕС.

GDPR фокусируется в основном на персональных данных и обработке данных, субъектах, контролерах и обработчиках. Он требует подписания DPA со сторонними обработчиками данных. Если ваша организация использует данные о резидентах ЕС, вы должны соответствовать GDPR и использовать DPA. Невыполнение этого требования может привести к большим штрафам и пени.

Организациям, использующим данные о резидентах ЕС, требуется соглашение об обработке данных GDPR каждый раз, когда они нанимают третью сторону для обработки этих данных. Для компаний, которые не взаимодействуют с пользовательскими данными из ЕС, DPA может оказаться полезным для определения условий ведения бизнеса с внешними обработчиками данных.

Соглашение об обработке данных четко определяет роли и обязанности контролеров и обработчиков. Это полезный контракт для любой договоренности между двумя сторонами, работающими с данными клиентов или пользователей.

Элементы DPA

Вообще говоря, DPA должен включать объем и цель обработки данных, какие данные будут обрабатываться, как они будут защищены, а также отношения между контроллером и процессором.

Соглашения об обработке данных GDPR должны быть особенно подробными. Они должны включать:

  • Общая информация: Сюда входят действия, связанные с обработкой данных, способы использования персональных данных, сторона, ответственная за обеспечение соответствия данных требованиям GDPR, и продолжительность обработки. Он также охватывает определения субъектов данных (клиенты или пользователи), типы данных, подлежащих обработке, способы и место хранения данных, а также условия расторжения договора.
  • Обязанности контролера: Когда речь идет о соблюдении GDPR, установление законного процесса обработки данных и соблюдение прав субъектов данных ложится на контролера. Контроллер также отвечает за выдачу инструкций по обработке и определяет, как процессор обрабатывает данные.
  • Обязанности обработчика: В соответствии с GDPR у обработчиков есть длинный список обязанностей. К ним относятся поддержание информационной безопасности, сотрудничество с органами власти в случае запроса, сообщение об утечке данных, предоставление возможностей для аудита, ведение учета, удаление или возврат данных по окончании контракта и многое другое.
  • Технические и организационные требования: Как данные будут шифроваться, получать к ним доступ и проверяться? Могут ли обе стороны обеспечить постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем и услуг обработки? GDPR требует, чтобы контролеры и обработчики учитывали, как современные технологии, затраты на внедрение и различия в личных свободах влияют на их способность обеспечивать постоянную безопасность данных.

Если обработчик планирует использовать субобработчиков, также необходим раздел, описывающий субдоговорные отношения. Обработчику требуется письменное согласие контроллера на использование подпроцессоров, которые должны обеспечивать защиту данных и регулярно проходить проверку соответствия.

Когда организация нанимает или сотрудничает со сторонним обработчиком данных, ее, скорее всего, попросят подписать соглашение об обработке данных с этим обработчиком. Это совершенно нормально и даже необходимо, если организация работает с личными данными людей, проживающих в ЕС.

Например, поставщик медицинских услуг может решить приобрести облачное программное обеспечение для управления пациентами, в котором хранится информация о медицинском обслуживании людей. Хотя программное обеспечение может быть отличным обновлением бумажных систем или электронных таблиц, поставщик программного обеспечения является третьей стороной, которая будет собирать, хранить и передавать личные данные о пациентах. Для этого необходимо соглашение об обработке данных.

При представлении DPA убедитесь, что в нем четко указано, как процессор может использовать данные. Найдите элементы DPA, перечисленные выше, и убедитесь, что они достаточно подробны, чтобы не оставлять места для интерпретации.

В случае соглашения об обработке данных GDPR помните, что контроллер может нести ответственность за утечку данных, даже если она вызвана ошибкой процессора. Убедитесь, что процессор имеет пропускную способность, необходимую для обеспечения защиты данных, и примите меры для быстрого реагирования на любые возникающие проблемы.

Если вы обеспечиваете обработку данных, особенно для клиентов, работающих с данными от пользователей в ЕС, вам необходимо ознакомиться с созданием и управлением DPA.

Лучше всего начать с просмотра DPA, используемых в настоящее время корпоративными процессорами. Например, DPA HubSpot легко найти и прочитать. Однако соглашения об обработке данных являются длинными, и чтение даже нескольких из них для составления собственного контракта может занять много времени.

Более того, некоторым из ваших клиентов или каждому из них могут потребоваться уникальные DPA, отвечающие их потребностям в использовании данных. Управление этими различными DPA может снизить производительность вашей юридической команды. Учитывая, насколько важно точно управлять контрактами, касающимися данных потребителей, вам понадобится интеллектуальная система управления, которая предотвращает ошибки и упущения, а также дает возможность любому, кому необходимо создать контракт.

Когда данные контракта хранятся в отдельных системах, которые не взаимодействуют друг с другом, берет верх неэффективность.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *