Я даю согласие на использование персональных данных исключительно в целях для заключения договора

Согласие на обработку персональных данных

Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.

К вашему вниманию! Этот документ можно скачать в КонсультантПлюс.

Что собой представляет согласие

Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.

Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.

Когда чаще всего требуется согласие

Сейчас согласие необходимо писать почти повсеместно:

Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.

Что вкладывается в термин «персональные данные»

Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:

При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.

В частности их условно можно поделить на три основных вида:

По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.

Для чего формируется согласие на обработку при трудоустройстве

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Если сотрудник отказывается подписывать согласие

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Что грозит за разглашение персональных данных

Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.

Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.

Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.

В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).

Как уведомить

Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Образец согласия

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

Далее в основной части подробно указывается:

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.

Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.

Источник

Как не нужно составлять согласие на обработку персональных данных

И какие согласия не стоит подписывать.

Доброго времени суток, Хабр!

Эта статья родилась совершенно спонтанно из такой вот истории.

Поскольку я являюсь в том числе соучредителем организации, в которой работаю, мне время от времени приходится подписывать различные документы от банков с которыми мы работаем, то берем кредит, то нужно обеспечить заявку на торгах и так далее. Обычная жизнь обычного ООО.

И вот, вчера мне приносят на подпись очередной документ — согласие на обработку персональных данных от одного локального банка. Я сначала на автомате его подписал, а потом все-таки решил прочитать. Яжпрограммист Я же все-таки специалист в том числе по защите персональных данных. Прочитанное повергло меня в нехилый шок.

Под катом разберемся, что с согласием не так и почему оно незаконно.

Текст согласия начинается со слов:

Согласие дается мною для целей заключения с Банком любых договоров и их дальнейшего исполнения, принятия решений или совершения иных действий, порождающих юридические последствия в отношении меня или других лиц, предоставления мне информации об оказываемых Банком услугах и распространяется на следующую информацию: фамилия, имя, отчество… и любая иная информация, относящаяся к моей личности, доступная либо известная в любой конкретный момент времени Банку (далее — «Персональные данные»)

ч. 2 статьи 5:
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Разжевывать не буду. На Хабре люди умные, сами понимаете какие тут коллизии формулировок согласия и закона. А еще немного заставила потупить фраза «любой конкретный момент времени». Хотя может с этой конструкцией и все нормально, если есть филологи, добро пожаловать в комментарии.

Едем дальше. Текст согласия (орфография и пунктуация сохранены):

Настоящее согласие действует в течении 5 (пяти) лет после истечения сроков хранения соответствующей информации или документов, содержащих вышеуказанную информацию, определяемых в соответствии с законодательством Российской Федерации и договорными отношениями, после чего может быть отозвано путем направления мною соответствующего письменного уведомления Банку не менее чем за 3 (три) месяца до момента отзыва согласия.

Мне жаль огорчать Банк, но согласие в соответствии с частью 2 статьи 9 все того же закона «О персональных данных» может быть отозвано в любой момент. Да и вообще что за бред — согласие может быть отозвано только после завершения срока действия согласия?

Далее идет абзац о действиях, которые можно совершать с моими персональными данными. Я даже не буду приводить оттуда цитату. Думаю итак понятно, что действия могут совершаться любые.

Ну и последний абзац тоже шедеврален (орфография и пунктуация сохранены):

Настоящим я признаю и подтверждаю, что в случае необходимости предоставления Персональных данных для достижения указанных выше целей третьему лицу (в том числе некредитной и небанковской организации), а равно как при привлечении третьих лиц к оказанию услуг в указанных целях, передачи Банком принадлежащих ему функций и полномочий иному лицу, Банк вправе в необходимом объеме раскрывать для совершения вышеуказанных действий информацию обо мне лично (включая мои Персональные данные) таким третьим лицам, их агентам и иным уполномоченным ими лицам, а также предоставлять таким лицам соответствующие документы, содержащие такую информацию. Также настоящим признаю и подтверждаю, что настоящее согласие считается данным мною любым третьим лицам, указанным выше, с учетом соответствующих изменений, и любые такие третьи лица имеют право на обработку Персональных данных на основании настоящего согласия.

Просто шикарно. Мало того, что Банк может делать что хочет с моими ЛЮБЫМИ персональными данными, так он еще и имеет право передавать их кому угодно, как угодно, в каком угодно объеме.

часть 1 статьи 9:
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Извините, но ЭТО назвать «информированным и конкретным» язык не поворачивается.

При этом и регуляторы на проверках по нашему опыту за такие «согласия» сразу выписывают штраф. Я, в общем-то, и начал подписывать не глядя, думая, что такие тексты сгинули где-нибудь в 2012 году, а то и раньше. Печально видеть такое от финансовой организации, в которой наверняка сидит орава юристов.

Что же делать вам как организации? Составлять действительно конкретные и информированные согласия. Четко и не двусмысленно формулировать цели обработки и конкретные категории персональных данных, которые не являются излишними по заявлению к указанным целям. Если планируете передавать персональные данные третьим лицам, то придется попотеть и указать конкретные третьи лица, конкретные передаваемые персональные данные и конкретные цели такой передачи (важно помнить, что здесь не нужно указывать, то что вы обязаны передавать в соответствии с какими-либо Федеральными законами).

Что вам делать как субъекту персональных данных, если видите такое согласие? Тут все зависит от конкретной ситуации. Если вы откажитесь подписать согласие, то вам скорее всего сообщат, что в таком случае вам не смогут оказать услугу. Если услуга вам очень нужна, подписывайте согласие, получайте услугу, но потом можно нажаловаться на нарушение закона «О персональных данных» например сюда.

И помните, что если вы что-то где-то подписали, то это еще не значит, что Банк или кто-либо еще после этого может творить что захочет с вашими персональными данными. Любые договоры, согласия и прочие документы, прямо противоречащие действующему законодательству являются незаконными.

Что касается конкретной истории, то «куда надо» я сообщил. Ждем развития ситуации. Собственно поэтому пока что не разглашаем название Банка, вдруг одумается и исправится. Если нет, то, видимо, будет вторая часть — продолжение, в том числе с оглашением имен «героев» и реакцией регуляторов.

Дополнительно сообщаю, что оценка деятельности оператора, осуществляющего обработку персональных данных, на предмет соответствия требованиям законодательства Российский Федерации в области персональных данных осуществляется при проведении контрольно-надзорных мероприятий в отношении указанного оператора.
В соответствии с пп. «б» п. 8 Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденных постановлением Правительства Российской Федерации от 13.02.2019 № 146 (далее – Правила), внеплановые проверки проводятся на основании приказа органа по контролю и надзору, изданного по результатам рассмотрения обращений граждан, поступивших в орган по контролю и надзору, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав, определенных статьями 14-17 Федерального закона «О персональных данных», действиями (бездействием) оператора при обработке их персональных данных.
Вместе с тем, обстоятельства, указанные в Вашем обращении, не подпадают под основания, установленные Правилами, в связи с чем, Ваше обращение не является основанием для проведения Управлением Роскомнадзора по Приморскому краю внеплановой проверки.
Вы имеете право самостоятельного обращения в суд с исковым заявлением, если полагаете, что нарушены Ваши права как субъекта персональных данных. С порядком защиты Ваших прав можете ознакомиться в главе 3 «Права субъекта персональных данных».

Чего и требовалось ожидать: «Спи спокойно, гражданин, твои права не нарушаются»

Источник

Согласие на обработку персональных данных: новые требования с 1 сентября 2021 года

Осенью вступает в силу Приказ Роскомнадзора, устанавливающий требования к содержанию согласия на обработку персональных данных, которые субъект данных разрешает распространять. Срок действия приказа — до 1 сентября 2027 года.

Последние значительные изменения в Федеральном законе от 27.07.2006 № 152-ФЗ начали действовать с 1 марта 2021 года. Они были внесены Федеральным законом от 30.12.2020 № 519-ФЗ и затронули вопрос предоставления доступа к данным субъекта через согласие на обработку таких данных. Поправки были инициированы с целью решить проблему бесконтрольного использования персональных данных граждан третьими лицами.

В законе подчеркивается, что согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно. А молчание или бездействие владельца данных ни при каких обстоятельствах не может восприниматься как согласие на их обработку.

В согласии на обработку данных, разрешенных для распространения, можно установить запреты:

Распространение персональных данных должно быть приостановлено в любое время по требованию субъекта, даже если ранее он дал на это согласие.

В п. 9 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ уточняется, что требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, устанавливаются Роскомнадзором. Эти требования ведомство прописало в Приказе от 24.02.2021 № 18, который вступает в силу с 1 сентября 2021 года.

Требования к сведениям, которые должны быть в согласии

В Приказе приводится перечень обязательных сведений субъекта персональных данных, которые должны содержаться в согласии на обработку:

По желанию субъекта персональных данных заполняется следующая информация:

Шаблон согласия на обработку ПД, разрешенных для распространения

Роскомнадзор решил помочь бизнесу и разработал специальный конструктор для формирования шаблона согласия. Рекомендуемый документ соответствует всем необходимым требованиям и учитывает особенности деятельности конкретного оператора.

Конструктор создавался с учетом правоприменительной практики и обращений операторов по оформлению согласия на обработку персональных данных, разрешенных для распространения.
Сервис Роскомнадзора предлагает заполнить поля, после этого шаблон рассматривается экспертами ведомства. При необходимости оператору даются рекомендации по доработке документа. Результаты проверки отправляются на электронный адрес, указанный в форме.

В дальнейшем оператор может использовать проверенную форму согласия в своей работе.

В шаблон согласия на обработку персональных данных от Роскомнадзора учитываются все сведения, указанные как обязательные в Приказе от 24.02.2021 № 18:

Напомним, что с 27 марта заметно выросли штрафы за нарушения в работе с персональными данными (Федеральный закон от 24.02.2021 № 19-ФЗ).

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Источник

Как бизнесу собирать согласия на обработку персональных данных у клиентов

Когда компания берет у клиентов номера телефонов, e-mail или другие личные сведения, необходимо получать согласие на их обработку. В статье рассказываем, как грамотно составить согласие на обработку персональных данных и избежать типичных ошибок

Ульяна Жаркова

Если вы используете в своей работе персональные данные клиентов, например у вас есть программа лояльности или email-рассылки, по закону вы обязаны собирать согласия на обработку этих данных.

Старший юрист Mindbox Ульяна Жаркова и юрист Mindbox Кира Лукашина рассказывают, в каких случаях необходимо собирать согласия на обработку персональных данных и как это правильно делать.

В статье даем примеры согласий на обработку данных, разбираем ошибки из практики и объясняем, чем грозит компании нарушение закона о персональных данных.

В конце статьи — шаблон клиентского согласия на обработку персональных данных — адаптируйте его под себя и используйте в своей работе.

Когда необходимо собирать согласия на обработку персональных данных

Персональные данные — это любая информация, по которой клиента можно идентифицировать: ФИО, номер телефона, email, паспортные данные, дата рождения, адрес, cookie-файлы и так далее.

Собирать согласия на обработку персональных данных нужно всем компаниям, которые работают напрямую с покупателями-физлицами.

«Чтобы понять, нужно ли брать согласие у клиента на получение и обработку данных, достаточно ответить на один вопрос: оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно?

Если ответ „да“, вам надо запрашивать согласие на обработку этих данных.

Например, клиент оставил вам свой email или телефон в заявке на обратный звонок, значит, он передал вам свои персональные данные. С согласия клиента можно эти данные использовать: перезвонить и предложить оформить заказ, отправить пуш-уведомление о скидках на старую коллекцию, отправить email-рассылку с подборкой книг в интернет-магазине и так далее.

Если вы собираете данные в таком формате, что клиента невозможно идентифицировать, вам не нужно брать согласие на обработку его данных.

Допустим, компания проводит анонимный опрос или публикует отзывы под вымышленными именами или без указания конкретных данных: „отзыв Алисы К.“, „отзыв нашего покупателя из Химок“, „отзыв многодетной мамы“.

Еще сбор согласий не нужен в особых случаях, которые прописаны в законе. Например, закон не требует получать согласие от клиента, если его данные нужны для исполнения договора, который он уже заключил.

Не нужно брать согласие на обработку адреса, если клиент заказал у вас товар и оформил доставку на дом, потому что заключен договор купли-продажи и для его исполнения вам необходим адрес доставки».

Кира Лукашина

Мы выделили три частых ситуации, когда бизнес собирает клиентские данные и нужно получить согласие на их обработку:

Компания собирает на сайте cookie-файлы. Практически все сайты используют cookie-файлы, они собирают информацию об активности пользователя. С помощью cookie компания может узнать IP-адрес клиента или другие технические параметры устройства, с помощью которых пользователя в дальнейшем можно идентифицировать.

Раньше вопрос, считать ли cookie-файлы персональными данными, был спорным, но сейчас Роскомнадзор и суды широко трактуют понятие «персональные данные» и относят к ним cookie.

Поэтому, если ваш сайт собирает cookie-файлы, на нем должна всплывать плашка с запросом согласия на сбор cookie.

Клиент оставил свои данные на сайте. Обычно сайт компании — это не только визитная карточка бизнеса, но и способ сбора контактной информации клиентов.

Сбор клиентской информации компании организуют в разных формах: оформление заказа, регистрация в личном кабинете, поле для ввода номера телефона, на который перезванивает менеджер, подписка на рассылку компании, попапы со специальными предложениями или просьбой оставить отзыв об услуге или товаре.

При заполнении такой формы клиент передает вам свои персональные данные, поэтому вы должны получить его согласие.

Компания собирает информацию о клиенте офлайн. Бизнес может использовать разные маркетинговые инструменты для офлайн-сбора информации о клиенте: анкетирование, опрос, регистрация в программе лояльности на кассе в момент покупки.

Сбором информации считают любой случай, когда вы просите клиента оставить свои данные на бумаге или даже просто назвать их продавцу, который их потом запишет.

Способы сбора согласий на обработку персональных данных

Вы можете собирать согласия у клиентов любым способом и в любой форме — в законе нет установленных шаблонов и правил. Исключение: бизнес, который работает с особенно важными данными, например с данными о здоровье или национальной принадлежности. Для этих категорий в законе прописаны повышенные требования, но к большинству компаний они не относятся.

Собирать согласия можно в письменном или электронном виде — на усмотрение бизнеса. Мы рекомендуем хранить согласия в течение всего срока их действия — обычно это период, в течение которого планируется обработка данных, и 3 года после.

В таблице — популярные способы сбора согласий.

Способы сбора согласий в офлайне	Способы сбора согласий в онлайне
Печатная анкета, которую заполняет клиент Подтверждение согласия через СМС-код или звонок	Чекбокс с галочкой согласия в общей форме заявки С помощью двойного подтверждения (double opt-in) через e-mail или СМС

Рассмотрим каждый из способов.

Печатная анкета. В ней должен быть пункт о согласии на обработку персональных данных. Клиент заполняет ее от руки. Анкета должна храниться в бумажном виде.

Подтверждение согласия через СМС-код или звонок. Продавец со слов клиента вносит его данные в электронную систему у кассе для участия в программе лояльности и просит клиента подтвердить свое согласие на передачу данных через СМС-код или звонок. Система автоматически отправляет клиенту код подтверждения.

Перед тем как подтвердить свое согласие на обработку данных, клиент должен ознакомиться с правилами программы лояльности и полным текстом согласия. Для этого можно отправить клиенту ссылку на эти документы в СМС.

Чекбокс с галочкой согласия в общей форме заявки. Клиент ставит галочку «согласен» в чекбоксе формы для сбора данных напротив ссылки на согласие и правила обработки персональных данных на сайте. Отправленная заявка с проставленной галочкой сохраняется на сайте. При необходимости ее можно выгрузить и использовать в качестве доказательства того, что клиент дал согласие.

Двойное подтверждение — double opt-in. Клиент дает согласие через e-mail или СМС. Например, сначала оставляет свой e-mail в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме. Или оставляет на сайте номер телефона, а потом отправляет подтверждение в ответ на СМС, которое пришло от компании, или называет код продавцу в магазине.

Главное: вне зависимости от формы согласия сохранить подтверждение того, что клиент согласился на обработку своих персональных данных. Для этого сохраните заполненную от руки анкету или выгрузите логи — технические файлы о действиях клиента на сайте.

Согласия нужно хранить на случай проверки контролирующими органами или жалобы клиента.

Что должно быть в согласии на обработку персональных данных

Чтобы подготовить правильную форму согласия, нужно проанализировать весь процесс сбора данных и с учетом этого лаконично и в понятной форме объяснить клиенту, что вы собираетесь делать с его данными. В законе прописаны обязательные требования к тексту согласия — изучите их при подготовке формы.

Вот примерный перечень того, что нужно указать в согласии:

Закон запрещает собирать избыточные данные, не нужные для целей, которые вы заявляете в согласии. Например, если компания указывает, что собирает данные для рекламной email-рассылки, она не может требовать от клиента паспортные данные: это незаконно.

Топ-5 ошибок компаний при сборе персональных данных

Часто компании в России пытаются собирать данные, но делают это неправильно — такие случаи можно встретить в сети. Если вы видите, что на сайте собирают данные определенным образом, не стоит копировать такой пример, он может быть некорректным.

Мы собрали ряд примеров, как делать не надо, — они нарушают требования закона о сборе согласий на обработку данных.

В форме сбора данных нет запроса согласия на обработку. Даже если компания разместила на сайте политику обработки персональных данных в футере, она обязана запрашивать согласие при сборе данных в понятной клиенту форме.

Чтобы не нарушить закон, в форму надо добавить явный запрос согласия, например поставить чекбокс или добавить подпись «Нажимая кнопку „Проконсультируйте меня“, вы даете согласие на обработку персональных данных» и прикрепить ссылку на это согласие.

Галочка в чекбоксе на согласие поставлена заранее. Если у вас в форме есть чекбокс, заполнение которого подтверждает согласие на обработку данных, нельзя автоматически делать его отмеченным. Клиент должен вручную поставить галочку, иначе это нарушение закона: согласия в явной форме не было.

Это же правило действует при согласии на получение рассылки и участие в программе лояльности: галочка не должна быть проставлена заранее. Если один из клиентов возмутится и напишет жалобу в ФАС, бизнес может получить штраф.

В согласии написано, что данные передаются третьим лицам, но данные этих лиц не указаны. Если в согласии вы не перечислили партнеров, которым раскрываете персональные данные клиентов, значит, у вас отсутствует согласие на передачу клиентских данных — вы не сможете это делать.

В согласии не указано, на что именно соглашается клиент. Если нет ссылки на полный текст согласия, это нарушение закона.

В тексте согласия написано, что клиент соглашается на обработку неограниченного перечня персональных данных. По закону список персональных данных, на обработку которых клиент дает согласие, должен быть четко определен — надо прописать, какие именно данные вы собираете и зачем.

Как накажут бизнес, который не соблюдает правила обработки персональных данных

Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведение проверки.

Раньше при выявлении нарушений Роскомнадзор часто ограничивался предупреждением. Компания могла исправить нарушения и спокойно работать дальше. Но с учетом изменений в законе и тенденций в правоприменительной практике мы ожидаем, что Роскомнадзор будет штрафовать бизнес сразу, без предупреждения.

Размер штрафа зависит от вида нарушения.

Вид нарушения	Штраф	Пример из жизни	Основание
Обработка данных с иными целями, чем заявлены при сборе, либо в не предусмотренных законом случаях	Первое нарушение — от 60 до 100 тысяч рублей Повторное — от 100 до 300 тысяч рублей	Клиент оставил e-mail для оформления заказа, а вы добавили его адрес в базу данных, чтобы потом сделать рекламную email-рассылку
Не взяли согласие у клиента на обработку данных или форма согласия не соответствует закону	Первое нарушение — от 30 до 150 тысяч рублей Повторное — от 300 до 500 тысяч рублей	Вы передаете данные покупателя маркетинговому агентству. Но согласие на обработку персональных данных, где была указана возможность их передачи третьим лицам, у покупателя вы не брали. Значит, передача данных маркетинговому агентству незаконна

Штрафы могут быть наложены за каждый факт нарушения. Размер штрафов зависит в том числе и от «злостности» нарушения. Например, если крупная компания неоднократно попадалась на незаконных практиках и умышленно идет на очередное нарушение в корыстных целях, скорее всего, штраф для нее будет больше, чем для ИП, который допустил нарушение по незнанию и сразу исправил свою ошибку. Точный размер штрафа определяет контролирующий орган в каждом случае индивидуально.

Чтобы избежать штрафов и недовольства клиентов, собирайте согласия и обрабатывайте персональные данные законно.

Чтобы помочь в этом, мы подготовили примерный шаблон клиентского согласия об обработке персональных данных. Скачайте его на свой гугл-диск и адаптируйте под свой бизнес.

Рекомендуем проконсультироваться с юристом, стандартная форма согласия может не учитывать особенности внутренних процессов в конкретной компании.

Главное

Подписка на новое в Бизнес-секретах

Подборки материалов о том, как вести бизнес в России: советы юристов и бухгалтеров, опыт владельцев бизнеса, разборы нового в законах, приглашения на вебинары с экспертами.

Источник