Как быстро провести аудит согласия на обработку персональных данных
Обработка персональных данных без согласия субъекта (работника) возможна только в предусмотренных законом случаях. По общему же правилу ее осуществляют только по его письменному согласию (далее – согласие).Однако на практике одного факта наличия у компании такого согласия недостаточно.
Важно, что этот документ должен соответствовать требованиям статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152). Нарушение законодательства о работе с персданными грозит работодателю высокими штрафами (ст. 13.11 КоАП РФ).
Что должно отражать согласие лица на обработку персональных данных и как оперативно провести его аудит, вы узнаете в статье.
В каком порядке возможен отзыв согласия на обработку персональных данных?
- Согласие субъекта на обработку персональных данных: особенности и содержание
- Согласие лица на обработку персональных данных: чек-лист для аудита
Согласие субъекта на обработку персональных данных: особенности и содержание
Субъект персональных данных (кратко – ПД) принимает решение о предоставлении сведений о себе и дает согласие на их обработку свободно, по своей воле и в своих интересах. При этом согласие работника на обработку персональных данных должно отвечать следующим критериям: быть конкретным, предметным, информированным, сознательным и однозначным.Согласие может быть дано субъектом ПД или его представителем в любой форме, позволяющей подтвердить факт его получения (если иное не установлено федеральным законом). При получении согласия на обработку персданных от представителя субъекта ПД оператор (работодатель) должен проверить его полномочия на дачу такого согласия от имени субъекта ПД (ч. 1 ст. 9 ФЗ № 152).
Обработка персональных данных осуществляется только с письменного согласия субъекта ПД в случаях, которые предусмотрены федеральным законом.
Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД) (п. 1 ч. 1 ст. 3 ФЗ № 152).
Оператор персональных данных – это государственный или муниципальный орган, юридическое либо физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют ее цели; состав персданных, подлежащих обработке; а также действия (операции), совершаемые с ними (п. 2 ч. 1 ст. 3 ФЗ № 152).
Обработка персональных данных – любое действие (операция) или их совокупность, совершаемые с использованием средств автоматизации (или без них) с персданными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ч. 1 ст. 3 ФЗ № 152)
Согласие лица на обработку персональных данных: чек-лист для аудита
Исходя из требований закона, а также собственной практики проведения аудитов по персональным данным, эксперты компании «Митрофанова и партнеры» подготовили чек-лист, который позволит быстро определить, соответствует ли согласие на обработку ПД требованиям законодательства.Благодаря приведенным ниже рекомендациям вы сможете провести аудит ПД своими силами. При обращении за помощью в экспертную компанию вы не только избежите многомиллионных штрафов благодаря успешному опыту прохождения проверок Роскомнадзора, но и оптимизируете количество документов для работы с ПД.
Чек-лист обязательных положений согласия на обработку персональных данных
| № п/п | Что проверить в согласии на обработку ПД | Оценка исполнения (да/нет) |
|
1 |
Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе |
да/нет |
| 1.1 | Фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных) |
да/нет |
|
2 |
Наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных |
да/нет |
|
3 |
Цель обработки персональных данных | да/нет |
|
4 |
Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных | да/нет |
| 5 | Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу | да/нет |
| 6 | Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных | да/нет |
| 7 | Срок согласия на обработку персональных данных субъекта ПД, в течение которого оно действует, а также способ его отзыва, если иное не установлено федеральным законом | да/нет |
| 8 | Подпись субъекта персональных данных | да/нет |
При аудите согласий на обработку ПД обращайте внимание на перечень ПД, который должен соотноситься с целями их обработки, а также – на сроки хранения таких согласий
Скачать презентацию по аудиту персональных данных можно по ссылке внизу страницы
Материал подготовлен экспертами департамента трудового права компании «Митрофанова и партнеры»