Как быстро провести аудит согласия на обработку персональных данных

Обработка персональных данных без согласия субъекта (работника) возможна только в предусмотренных законом случаях. По общему же правилу ее осуществляют только по его письменному согласию (далее – согласие).Однако на практике одного факта наличия у компании такого согласия недостаточно.

Важно, что этот документ должен соответствовать требованиям статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152). Нарушение законодательства о работе с персданными грозит работодателю высокими штрафами (ст. 13.11 КоАП РФ).

Что должно отражать согласие лица на обработку персональных данных и как оперативно провести его аудит, вы узнаете в статье.
ИНТЕРЕСНЫЕ СТАТЬИ

В каком порядке возможен отзыв согласия на обработку персональных данных? 

Подробнее

Согласие субъекта на обработку персональных данных: особенности и содержание

Субъект персональных данных (кратко – ПД) принимает решение о предоставлении сведений о себе и дает согласие на их обработку свободно, по своей воле и в своих интересах. При этом согласие работника на обработку персональных данных должно отвечать следующим критериям: быть конкретным, предметным, информированным, сознательным и однозначным.

Согласие может быть дано субъектом ПД или его представителем в любой форме, позволяющей подтвердить факт его получения (если иное не установлено федеральным законом). При получении согласия на обработку персданных от представителя субъекта ПД оператор (работодатель) должен проверить его полномочия на дачу такого согласия от имени субъекта ПД (ч. 1 ст. 9 ФЗ № 152).

Обработка персональных данных осуществляется только с письменного согласия субъекта ПД в случаях, которые предусмотрены федеральным законом.
ВАЖНО!

Согласие в форме электронного документа, подписанное в соответствии с федеральным законом электронной подписью, признается равнозначным письменному согласию на бумажном носителе, заверенному собственноручной подписью субъекта ПД (ч. 4 ст. 9 ФЗ № 152).Что именно должно включать в себя письменное согласие субъекта ПД на их обработку, установлено в части 4 статьи 9 ФЗ № 152

СПРАВКА

Обработка персональных данных без согласия субъекта возможна, если сведения обрабатывают во исполнение закона (в силу нормативных требований) (ст. 6 ФЗ № 152). К примеру, не получают отдельного согласия от работника при ведении обязательного кадрового и воинского учета, исчислении и уплате обязательных взносов и налогов, при передаче сведений в ПФР и ФСС России

ВЫПИСКА

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД) (п. 1 ч. 1 ст. 3 ФЗ № 152).

Оператор персональных данных – это государственный или муниципальный орган, юридическое либо физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют ее цели; состав персданных, подлежащих обработке; а также действия (операции), совершаемые с ними (п. 2 ч. 1 ст. 3 ФЗ № 152).

Обработка персональных данных – любое действие (операция) или их совокупность, совершаемые с использованием средств автоматизации (или без них) с персданными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ч. 1 ст. 3 ФЗ № 152)

Согласие лица на обработку персональных данных: чек-лист для аудита

Исходя из требований закона, а также собственной практики проведения аудитов по персональным данным, эксперты компании «Митрофанова и партнеры» подготовили чек-лист, который позволит быстро определить, соответствует ли согласие на обработку ПД требованиям законодательства.

Благодаря приведенным ниже рекомендациям вы сможете провести аудит персональных данных своими силами. При обращении за помощью в экспертную компанию вы не только избежите многомиллионных штрафов благодаря успешному опыту прохождения проверок Роскомнадзора, но и оптимизируете количество документов для работы с ПД.

Чек-лист обязательных положений согласия на обработку персональных данных

  № п/п Что проверить в согласии на обработку ПД Оценка исполнения (да/нет)

1

Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе

да/нет
1.1 Фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных)

да/нет

2
Наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных

да/нет

3
Цель обработки персональных данных да/нет
4
Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных да/нет
 5 Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу  да/нет
 6 Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных  да/нет
 7 Срок согласия на обработку персональных данных субъекта ПД, в течение которого оно действует, а также способ его отзыва, если иное не установлено федеральным законом  да/нет
 8 Подпись субъекта персональных данных   да/нет

ПАМЯТКА

Распространенные ошибки в согласии на обработку ПД, которые выявляет практика

1. Работодатели включают в согласие избыточный перечень персональных данных для перестраховки

2. Работодатели указывают максимальный срок хранения согласий, что является нарушением, поскольку сроки должны соответствовать целям обработки

РЕКОМЕНДАЦИЯ

При аудите согласий на обработку ПД обращайте внимание на перечень ПД, который должен соотноситься с целями их обработки, а также – на сроки хранения таких согласий

ЭКСПЕРТНЫЙ КОНСАЛТИНГ ПО ПЕРСОНАЛЬНЫМ ДАННЫМ
Как получить согласие на обработку ПД в электронной форме, как провести самоаудит по персданным, изменения трудового законодательства в области персданных, новые требования Роскомнадзора, - то, что необходимо знать любой компании, обрабатывающей персональные данные, знают наши опытные эксперты. Закажите аудит персональных данных и защитите интересы вашей компании!

Скачать презентацию по аудиту персональных данных можно по ссылке внизу страницы

Заказать аудит персональных данных

Заказать

Материал подготовлен экспертами департамента трудового права компании «Митрофанова и партнеры»
Поделиться материалом
Скопировать ссылку