В марте 2021 года вступили в силу изменения, связанные с использованием персональных данных граждан путем их распространения среди неопределенного круга лиц. Нововведения касаются в т.ч. и работодателей, которые так или иначе раскрывают персональные данные работников для неограниченного круга. Например, размещая краткую информацию о своих сотрудниках в интернете на корпоративном сайте или на доске информации в офисе. Новые правила требуют более внимательного и ответственного отношения со стороны компаний, которые в своей деятельности используют персональную информацию, защищаемую законом. Читайте обо всех ключевых изменениях, а также используйте в работе приведенные в статье образцы согласия на обработку персональных данных, разрешенных для распространения, и его отзыва.
Распространение персональных данных
По новым правилам для распространения персональных данных неопределенному кругу лиц субъект (физическое лицо) должен дать согласие, в котором четко и недвусмысленно указать на такую возможность 1.
Ключевые слова здесь – распространение персональных данных неопределенному кругу лиц. Когда это возможно? Например:
- компания размещает на своем официальном сайте или иных информационных сайтах информацию о своих довольных клиентах с историями об оказанной им услуге или сделанной работе либо
- организация-работодатель в разделе «Наша команда» собственного сайта указывает краткую информацию о своих работниках с их фотографиями и контактной информацией и пр.
Ситуации довольно распространенные.
Форма согласия на распространение таких персданных не утверждена, однако ее содержание можно определить на основании требований ст. 10.1 Закона о персданных и Приказа Роскомнадзора № 18 2. Самое главное – согласие на распространение таких персональных данных оформляется отдельно от иных согласий. При этом оператор должен предоставить субъекту возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку персональных данных, разрешенных гражданином для распространения. В документе должны быть указаны:
- Ф.И.О., контактная информация субъекта (телефон, электронная почта или почтовый адрес);
- сведения об операторе (наименование, адрес из ЕГРЮЛ, ИНН, ОГРН 3) и его информационных ресурсах (например: https://…, http://www…);
- цели обработки персональных данных, их категории и перечень с выделением тех данных, для которых предусматриваются особые условия и запреты, связанные с обработкой, а также срок действия согласия.
Обратите внимание: требования указать в согласии паспортные данные и адрес регистрации субъекта нет. Поэтому их можно в согласие не включать, если вы их не знаете и у гражданина нет намерения вам их предоставлять. Вместе с тем если такие данные у вас есть, то их целесообразно в согласие включить, поскольку обязанность доказывать законность распространения персданных лежит на операторе, осуществившем их распространение. А значит, чем лучше у вас составлены документы, тем проще вам будет доказать законность своих действий в случае возникновения спора или претензий со стороны контролеров.
В Приказе Роскомнадзора № 18 персональные данные разделены на три категории. Рекомендуем именно так указать их в согласии, чтобы гражданин мог выбрать, какие сведения он разрешает о себе распространять неограниченному кругу лиц, а какие нет (Схема).
Схема. Категории и перечень персональных данных
Когда каждый в ответе
Субъект может дать согласие на распространение своих персональных данных неопределенному кругу лиц, однако это не означает, что все участники гражданского оборота получают право их использовать. Напротив, как мы отметили выше, обязанность предоставить доказательства...