четверг, 29 апреля 2021 г.

Требования к содержанию согласия на обработку «персональных данных, разрешенных для распространения»

Приказом Роскомнадзора от 24 февраля 2021 года №18 утверждены «Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения», которые вступают в силу с 1 сентября 2021 года и действует до 1 сентября 2027 года.
 
Согласие должно содержать следующую информацию:

  • Фамилия, имя, отчество (при наличии) субъекта ПДн;

  • Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта ПДн);

  • Сведения об операторе-организации - наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту ПДн);

  • Сведения об операторе - физическом лице - фамилия, имя, отчество (при наличии), место жительства или место пребывания;

  • Сведения об операторе-гражданине, являющемся индивидуальным предпринимателем, - фамилия, имя, отчество (при наличии), идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту ПДн);

  • Сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта ПДн;

  • Цель (цели) обработки персональных данных;

  • Категории и перечень персональных данных, на обработку которых дается согласие субъекта ПДн:

    • Персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);

    • Специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);

      Мой комментарий: Статья 10 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» не включает в специальные категории ПДн сведения о судимости. Роскомнадзор, таким образом, самовольно ужесточает требования законодательства, что недопустимо!

    • Биометрические персональные данные;

    • Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта ПДн);

    • Условия, при которых полученные ПДн могут передаваться оператором, осуществляющим их обработку, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта ПДн);

    • Срок действия согласия.

Мой комментарий: Реальное исполнение «изобретенных» из самых лучших побуждений, но крайне обременительных и практически неисполнимых требований к получении согласий и их содержанию (в сочетании с возможностью данные согласия в любой момент отозвать) привело бы в ступор всю цифровую экономику, а также остановило бы весь интернет и социальные сети. Поэтому нарушают и будут нарушать все, в результате чего создается коррупциогенная ситуация, когда кого-то можно сурово наказать, а кому-то простить…

Если бы подобные требования к управлению согласиями государство и общество восприняли на полном серьёзе, то можно было бы хотя бы утешиться тем, что потребность в специалистах нашей профессии многократно увеличилась бы (но я таких надежд не питаю).

Согласно поговорке, тост на охоте должен быть коротким, как выстрел. Согласие на обработку ПДн тоже должно быть максимально простым и понятным, не превращаясь в многостраничные талмуды, которые на практике читают только зануды-юристы, и только тогда, когда дело доходит до скандала и суда.

Откровенно говоря, я бы предпочла, чтобы законодатель «протрезвел», вспомнил, что он сам в свободное от законотворчества время делает в интернете, и ответил для начала на простые житейские вопросы: Является ли размещение ПДн в открытой учётной записи в социальной сети согласием по умолчанию на их дальнейшее распространение и повторную обработку в самых различных целях (по логике законодателя, нет)? И если нет, является ли теперь нарушением закона «О персональных данных» любое нажатие кнопки «репост», «ретвит» и т.п.?

Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=382687 

Комментариев нет:

Отправить комментарий