Ваш Юрист
Обработка персональных данных, согласие, утечки, блокировка и жалобы в Роскомнадзор.
Согласие требуется, если обработка не подпадает под исключения: исполнение договора, обязанности по закону, защита жизни, публичные данные и др. Согласие должно быть конкретным, информированным и документально оформленным.
При сборе ПД оператор обязан сообщить цели, перечень данных, срок хранения и порядок отзыва согласия.
С 2017 года при нарушении требований к защите ПД оператор обязан уведомить Роскомнадзор в течение 24 часов. При возникновении угрозы правам субъектов — также уведомить субъектов.
За непредставление уведомления предусмотрена административная ответственность — штраф до 75 тыс. руб. для должностных лиц.
Субъект вправе: получать информацию об обработке, требовать уточнения или блокировки данных, обжаловать действия оператора в Роскомнадзор или суд, требовать удаления данных.
Оператор обязан ответить на запрос в течение 30 дней. При отказе можно подать жалобу в Роскомнадзор.
Направьте оператору письменный запрос о прекращении обработки и удалении данных. Оператор обязан рассмотреть в течение 30 дней и уведомить о принятых мерах.
Если оператор не реагирует — жалоба в Роскомнадзор. При обработке без согласия можно также обратиться в прокуратуру или суд.
Уведомление требуется для операторов, обрабатывающих ПД, за исключением случаев: обработка с согласия для конкретных целей, кадровый учёт, исполнение договора с субъектом и др.
Уведомление подаётся до начала обработки. За обработку без уведомления — штраф до 50 тыс. руб.
Cookies, позволяющие идентифицировать пользователя, считаются персональными данными. Для их использования при сборе необходимо согласие, если иное не следует из технической необходимости работы сайта.
Практика: баннер о cookies при первом посещении с кнопкой «Принять». Без согласия не следует размещать аналитические и рекламные cookies.
Работодатель вправе обрабатывать ПД работников без согласия для исполнения трудового договора: ФИО, паспорт, ИНН, данные об образовании, стаже и др. Согласие может потребоваться для данных о здоровье, биометрии и т.п.
Обработка должна соответствовать целям кадрового учёта и требованиям закона. Политика обработки ПД должна быть доведена до работников.
Жалоба подаётся на сайт Роскомнадзора, почтой или лично. Укажите оператора, суть нарушения, свои контактные данные и приложите доказательства.
Роскомнадзор проводит проверку в течение 30 дней. По итогам может вынести предписание об устранении нарушений и привлечь к административной ответственности.
Передача ПД в страны, обеспечивающие адекватную защиту (перечень утверждается Роскомнадзором), допускается. В иные страны — при наличии согласия субъекта или иных основаниях, предусмотренных законом.
Роскомнадзор ведёт реестр стран с адекватной защитой. При передаче в третьи страны нужно обеспечить соответствующие гарантии.
Для юрлиц: за обработку без согласия — до 75 тыс. руб.; за непринятие мер по защите — до 50 тыс. руб.; за непредставление информации субъекту — до 40 тыс. руб.
Повторные нарушения влекут увеличение штрафов. Роскомнадзор также вправе приостановить обработку до устранения нарушений.
Письменно, в том числе в электронной форме. Должно содержать цель, перечень данных, срок действия, сведения об операторе. Можно отозвать в любой момент.
Устное согласие допустимо только если зафиксировано иным способом.
При трудоустройстве — нет, обработка в целях трудовых отношений допускается без согласия. При передаче третьим лицам — в зависимости от цели, чаще нужно согласие или законное основание.
Работодатель обязан уведомить Роскомнадзор о начале обработки, кроме исключений.
Уведомить Роскомнадзор в течение 24 часов с момента выявления. Уведомить субъектов данных, если это создаёт риск для их прав. Зафиксировать инцидент и принять меры.
Штраф за неуведомление — до 75 тыс. руб. для юрлиц.
Да, если работники уведомлены и цели обработки легитимны (безопасность, контроль доступа). Знаки о видеонаблюдении обязательны. Данные хранятся в пределах установленных сроков.
Скрытая съёмка без уведомления — нарушение, кроме случаев оперативно-розыскных мероприятий.
С 14 лет — с согласия самого ребёнка. До 14 лет — с согласия родителя или опекуна. Дополнительные ограничения для рекламы и маркетинга в отношении детей.
Обработка данных детей в образовании — по договору с родителем или законному основанию.
Операторы, обрабатывающие данные в неавтоматизированном виде или с особыми категориями. Исключения: обработка для трудовых отношений, по договору с субъектом и др.
Уведомление через личный кабинет на сайте Роскомнадзора.