Разработаны требования к содержанию согласия на обработку ПД, разрешённых субъектом для распространения

Требования к содержанию согласия на обработку персональных данных (ПД), разрешённых субъектом персональных данных для распространения, опубликованы в среду для общественного обсуждения.

Документ разработан для исполнения положений Федерального закона от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Закон вступает в силу с 1 марта 2021 года, он определяет, что требования к содержанию согласия на обработку ПД, разрешённых субъектом ПД для распространения, устанавливает Роскомнадзор.

Проект приказа определяет, что согласие субъекта, т.е. владельца ПД, может быть предоставлено оператору ПД непосредственно или с использованием информационной системы Роскомнадзора.

Согласие оформляется на русском языке отдельно от иных согласий субъекта ПД на обработку его данных.

Согласие должно включать в себя следующую информацию:

1. Фамилия, имя, отчество (при наличии) субъекта ПД на русском языке (в русской транскрипции для иностранного гражданина и лица без гражданства).

2. Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных).

Номер телефона должен представлять собой абонентский номер подвижной радиотелефонной или фиксированной связи. Почтовый адрес указывается в соответствии со сведениями, содержащимися в Государственном адресном реестре (ФИАС).

3. Наименование или фамилия, имя, отчество (при наличии) и адрес оператора, получающего согласие субъекта ПД.

Указывается полное и сокращённое (при наличии) наименование оператора, осуществляющего обработку ПД, индивидуальный номер налогоплательщика (ИНН), а также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС) по направлениям деятельности.

Адрес оператора ПД указывается в соответствии со сведениями, содержащимися в ФИАС, с обязательным указанием субъекта РФ, населённого пункта (муниципального образования) в пределах которого находится адрес оператора ПД.

4. Цель (цели) обработки ПД.

Формулировки цели (целей) обработки ПД должны соответствовать положениям законодательства РФ, устанавливающим функции, полномочия и обязанности оператора ПД, и (или) документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД.

5. Категории и перечень ПД, на обработку которых дается согласие субъекта ПД.

Заполнение соответствующего поля осуществляется применительно к конкретному субъекту ПД по следующему образцу:

  • общие ПД (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
  • специальные категории ПД (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
  • биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).

Указание специальных категорий ПД и биометрических ПД допускается в случае предварительного получения оператором, осуществляющим обработку ПД, согласия на обработку ПД в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

6. Категории и перечень ПД, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов.

Указанное поле заполняется по желанию субъекта ПД без ограничений со стороны оператора, осуществляющего обработку ПД.

Документ предполагает возможность ограничить или запретить оператору ПД распространять и (или) предоставлять ПД неограниченному или определённому кругу лиц соответственно.

Дополнительно в согласии на обработку ПД могут быть указаны условия, при которых полученные ПД данные могут передаваться оператором, осуществляющим обработку ПД, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определённых сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

7. Срок, в течение которого действует согласие.

В указанном поле согласия должен быть отражен конкретный срок его действия (определённый период времени или дата окончания срока действия).

Не допускается указание положений об автоматической пролонгации срока действия согласия, а также определение срока его действия путём установления бессрочного статуса или указания на событие, наступление которого возможна в долгосрочной перспективе.

8. Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с ПД субъекта ПД.

Под «информационным ресурсом оператора» понимается веб-сайт (страница сайта) или каталог на сервере, где оператор хранит ПД субъекта ПД и откуда доступ к ПД может быть предоставлен неограниченному круг лиц.

Обсуждение документа продлится до 10 февраля.

СЛЕДУЮЩИЙ МАТЕРИАЛ РАЗДЕЛА "IT"