Приказ Роскомнадзора №18: требования к содержанию согласия на обработку персональных данных, разрешённых для распространения

Author Admin Reading time ~1 минут
Приказ Роскомнадзора №18: требования к содержанию согласия на обработку персональных данных, разрешённых для распространения

Приказ регламентирует, какое именно согласие должен получать оператор (организация или физлицо) у гражданина (субъекта персональных данных) для распространения его персональных данных в открытых источниках (например, на сайте, в соцсетях и т.д.), если сам гражданин даёт на это разрешение. Этот приказ введён в соответствии с изменениями в Федеральный закон № 152-ФЗ «О персональных данных», которые усилили защиту персональных данных при их открытой публикации.

Приказ обязателен к применению с 1 сентября 2021 года и до 1 сентября 2027 года.

Кому и где применяется

  • Всем операторам персональных данных (юридическим и физическим лицам, ИП), если они хотят получить согласие на публикацию/распространение персональных данных субъекта в открытом доступе.
  • Особенно актуален для интернет-сервисов, соцсетей, работодателей, сайтов госуслуг и любых ресурсов, где персональные данные могут стать общедоступными.

Главные требования приказа

В согласии на распространение данных обязательно должны быть:

  • ФИО субъекта и его контактные данные
  • Полные сведения об операторе (организации/ИП/физлице), который обрабатывает данные
  • Подробное описание информационного ресурса, на котором планируется размещение данных
  • Чёткие цели обработки персональных данных
  • Конкретные перечни категорий данных (какие именно персональные, специальные, биометрические данные будут доступны)
  • Описание условий, ограничений и запретов (по желанию субъекта: можно запретить либо ограничить распространение части своих данных)
  • Срок действия согласия
  • Условия передачи данных внутри организации или через сети (по желанию субъекта)

Чем отличается от обычного согласия на обработку

Важно! Это согласие — дополнительное к обычному согласию на обработку ПД. Его требуют только если планируется публичное распространение — например, публикация резюме на сайте, размещение фото в открытых источниках и т.д.

Без такого согласия оператор не имеет права размещать ПД в публичном доступе, только для внутренних нужд (например, обработка, хранение, рассылки и т.п.).

На что влияет приказ

Для операторов:

  • Ужесточение ответственности, если нет корректного и полного согласия — возможны штрафы, блокировка сайта, предписания Роскомнадзора.
  • Необходимость корректировки шаблонов согласий и их описательной части (особенно в онлайн-формах и документации).
  • В случаях проверки — Роскомнадзор требует наличие согласия, оформленного строго по этим требованиям.

Для граждан:

  • Больше контроля над своими данными в интернете.
  • Возможность указывать, какие именно данные можно публиковать, а какие нельзя, накладывать ограничения и условия, отзывать согласие.

Вывод

Документ для операторов — обязательный, нарушать нельзя. Для инфобезопасности и IT-специалистов — требует изменения бизнес-процессов по работе с согласиями, шаблонов форм, а также обучения сотрудников.