А вы тоже берете согласие на обработку персональных данных при любом контакте с физическим лицом? Повышенная планка штрафов за отсутствие этого согласия напугала многих: до 700 000 рублей – это серьезная сумма для любой компании. Лучше перестраховаться, а как результат – специалисты иногда насчитывают до 70 разных вариантов согласий.
Честно говоря, это уже перебор. Тем более, что по закону согласия может вообще не быть. И да, штрафов в таких случаях тоже не будет. Просто согласие – далеко не единственное основание для обработки. Оно идет первым в перечне, но, как ни странно, в реальности оно должно применяться в последнюю очередь, если больше ни одно не подходит.
Работа с ПД должна начинаться не с согласия, а с вопроса «зачем?» Зачем вы вообще берете конкретно вот эти данные? Ответ – это та самая цель, которую хочет закон и Роскомнадзор. Зачастую эти цели – не ваше желание, а, например, требование каких-то нормативных актов.
И тогда согласие не нужно – закон требует собрать и обработать. Или в ситуации с договором: там тоже без согласия прекрасно можно обойтись, ведь сам договор и будет основанием для обработки.
Например, если при заключении трудового договора вы будете брать только те данные, которые ТК РФ предписывает, то согласие от работника вам тоже не понадобится. А вот если хочется про родственников до седьмого колена все выяснить – тогда нужно согласие. Закон не предусматривает сбор таких данных о сотрудниках, поэтому тут других оснований нет.
Также согласие всегда нужно, если персональные данные мы передаем третьей стороне, либо распространяем, т.е. делаем доступными неограниченному кругу лиц. Передача происходит, например, когда вы направляете сотрудников на внешнее обучение, и их ПД сообщаете учебному центру. Распространение – это ситуация, когда данные публикуются, например, на сайте компании.
Но даже если вы каждый шаг будете прикрывать согласием, не факт, что само это согласие не приведет к штрафам. Все давно привыкли к тому, что в этом документе одни большим блоком идет перечисление целей – всех, какие только смогли придумать, и отдельно – таким же блоком перечисление самих ПД.
Что к чему относится, какие ПД для какие целей, что надо, что не надо – все вместе. Кажется, что так точно ото всего застраховались, но нет. За такое согласие тоже можно получить штраф. Закон четко говорит о том, что в согласии должна быть указана цель обработки ПД – не цели! Вот за это Роскомнадзор и цепляется.
Как именно должно выглядеть согласие, чтобы за него не могли оштрафовать, а также в каких еще случаях оно вообще не нужно, мы поговорили на вебинаре.
