Как составить согласие на обработку данных

Вопрос

Что нужно учесть при составлении согласия на обработку персональных данных?

Ответ

1.    Определить, являются ли сведения и информация, которую вы получаете от физических лиц, персональными данными (далее – ПД).

ПД – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее – субъект ПД).

2.    Определить, являются ли ваши действия обработкой ПД.

Обработкой ПД являются любые действия или операции, которые организация (оператор ПД) проводит с ними (автоматизированным или неавтоматизированным способом), в том числе сбор, систематизация, хранение, уточнение, использование, распространение, удаление.

3.    Определить цель обработки ПД.

До начала обработки ПД необходимо определить законную, заранее определенную и конкретную цель, закрепив ее в самом соглашении в локальных нормативных актах (например, «осуществление рекламной СМС-рассылки»).

4.     Получить согласие от субъекта ПД на обработку.

Рекомендуется получать согласие в письменной форме, включив в указанную форму:

- ФИО субъекта ПД, паспортные данные

- наименование оператора ПД;

- перечень обрабатываемых ПД;

- способы обработки ПД;

- действия, совершаемые с ПД;

- цели обработки ПД;

- срок согласия на обработку ПД (порядок отзыва согласия).

Если Вы получаете согласие через форму на сайте, обязательно убедитесь в технической возможности подтверждения получения согласия.

4.1.  В случае передачи третьим лицам (организациям) прав по обработке ПД необходимо включить в форму согласия наименования (реквизиты) таких организаций,осуществляющих обработку ПД по поручению  оператора.

5.     Контролировать в ходе обработки ПД соблюдение целевого характера обработки.

Это подразумевает, что организация (оператор) не должна обрабатывать избыточные данные (никак не связанные с осуществляемой деятельностью); оператор должен обеспечивать точность и актуальность ПД и вести раздельные базы ПД, если цели обработки не совместимы между собой.