Должна ли компания информировать субъектов о сборе персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, должна. Закон требует, чтобы обработка персональных данных была прозрачной и субъект понимал, кто, для чего и каким образом использует его информацию. Компания обязана заранее информировать субъектов о сборе ПДн — в явной форме и понятным языком.

Что именно нужно сообщить субъекту:

• наименование и адрес оператора (компании, ИП);
• цель обработки данных;
• категории собираемых ПДн (ФИО, телефон, e-mail, адрес и т. д.);
• способы обработки (сбор, хранение, передача, публикация и др.);
• срок обработки или критерии его определения;
• права субъекта ПДн;
• сведения о лицах, которым передаются данные (подрядчики, госорганы и т. п.).

Обычно такая информация размещается в Политике обработки персональных данных на сайте, а также включается в тексты согласий.

Обоснование по законодательству

• Ст. 18 ФЗ-152 — оператор обязан предоставить субъекту информацию об обработке ПДн до начала обработки.
• Ст. 14 ФЗ-152 — субъект имеет право знать о целях, правовых основаниях и действиях с его ПДн.
• Ст. 6 ФЗ-152 — согласие субъекта должно быть конкретным и информированным, а значит, без информации о целях и методах оно считается недействительным.

Практика проверок Роскомнадзора

В интернет-магазине собирали телефоны и e-mail покупателей через форму заказа, но на сайте не было политики обработки ПДн. Роскомнадзор назначил штраф за отсутствие информирования.

В образовательной организации при приёме студентов не предоставляли разъяснений, какие данные будут собираться и зачем. Проверка подтвердила нарушение ст. 18 ФЗ-152.

Важный нюанс

Информировать нужно до начала обработки. Нельзя собирать данные, а потом объяснять, зачем они нужны.

Информация должна быть доступной и понятной — например, политика на сайте в открытом доступе. Если цели обработки меняются, субъектов также нужно уведомлять и получать новое согласие.

Рекомендации и выводы

Да, информирование субъектов о сборе ПДн обязательно. Организации нужно:

1. Разместить на сайте Политику обработки персональных данных.
2. Указывать цели обработки в формах сбора данных (регистрация, заявки, заказы).
3. Разработать шаблоны уведомлений и согласий.
4. Включить порядок информирования в комплект документов по 152-ФЗ.

Компания ICTech подготовит для вашей организации политику обработки ПДн, формы согласий и порядок информирования субъектов. Это позволит соблюдать закон, исключить претензии Роскомнадзора и укрепить доверие клиентов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге