Das Strafgeld für das Fehlen oder die Unrichtigkeit einer Einwilligung in die Verarbeitung personenbezogener Daten wurde erhöht. Es beträgt nun 700.000 Rubel für ein erstes Vergehen und 1,5 Millionen Rubel für ein wiederholtes Vergehen.
In diesem Artikel gehen wir darauf ein, wie man eine schriftliche Einwilligung am sichersten abfasst, welche Fehler am häufigsten vorkommen und was im Falle von Forderungen von Roskomnadzor helfen kann.
In der Praxis prüft Roskomnadzor, wie das Formular die notwendigen Bestimmungen des Gesetzes «Über personenbezogene Daten» widerspiegelt.
Angabe der betroffenen Person. Das Gesetz schreibt vor, dass Passdaten (Name, Anmeldeadresse, Nummer, Datum, ausstellende Behörde des Dokuments) angegeben werden müssen. Es wird nicht empfohlen, Daten anzugeben, die unnötig beschrieben werden, z. B. E-Mail, Telefonnummer, Wohnanschrift, da Roskomnadzor dies als Sammlung personenbezogener Daten betrachten könnte, die nicht gesetzlich vorgeschrieben sind.
Angabe des Betreibers. Wir empfehlen in diesem Fall, sich nicht auf die gesetzlichen Anforderungen zu beschränken (Handelsname der Gesellschaft, Adresse). Es ist sinnvoll, Steuer-Identnummer und die staatliche Registriergrundnummer (ОГРН) anzugeben, da sie Sie davor warnen, die Adresse oder den Namen zu ändern. Wenn die Änderungen nicht in der Vereinbarung vorgenommen werden, kann Roskomnadzor dies als Unmöglichkeit ansehen, den Betreiber zu identifizieren, was ebenfalls einen Verstoß darstellt.
Zweck des Vertrages. Roskomnadzor verlangt, dass ein Vertrag einen bestimmten Zweck erfüllt. Die Behörde ist der Ansicht, dass das Gesetz einen einzigen Zweck vorsieht. Sie können den einzigen Zweck auch um Aufgaben erweitern, die keiner schriftlichen Zustimmung bedürfen. Es ist auch ratsam, den Zweck so konkret wie möglich zu formulieren und detailliert zu beschreiben. Handelt es sich um ein Arbeitsverhältnis, können Sie z. B. angeben: «Durchführung einer Leistungsbeurteilung des Arbeitnehmers», «Gewährung von Unternehmensleistungen», «Ausgabe von personalisierten Unternehmensprodukten».
Liste der Maßnahmen. In der Einwilligung muss die Liste der Maßnahmen, die der Betreiber durchzuführen beabsichtigt, erschöpfend angegeben werden. Es wird nicht empfohlen, alle Maßnahmen aus § 3 des Gesetzes «Über personenbezogene Daten» aufzunehmen, da Roskomnadzor hierauf achten kann. Am sichersten ist es, die Liste der Maßnahmen je nach den Erfordernissen der Vereinbarung anzupassen.
Wir empfehlen auch, die Begriffe «Verbreitung» und «Depersonalisierung» nicht zu verwenden. Die Verbreitung erfordert eine gesonderte Zustimmung und der Begriff «Depersonalisierung», da die Agentur der Meinung ist, dass kommerzielle Organisationen ein solches Verfahren nicht durchführen können, da das Gesetz keine Fälle vorsieht, in denen dies erforderlich ist (Roskomnadzor-Verfügung Nr. 18 vom 24.02.2021)
Gültigkeitsdauer der Vereinbarung. Roskomnadzor verlangt, dass der Vertrag eine bestimmte Laufzeit oder eine Kündigungsklausel hat. Es ist also nicht möglich, den Vertrag automatisch zu verlängern oder ihn unbefristet zu gestalten. Es wird auch empfohlen, keine lange Laufzeit für Verträge festzulegen, da das Gesetz verlangt, dass die Laufzeit in Abhängigkeit von den Funktionen, Befugnissen und Aufgaben des Betreibers festgelegt wird. Außerdem sollte die Laufzeit mit dem Zweck der Vereinbarung übereinstimmen.