Одна из первых вещей, с которой сталкивается оператор персональных данных, это разработка формы согласия субъекта ПД на обработку его персональных данных. Этот документ может быть самостоятельным или же выступать приложением к уже существующим документам (например трудовой договор, договор оказания услуг и т.д.) В этой статье мы подробно разберем тему разработки согласия на обработку персональных данных, в каких случаях оно обязательно, сколько целей необходимо указывать в согласии, нужно ли разрабатывать отдельное согласие для каждой категории субъектов персональных данных и т.д. Для тех же, кто уже сталкивался с разработкой согласия на обработку персональных данных и разрабатывал организационно-распорядительную документацию самостоятельно, рекомендуем провести внутренний аудит персональных данных  на предмет корректности разработанной документации и актуальности прописанных ранее в документах процессов.

Начнем мы с обзора требований Федерального закона № 152 «О персональных данных». Согласно ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных настоящим Федеральным законом.

Т.е. уже сейчас можно сделать вывод, что наличие согласия в большинстве случаев является обязательным требованием. Конечно есть ряд исключений, они приведены в пунктах 2 — 11 части 1 статьи 6. Давайте разберем их сразу, может именно в Вашей ситуации получать согласие субъекта персональных данных вовсе не требуется.

Что же такое согласие на обработку персональных данных?

Согласие на обработку персональных данных – это добровольное решение субъекта ПД предоставить Оператору ПД свои персональные данные для обработки на срок подразумевающий достижение заранее определенных целей.

Очень важно отметить, что обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона, возлагается на оператора.

Получите первичную консультацию по составлению согласия на обработку персональных данных обратившись на почту  или позвонив нам по номеру телефона +7 (495) 782-69-88

Когда согласие на обработку персональных данных не требуется

Мы не будем перечислять все пункты, когда обработка персональных данных допускается баз согласия субъекта ПД, а остановимся на самых интересных. Итак, согласие на обработку ПД не требуется в случаях, когда:

  1. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

Другими словами, если Вас, как оператора, работать с персональными данными обязывает законодательство РФ (например ФЗ-209 от 21 июля 2014 г. обязывает участников сектора ЖКХ передавать персональные данные жильцов в Государственную информационную систему ГИС ЖКХ), то для достижения этих целей согласие на обработку персональных данных можно не брать.

  1. Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг

В данном случае хорошим примером может послужить передача персональных данных работников в: ПФР, ФНС, ФСС и др.

  1. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

По Российскому законодательству (Федеральный закон от 23.07.2010 N 176-ФЗ) выгодоприобретатель — лицо, к выгоде которого действует клиент, в том числе на основании агентского договора, договоров поручения, комиссии и доверительного управления, при проведении операций с денежными средствами и иным имуществом. ( В случае доверительной собственности лицо, получающее доходы от траста)
В страховании, лицо, установленное законом или назначенное страхователем для получения страховых выплат по договору страхования.)

  1. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

В данном случае все достаточно понятно, в качестве примера можно привести ситуацию, когда в приемный покой привозят человека без сознания или же без документов.

  1. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  1. Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

 

  1. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);

С общедоступными источниками не все так очевидно, как может показаться на первый взгляд. Рекомендуем прочитать нашу статью на тему персональные данные субъекта ПД и общедоступные источники информации).

Во всех перечисленных выше ситуациях согласие на обработку персональных данных можно не брать. Но, как правило, минимизировать обработку персональных данных только до этих конкретных обстоятельств практически не возможно, даже в рамках одной категории субъектов ПД.

Когда согласие на обработку персональных данных должно предоставляться только в письменной форме

В ряде случаев согласие на обработку персональных данных должно предоставляться только в письменной форме:

  1. Если оператор ведет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни,
  2. Если оператор ведет обработку сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных
  3. Если подразумевается трансграничная передача персональных данных
  4. В случаях принятия решения, порождающего юридические последствия в отношении субъекта персональных данных, на основании исключительно автоматизированной обработки его персональных данных

Согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью приравнивается к согласию содержащему собственноручную подпись субъекта персональных.

В ст. 9 Федерального закона «О персональных данных» предъявляются требования только к содержанию согласий, которые предоставляются в письменной форме. Данные требования имеет смысл применять и к составлению согласия, которое вы можете получать посредством других инструментов, например чек-бокса на сайте.
В любом случае у оператора должна иметься возможность в любой момент подтвердить факт получения согласия.

Согласие на обработку персональных данных, какие сведения должны присутствовать

  • img7-e1602068738637-
  • img16-2-e16020691478

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

  1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  2. фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  3. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  4. цель обработки персональных данных;
  5. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  6. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  7. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  8. срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  9. подпись субъекта персональных данных

Мы придерживаемся позиции, что оператор должен заранее, при составлении «Политики в области обработки персональных данных» определить категории субъектов персональных данных с которыми он регулярно взаимодействует. Это могут быть: работники, клиенты, соискатели, контрагенты, посетители сайта, работники по ГПД и т.д. У каждого оператора будет свой перечень категорий. Благодаря этому мы группируем все многообразие людей на более узкие профильные группы, для которых заявляются цели присущие только этой, строго определенной группе. соответственно для каждой группы будет свой атрибутивный состав персональных данных, для работников он один, а для клиентов он может быть совершенно другим. В зависимости от группы у Вас могут изменяться и сроки обработки, а также другие условия взаимодействия, в т.ч. передача третьим лицам или трансграничная передача. Это позволяет ограничится тремя-четырьмя типовыми формами согласий, при этом соблюсти все требования ФЗ -152.

 

Отвечая на вопрос из заголовка, можно  ли в согласии на обработку ПД  указывать несколько целей или надо указывать только одну? На одном из дней открытых дверей, проводимом регулятором, специалисты РКН прокомментировали этот вопрос. Суть ответа заключалась в том, что желательно придерживаться позиции: «Одно согласие-одна цель». Но зачастую такой подход труднореализуем из-за сложности процессов и множества целей, которые преследуют операторы. Поэтому группировка по категориям субъектов и разработка типовых согласий для каждой из групп видится оптимальным решением.

Отзыв согласия на обработку персональных данных

В соответствии с п.2 ст.9 закона № 152-ФЗ любой  гражданин имеет право отозвать свое ранее данное согласие на обработку персональных данных. При этом для отзыва согласия может быть сделан субъектом в любой момент, другими словами отзыв согласия не требует каких-либо оснований

Точный порядок действий при отзыве согласия в законе не прописан, поэтому Заявление готовится в свободной форме. Передать же заявление можно как лично, из рук в руки, так и посредством почты или в электронной форме.

Важно зафиксировать факт принятия заявления оператором, т.к. оператор должен прекратить обработку персональных данных в течение 30-ти дней с момента получения соответствующего заявления.

В случае отзыва субъектом согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

Судебная практика

По итогам проверок Роскомнадзора обработка персональных данных без наличия согласия субъекта ПД наиболее часто встречающееся нарушение.  Для примера приведем несколько дел, которые были рассмотрены в 2020г.:

Обработка персональных данных субъекта в отсутствие согласия

Письменное согласие субъекта не соответствует требованиям законодательства о персональных данных

Письменное согласие работников не соответствует требованиям законодательства

Отказ в предоставлении государственной услуги в отсутствие согласия на обработку персональных данных

Несколько целей в одном согласии на обработку персональных данных: возможно или нет

    Здесь можно задавать свои вопросы





    «Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности»

    Самое важное в одном абзаце

    В большинстве случаев одним из главных условий обработки чьх-либо персональных данных является наличие согласия на обработку персональных данных. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона, возлагается на оператора.