Согласие на обработку персональных данных: виды и формы

23/05/24

Б-152

Согласие на обработку персональных данных: виды и формы

Если взять любого сотрудника любой компании (конечно, не специалиста Privacy) и спросить его, на каком основании обычно обрабатываются персональные данные того или иного человека, скорее всего, он ответит – согласия. И действительно – согласия на обработку берут обычно всегда и даже тогда, когда объективно в этом нет необходимости и есть иные основания для обработки данных.

Согласие на обработку персональных данных действительно является одним из оснований такой обработки – это нашло свое отражение не только в Федеральном законе № 152-ФЗ «О персональных данных», действующем на территории РФ, но и GDPR (General Data Protection Regulation) –который регулирует работу с персональными данными на территории Евросоюза и данных граждан Евросоюза, а также является первоисточником для разработки почти всего мирового локального законодательства в области персональных данных – в том числе и в России.

При этом подход к формированию такого документа и его изначальные цели в текущее время именно в российских реалиях несколько искажаются – что периодически и пытается исправить государство, принимая различные поправки к Закону о персональных данных и Роскомнадзор – выпуская разнообразные разъяснения и комментарии.

В данной статье рассматривается согласие на обработку персональных данных как одно из оснований обработки персональных данных, виды и формы таких согласий, а также мы постарались дать общее представление о формировании такого документа для специалистов, отвечающих за работу с персональными данными в компаниях и для всех, кому интересны вопросы работы с персональными данными.

Согласно ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обработка персональных данных осуществляется с согласия субъекта персональных данных, да исключением случаев, предусмотренных законом.

Унифицированной формы согласия на обработку персональных данных не существует – каждый оператор разрабатывает такую форму самостоятельно, с учетом требований 152-ФЗ «О персональных данных». Ниже перечислим некоторые виды согласий, которые часто используются в текущей работе компаний:

Форма согласия может быть как обязательной письменной (требования к такой форме, точнее, ее обязательным элементам, установлены ч. 4 ст. 9 Федерального закона № 152-ФЗ «О персональных данных»), так и формой, на которую требования ч. 4 ст. 9 не распространяются. В законе есть положение о том, что согласие может быть взято в любой форме, позволяющей подтвердить его получение – на практике это часто используется операторами, когда субъекты дают такое согласие в форме «галочки» под электронной формой документа.

Здесь хотелось бы обратить внимание, что при составлении подобной формы согласия для сайтов операторы часто идут по пути указания нескольких целей обработки (а для передачи – указания нескольких лиц или даже ссылки на перечень, содержащий данные таких третьих лиц).

Это является допустимым, но необходимо помнить, что согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Для этого лучше для каждой цели определять свой набор персональных данных, в рамках которой они обрабатываются, и, разумеется, не включать туда цели, которые могут быть применимы только в рамках оформления обязательной письменной формы согласия, подробнее о которой далее.

Рассмотрим, в каких случаях применяется обязательная письменная форма согласия, которая составляется в соответствии с требованиями ч. 4 ст. 9 Федерального закона «О персональных данных». Таких случаев несколько:

1. Согласие на получение персональных данных сотрудников из внешних источников (п. 3 ст. 86 ТК РФ) – сейчас эта статья практически не применяется, вместо нее используется ст. 10.1 Федерального закона «О персональных данных»;

2. Согласие на передачу персональных данных сотрудников (ст. 88 ТК РФ);

3. Согласие на обработку специальных категорий персональных данных (п. 1 ч. 2 ст. 10 Федерального закона «О персональных данных»;

4. Согласие на обработку биометрических персональных данных (ч. 1 ст. 11 Федерального закона № 152-ФЗ «О персональных данных»);

5. Согласие на использование автоматизированных методов обработки персональных данных для принятия юридически значимых решений, оказывающих влияние на правовое положение субъекта (ч. 2 ст. 16 Федерального закона «О персональных данных»);

6. Согласие на размещение персональных данных в открытых источниках (ч. 1 ст. 8 Федерального закона «О персональных данных»).

Во всех случаях не следует формально подходить к вопросу оформления согласий. Для того, чтобы соблюдать принципы обработки и делать ее прозрачной не только для себя и регулятора, но и для субъекта, необходимо в каждом случае оценивать объем обрабатываемых данных, цели обработки и разумные сроки достижения таких целей – это позволит избежать предписаний и штрафов со стороны регулятора, которые могут выноситься даже без запроса информации у оператора (например, при визуальной проверке сайта), а также занимать уверенную позицию в случае запросов как со стороны гос.органов, так и со стороны субъектов.

Оставить заявку на консультацию по разработке согласия на обработку ПДн

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме