Согласия на обработку ПДн: правовые нюансы

02/03/26

Б-152

В системе правового регулирования отношений в области обработки персональных данных (или ПДн) согласие субъекта персональных данных продолжает оставаться популярным, но одновременно и наиболее хрупким основанием для обработки персональных данных. 

В этом материале анализируются актуальные правовые нюансы получения и оформления согласия, которые имеют ключевое значение для минимизации правовых рисков.

Вне зависимости от формы и категории обрабатываемых персональных данных, согласие на обработку персональных данных должно соответствовать фундаментальным принципам обработки персональных данных, поименованных в ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — 152-ФЗ). К числу таких принципов относится следующее: 

Более подробно требования к согласиям на обработку персональных данных регламентированы статьей 9 ФЗ-152. К таким требованиям относится следующее:

Данное требование означает, что Оператор не может отказывать в предоставлении чего-либо, что по закону или по сути своей не требует обработки каких-либо категорий ПДн, если субъект не дал согласие на такую обработку.

Данное требование означает, что текст согласия должен исчерпывающим и однозначным образом предоставлять всю информацию по порядку обработки персональных данных для той или иной заявляемой цели. Нарушением этого принципа являются, к примеру, указание размытой цели обработки ПДн, неполный перечень ПДн, отсутствие информации о передаче данных третьим лицам и др.

Закон максимально расширяет и упрощает для лица возможность выразить свою волю, разрешая использовать для этого любой возможный способ. Главным и единственным обязательным критерием выбора такой формы является ее способность подтвердить получение согласия. 

Это означает, что лицо, дающее согласие на обработку персональных данных, должно выбрать такой способ коммуникации, а Оператор должен обеспечить наличие такого способа, который оставляет после себя доказуемый след, будь то письмо, электронное сообщение, запись разговора, проставление галочки в чек-боксе на сайте и др. 

На практике именно на этом этапе компании чаще всего допускают ошибки: берут согласие там, где можно обойтись договором или законом, либо оформляют его формально, без доказуемости, четких целей и сроков.

На практике отказ или отзыв согласия чаще всего ломает процессы там, где изначально неверно выбрано правовое основание обработки.

Если нужно разобрать ваши бизнес-сценарии и понять, где согласие действительно необходимо, лучше сделать это в прикладном формате

Как было упомянуто ранее, по общему правилу согласие на обработку персональных данных может быть дано в любой форме, позволяющей подтвердить факт его получения. Исключение составляют случаи, когда согласие обязательно должно быть получено в письменной форме по требованиям ч. 4 ст. 9 ФЗ 152-ФЗ: 

Необходимо отметить, что законодательство понимает под «письменной формой». 

В современном российском праве понятие «письменная форма» не ограничивается только традиционным бумажным документом с собственноручной подписью. В соответствии с ч. 4 ст. 9 152-ФЗ равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. 

Таким образом, компании могут оптимизировать процесс сбора согласий на обработку персональных данных и уменьшить количество бумажных документов посредством введения электронных форм согласий. 

Для того, чтобы согласие на обработку персональных данных, данное в письменной форме, считалось юридически действительным и соответствовало закону, оно должно отвечать ряду обязательных критериев. Исчерпывающий перечень критериев закреплен в  ч. 4 ст. 9 152-ФЗ:

1) ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) ФИО, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или ФИО и адрес Оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

152-ФЗ содержит четкое требование — «одна цель, одно согласие». Это означает, что нельзя объединять в одном согласии несколько целей обработки ПДн. К примеру, нельзя собрать с работников одно согласие на передачу их персональных данных в банк для участия в зарплатном проекте и в страховую организацию для подключения сотрудника к ДМС. 

На первый взгляд кажется, что подобное требование закона усложняет процессы сбора согласий и приводит к накоплению огромного массива документов. В таком случае на помощь бизнесу приходит модульное согласие. Модульное согласие на обработку ПД начинается с реквизитов Оператора и субъекта персональных данных, требуемых в силу ч. 4 ст. 9 152-ФЗ. 

Далее описываются все цели обработки ПДн, на которые Оператор запрашивает согласие, с указанием перечня ПДн, субъектов персональных данных. Под каждую цель отводится отдельный блок и (или) строка. Например, один модуль может касаться обработки ПДн для оформления ДМС, второй для зарплатного проекта, третий для предоставления служебного транспорта и иное. 

После каждого блока или строки обязательно должно быть место для подписи работника. Она подтвердит, что сотрудник ознакомился с согласием, осознает последствия и знает, какие ПДн и для каких целей будут использованы. Подпись защитит бизнес при возникновении претензий со стороны субъектов или контролирующих органов.

Это позволит определить, необходимо ли запрашивать согласия в тех или иных случаях, или бизнес может обрабатывать персональные данные в силу других условий. Подробнее о таких случаях в отношении обработки персональных данных, которые не относятся к биометрическим или специальной категории, вы можете прочитать тут

Неполное информирование субъектов данных о целях, объеме и сроках обработки снижает прозрачность и легитимность согласия, а также нарушает права субъектов. Запрашивание у субъектов избыточных персональных данных, обработка которых не требуется для достижения заявленной цели, также грозит штрафами для бизнеса. Что должно содержаться в согласии:

2.1. Четкая цель обработки ПДн.

Неправильная формулировка: ведение хозяйственной деятельности (обширная цель)

Правильная формулировка: оформление полисов ДМС для сотрудников

2.2. Закрытый перечень обрабатываемых ПДн;

2.3. Закрытый перечень действий, осуществляемых с ПДн;

2.4. Четкие сроки обработки персональных данных, определение момента окончания такой обработки;

2.5. Определение порядка отзыва согласий на обработку ПДн: указание используемых для этого каналов связи.

Даже если с вашими шаблонами все в порядке, введение модульного согласия может сэкономить время как бизнесу (вам), так и вашим работникам, партнерами и контрагентам. Компания «Б-152» специализируется на разработке таких модульных согласий, которые идеально подстраиваются под ваши бизнес-процессы.

Бумажные версии подписываемых согласий необходимо хранить в компании в специально отведенных запираемых местах (шкафы, сейфы), чтобы исключить возможность несанкционированного доступа и потери.

Электронные версии согласий необходимо хранить в системах электронного документооборота с ограниченным доступов сотрудников.

При сборе ПДн через сайт (через проставление галочки в чек-боксе) необходимо обеспечить привязку чекбокса к логированию (IP, дата, время), иначе Оператор не сможет доказать факт получения согласия. Галочка в чекбоксе не должна быть проставлена по умолчанию, в противном случае будет нарушен принцип добровольности и сознательности дачи такого согласия. 

Работа с согласием на обработку персональных данных требует сбалансированного подхода. С одной стороны — неукоснительное соблюдение всех формальных требований закона, с другой — внедрение практичных решений, таких как модульные согласия.

Такой подход позволяет не только минимизировать правовые риски, но и выстроить прозрачные и доверительные отношения с клиентами и сотрудниками, одновременно оптимизируя внутренние бизнес-процессы компании.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

В Telegram-канале мы регулярно разбираем пограничные кейсы по согласию:
— когда «одна цель — одно согласие» действительно обязательно,
— как регулятор смотрит на модульные формы,
— какие формулировки чаще всего становятся основанием для штрафов,
— что проверяют при жалобах и выездных проверках.

Подписаться на канал.

Материалы по теме