Согласия на обработку ПДн: правовые нюансы

В системе правового регулирования отношений в области обработки персональных данных (или ПДн) согласие субъекта персональных данных продолжает оставаться популярным, но одновременно и наиболее хрупким основанием для обработки персональных данных.

В этом материале анализируются актуальные правовые нюансы получения и оформления согласия, которые имеют ключевое значение для минимизации правовых рисков.

Принципы обработки персональных данных

Вне зависимости от формы и категории обрабатываемых персональных данных согласие на обработку персональных данных должно соответствовать фундаментальным принципам обработки персональных данных, поименованных в ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – 152-ФЗ). К числу таких принципов относится следующее:

1. Законная и справедливая основа обработки;
2. Ограничение обработки достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
5. Точность, актуальность и достаточность. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных персональных данных;
6. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем которого является субъект персональных данных;
7. Уничтожение либо обезличивание по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Общие требования к согласию на обработку персональных данных

Более подробно требования к согласиям на обработку персональных данных регламентированы статьей 9 ФЗ-152. К таким требованиям относится следующее:

1. Согласие должно быть дано свободно, своей волей и в своем интересе.

Данное требование означает, что Оператор не может отказывать в предоставлении чего-либо, что по закону или по сути своей не требует обработки каких-либо категорий ПДн, если субъект не дал согласие на такую обработку.

2. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

Данное требование означает, что текст согласия должен исчерпывающим и однозначным образом предоставлять всю информацию по порядку обработки персональных данных для той или иной заявляемой цели. Нарушением этого принципа являются, к примеру, указание размытой цели обработки ПДн, неполный перечень ПДн, отсутствие информации о передаче данных третьим лицам и др.

3. Согласие может быть дано в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Закон максимально расширяет и упрощает для лица возможность выразить свою волю, разрешая использовать для этого любой возможный способ. Главным и единственным обязательным критерием выбора такой формы является её способность подтвердить получение согласия.

Это означает, что лицо, дающее согласие на обработку персональных данных, должно выбрать такой способ коммуникации, а Оператор должен обеспечить наличие такого способа, который оставляет после себя доказуемый след, будь то письмо, электронное сообщение, запись разговора, проставление галочки в чек-боксе на сайте и др.

4. Согласие на обработку персональных данных должно быть оформлено отдельно от иной информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных;

5. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.

На практике именно на этом этапе компании чаще всего допускают ошибки: берут согласие там, где можно обойтись договором или законом, либо оформляют его формально, без доказуемости, четких целей и сроков.

Письменная форма согласия на обработку персональных данных

Как было упомянуто ранее, по общему правилу согласие на обработку персональных данных может быть дано в любой форме, позволяющей подтвердить факт его получения. Исключение составляют случаи, когда согласие обязательно должно быть получено в письменной форме по требованиям ч. 4 ст. 9 152-ФЗ:

1. согласие на включение персональных данных в общедоступные источники;
2. согласие на обработку специальных категорий ПДн;
3. согласие на обработку биометрических ПДн;
4. согласие на исключительно автоматизированную обработку ПДн, в результате которой принимаются юридически значимые решения в отношении субъекта ПДн;
5. согласие работника на передачу ПДн третьим лицам.

Необходимо отметить, что законодательство понимает под «письменной формой»:

В современном российском праве понятие «письменная форма» не ограничивается только традиционным бумажным документом с собственноручной подписью. В соответствии с ч. 4 ст. 9 152-ФЗ, равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

Таким образом, компании могут оптимизировать процесс сбора согласий на обработку персональных данных и уменьшить количество бумажных документов посредством введения электронных форм согласий.

Требования к письменной форме согласия на обработку персональных данных

Для того, чтобы согласие на обработку персональных данных, данное в письменной форме, считалось юридически действительным и соответствовало закону, оно должно отвечать ряду обязательных критериев. Исчерпывающий перечень критериев закреплен в ч. 4 ст. 9 152-ФЗ:

1) ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) ФИО, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или ФИО и адрес Оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Способы оптимизации процессов сбора персональных данных в компании

152-ФЗ содержит четкое требование – «одна цель, одно согласие». Это означает, что нельзя объединять в одном согласии несколько целей обработки ПДн. К примеру, нельзя собрать с работников одно согласие на передачу их персональных данных в банк для участия в зарплатном проекте и в страховую организацию для подключения сотрудника к ДМС.

На первый взгляд кажется, что подобное требование закона усложняет процессы сбора согласий и приводит к накоплению огромного массива документов. В таком случае на помощь бизнесу приходит модульное согласие. Модульное согласие на обработку ПДн начинается с реквизитов Оператора и субъекта персональных данных, требуемых в силу ч. 4 ст. 9 152-ФЗ.

Далее описываются все цели обработки ПДн, на которые Оператор запрашивает согласие, с указанием перечня ПДн, субъектов персональных данных. Под каждую цель отводится отдельный блок и (или) строка. Например, один модуль может касаться обработки ПДн для оформления ДМС, второй для зарплатного проекта, третий для предоставления служебного транспорта и другое.

После каждого блока или строки обязательно должно быть место для подписи работника. Она подтвердит, что сотрудник ознакомился с согласием, осознает последствия и знает, какие ПДн и для каких целей будут использованы. Подпись защитит бизнес при возникновении претензий со стороны субъектов или контролирующих органов.

Рекомендации для бизнеса при работе с согласиями на обработку ПДн

1. Провести аудит процессов обработки персональных данных в компании и выявить правовые основания обработки ПДн

Это позволит определить, необходимо ли запрашивать согласия в тех или иных случаях, или бизнес может обрабатывать персональные данные в силу других условий. Подробнее о таких случаях в отношении обработки персональных данных, которые не относятся к биометрическим или специальным категориям, вы можете прочитать тут (вставить сюда ссылку на статью, а эту надпись убрать: Обработка ПДн без согласия: когда это допустимо).

2. Проверить шаблоны согласий на обработку персональных данных на соответствие 152-ФЗ

Неполное информирование субъектов данных о целях, объеме и сроках обработки снижает прозрачность и легитимность согласия, а также нарушает права субъектов. Запрашивание у субъектов избыточных персональных данных, обработка которых не требуется для достижения заявленной цели, также грозит штрафами для бизнеса. Что должно содержаться в согласии:

2.1. Четкая цель обработки ПДн.

Неправильная формулировка: ведение хозяйственной деятельности (обширная цель)

Правильная формулировка: оформление полисов ДМС для сотрудников

2.2. Закрытый перечень обрабатываемых ПДн;

2.3. Закрытый перечень действий, осуществляемых с ПДн;

2.4. Четкие сроки обработки персональных данных, определение момента окончания такой обработки;

2.5. Определение порядка отзыва согласий на обработку ПДн: указание используемых для этого каналов связи.

3. Ввести в компании модульное согласие на обработку ПДн

Даже если с вашими шаблонами все в порядке, введение модульного согласия может сэкономить время как бизнесу (вам), так и вашим работникам, партнерам и контрагентам. Компания «Б-152» специализируется на разработке таких модульных согласий, которые идеально подстраиваются под ваши бизнес-процессы.

4. Обеспечить получение и хранение доказательств получения согласий на обработку ПДн

Бумажные версии подписываемых согласий необходимо хранить в компании в специально отведенных запираемых местах (шкафы, сейфы), чтобы исключить возможность несанкционированного доступа и потери. Электронные версии согласий необходимо хранить в системах электронного документооборота с ограниченным доступом сотрудников. При сборе ПДн через сайт (через проставление галочки в чек-боксе) необходимо обеспечить привязку чекбокса к логированию (IP, дата, время), иначе Оператор не сможет доказать факт получения согласия. Галочка в чекбоксе не должна быть проставлена по умолчанию, в противном случае будет нарушен принцип добровольности и сознательности дачи такого согласия.

5. Определить, кто из сотрудников ответственен за отслеживание поступающих запросов от субъектов персональных данных (в т.ч. отзывов согласий на обработку ПДн)

В Telegram-канале мы регулярно разбираем пограничные кейсы по согласию:

— когда «одна цель – одно согласие» действительно обязательно,
— как регулятор смотрит на модульные формы,
— какие формулировки чаще всего становятся основанием для штрафов,
— что проверяют при жалобах и выездных проверках.

Работа с согласием на обработку персональных данных требует сбалансированного подхода. С одной стороны – неукоснительное соблюдение всех формальных требований закона, с другой – внедрение практичных решений, таких как модульные согласия.

Такой подход позволяет не только минимизировать правовые риски, но и выстроить прозрачные и доверительные отношения с клиентами и сотрудниками, одновременно оптимизируя внутренние бизнес-процессы компании.