Согласием на обработку персональных данных человек подтверждает, что добровольно готов передать оператору свою личную информацию. Как получить такое согласие и не забыть обо всех требованиях и изменениях закона — рассказали в статье. Еще подготовили образцы согласия — скачивайте и экономьте время.
В этой статье:
В каких случаях можно обрабатывать персональные данные без согласия субъекта и когда оно обязательно
Какие требования к согласию на обработку персональных данных указаны в законе
Что такое согласие на обработку персональных данных, разрешенных для распространения, и в каких случаях его получать[БОВ1]
В каких случаях можно обрабатывать персональные данные без согласия субъекта
Можете обрабатывать персональные данные без согласия субъекта, когда (пп. 2–11 ч. 1 ст. 6 Закона № 152-ФЗ):
заключаете договор по инициативе гражданина или договор, по которому он будет выгодоприобретателем или поручителем;исполняете договор, стороной которого он будет выгодоприобретателем или поручителем, по которому является гражданин;человек выполняет функции, которые возложены по закону;данные нужны для того, чтобы защищать права и законные интересы либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина.
Во всех остальных случаях нужно согласие на обработку персональных данных.
Какие требования к согласию на обработку персональных данных установлены законом
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. В настоящее время ни в законе, ни в судебной практике нет точного определения этих понятий. Считаем, данная формулировка говорит о том, что оно должно быть четким, понятным и недвусмысленным. Субъект, давая согласие, должен понимать, на что именно он соглашается (ч. 1 ст. 9 Закона № 152-ФЗ).
В какой форме нужно получать согласие на обработку персональных данных
Согласие на обработку персональных данных человек или представитель может дать в любой форме, которая позволяет подтвердить факт его получения. Исключение: конкретная форма предусмотрена законом (ч. 1 ст. 9 Закона № 152-ФЗ).
Письменная форма
Есть случаи, когда обязательно нужно получать согласие в письменной форме:
для обработки специальных персональных данных (ч. 2 ст. 10 Закона № 152-ФЗ); для обработки биометрических персональных данных (ч. 1 ст. 11 Закона № 152-ФЗ); для создания общедоступных источников (ч. 1 ст. 8 Закона № 152-ФЗ);если решение, порождающее юридические последствия в отношении субъекта или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных (ч. 2 ст. 16 Закона № 152-ФЗ).
Требования к письменному согласию прописаны в ч. 4 ст. 9 Закона № 152-ФЗ.
Форма: Согласие на обработку персональных данных
Другие формы
Когда необязательно соблюдать письменную форму, согласие можно получить в любой удобной форме. Главное – это возможность подтвердить факт его получения (п. 3 ст. 9 Закона № 152-ФЗ).
Примеры форм:
- Чек-бокс на сайте
- Код подтверждения в sms-сообщении
- Переход по ссылке, направленной на электронную почту
На практике встречаются ситуации, когда согласие включают в текст договора. Но данный способ может быть небезопасен. Контролирующий орган или суд могут признать такое согласие не соответствующим требованиям ст. 9 Закона № 152-ФЗ. Кроме того, в случае заключения договора с потребителем такое условие может быть признано как ухудшающее его права (ст. 16 Закона о защите прав потребителей).
Пример из судебной практики
Стороны заключили договор о выдаче независимой гарантии. В него включили условие, что должник, заключая договор о предоставлении независимой гарантии, предоставляет гаранту и третьим лицам согласие на обработку персональных данных должника. Это обнаружили контролеры. Компанию привлекли к административной ответственности за то, что в договор включили условия, ущемляющие права потребителей (ч. 2 ст. 14.8 КоАП РФ). Общество не согласилось со штрафом и обратилось в суд.
Позиция суда. Согласие потребителя на обработку персональных данных не отвечает требованиям ч. 4 ст. 9 Закона № 152-ФЗ. Кроме того, из условия договора невозможно установить, кому будут передавать персональные данные потребителя в дальнейшем (Постановление Арбитражного суда Московского округа от 03.02.2023 № Ф05-35488/2022 по делу № А40-65677/2022).
Как получить согласие на обработку персональных данных работников
Чтобы обрабатывать персональные данные в рамках трудовых отношений, нужно согласие работника. Целесообразно оформить его письменно. Ведь в спорной ситуации доказать, что согласие получали, должен работодатель (ч. 3 ст. 9 Закона № 152-ФЗ),
Закон допускает включить согласие на обработку персональных данных в трудовой договор по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 № 858). Такую форму вправе использовать микропредприятия и некоммерческие организации, которые соответствуют критериям из ст. 309.1 ТК РФ. В форме прямо предусмотрено соответствующее положение.
Образец типового трудового договора с условием обработки персональных данных
В остальных случаях рекомендуем получать согласие отдельным документом. Включение такого условия в трудовой договор сопряжено определенными рисками. Например, суд или контролирующий орган может посчитать, что согласие дали вынуждено и оно не отвечает требованиям ст. 9 Закона № 152-ФЗ. Кроме того, если работник отзывает согласие, которое включено в трудовой договор, необходимо оформлять дополнительное соглашение, поскольку изменились условия, отраженные в документе.
Образец: Согласие работника на обработку персональных данных
Что такое согласие на обработку персональных данных, разрешенных для распространения. В каких случаях его получать
Согласие на обработку персональных данных, разрешенных для распространения, получайте, если планируете не только обрабатывать, но и распространять данные субъектов. Например, когда публикуете информацию о сотрудниках на сайте или на Доске почета, размещаете на сайте отзывы клиентов — физических лиц с указанием информации о них.
Согласие на обработку персональных данных, разрешенных для распространения, получают отдельно от других согласий. Если субъект согласился на обработку персональных данных, но не дал согласия на их распространение, оператор может их обрабатывать, хранить, уточнять, использовать, но не имеет права передавать их кому-либо. Субъект самостоятельно выбирает, какую информацию о себе разрешает распространять. Например, он может предоставить для обработки Ф.И.О., дату рождения, СНИЛС, сведения об образовании, а дать разрешение на распространение только Ф.И.О. и сведения об образовании.
Согласие на распространение можно предоставить оператору следующими способами (п. 6 ст. 10.1 Закона № 152-ФЗ):
на бумаге с личной подписью;через информационную систему Роскомнадзора.
К данному документу применяют особые требования, указанные в Приказе Роскомнадзора от 24.02.2021 № 18. На портале Роскомнадзора функционирует интернет-сервис для подготовки формы (https://pd.rkn.gov.ru/soglasiya/maket/).
Образец: Согласие на обработку персональных данных, разрешенных для распространения
Какие еще требования должен исполнять оператор персональных данных
Готовое решение: Каковы обязанности оператора персональных данных
Готовое решение: В каком порядке должна осуществляться обработка персональных данных физлиц
Готовое решение: Какие существуют требования к обработке персональных данных работников организации