Согласие на обработку персональных данных представляет собой документ, который подтверждает решение гражданина передать оператору свою личную информацию для использования в определенных целях. Когда получать такое согласие обязательно, как его правильно оформить, расскажем в нашей статье. Также в ней можно ознакомиться с образцом заполнения документа и скачать бланк, доступный для заполнения.
Согласие на обработку персональных данных физического лица не требуется в случаях, приведенных в п. п. 2 — 11 ч. 1 ст. 6 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Например, оно не нужно, если обработка необходима для:
• заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем. Например, если индивидуальный предприниматель арендует у компании помещение и в договоре указываются его паспортные данные;
• исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин. Например, если запрашивается адрес гражданина для доставки ему товара;
• осуществления и выполнения функций, полномочий и обязанностей, которые возложены законодательством. Например, если продавец получает у клиента адрес его электронной почты, чтобы направить ему кассовый чек в электронной форме (Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ);
• осуществления прав и законных интересов (компании или третьих лиц) либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, если в целях обеспечения безопасности охранник записывает Ф.И.О. и паспортные данные посетителей.
В остальных случаях обработка персональных данных осуществляется с согласия гражданина (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Например, придется получить письменное согласие, если компания собирает данные граждан для маркетингового исследования или уступает требование к должнику — физическому лицу.
С 1 марта 2023 года в силу вступает Приказ Роскомнадзора «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных…» от 27.10.2022 № 178. В соответствии с ним операторы должны определить одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона № 152-ФЗ (п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ в редакции от 01.03.2023).
Высокая степень вреда устанавливается, в частности, при обработке персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому он является. А также для заключения договора по инициативе несовершеннолетнего или договора, по которому он будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством РФ.
Средняя степень вреда – в случае получения согласия на обработку персональных данных посредством реализации на официальном интернетовском сайте функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных.
Результаты оценки должны быть оформлены актом оценки вреда.
Целевой характер обработки персональных данных подразумевает, что она должна ограничиваться достижением конкретной цели (ч. 2 ст. 5 Закона № 152-ФЗ). То есть все действия со сведениями должны быть связаны с той целью, с которой они получены.
За обработку персональных данных, не совместимую с целями их сбора грозит административная ответственность. За первое нарушение (ч. 1 ст. 13.11 КоАП):
• компанию могут оштрафовать на сумму от 60 тыс. до 100 тыс. рублей;
• ее должностных лиц – от 10 тыс. до 20 тыс. рублей.
За повторное нарушение наказание будет серьезнее (ч. 1.1 ст. 13.11 КоАП):
• компании грозит штраф от 100 тыс. до 300 тыс. рублей;
• ее должностным лицам – от 25 тыс. до 50 тыс. рублей.
Цель обработки в согласии должна быть:
• законной;
• заранее определенной. Цель необходимо определить до начала обработки сведений и довести ее до гражданина, в том числе путем включения в согласие. Рекомендуем также закрепить ее в локальном акте, посвященном обработке данных. Цели обработки могут происходить из анализа правовых актов, которые регламентируют деятельность компании, целей фактически осуществляемой ею деятельности, а также деятельности, которая предусмотрена учредительными документами, а также из анализа конкретных бизнес-процессов в конкретных информационных системах персональных данных;
• конкретной. Чтобы у контролирующих органов не возникло вопросов, рекомендуем не использовать абстрактные формулировки. Например, если речь идет о повышении продаж путем СМС-рассылки, в качестве цели должно быть указано не «повышение продаж», а «осуществление рекламной СМС-рассылки».
С 1 сентября 2022 года согласие на обработку персональных данных должно отвечать таким требованиям, как (ч. 1 ст. 9 Закона № 152-ФЗ):
• конкретность;
• информированность;
• сознательность;
• предметность;
• однозначность.
Законодательно бланк согласия не утвержден, составить его можно в произвольной форме. Перечень сведений, которые должные быть отражены в согласии, приведен в ч. 4 ст. 9 Закона № 152-ФЗ. Это, в частности:
• ФИО, адрес физлица, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• ФИО, адрес представителя гражданина, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или другого документа, подтверждающего полномочия этого представителя (при получении согласия от представителя гражданина);
• название или ФИО, адрес оператора, получающего согласие на обработку данных;
• цель обработки сведений;
• перечень персональных данных, на обработку которых дается согласие;
• название или ФИО, адрес лица, осуществляющего обработку сведений по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки данных;
• срок, в течение которого действует согласие, а также способ его отзыва, если другое правило не установлено законом;
• подпись физлица-субъекта персональных данных или его представителя.
Согласие на обработку персональных данных ребенка может потребоваться, например:
• образовательным учреждениям для обработки данных о прохождении обучения, сдачи экзаменов, участии в олимпиадах;
• медучреждениям, если ребенок проходит осмотр или обследование;
• работодателю при устройстве несовершеннолетнего на работу;
• консульствам и представительствам зарубежных стран для оформления виз на выезд ребенка за границу и так далее.
В Законе № 152-ФЗ не указано, с какого возраста гражданин вправе выражать согласие на обработку сведений о себе самостоятельно. В нем лишь прописано, что при недееспособности субъекта согласие на обработку персональных данных дает его законный представитель (ч. 6 ст. 9 Закона № 152-ФЗ). Однако недееспособными считаются граждане, которые признаны таковыми судом, если они вследствие психического расстройства не могут понимать значение своих действий или руководить ими (п. 1 ст. 29 ГК РФ). Несовершеннолетние граждане таковыми не являются. В силу своего возраста они наделяются законом частичной дееспособностью, объем которой с возрастом расширяется.
Полагаем, что для решения вопроса о порядке обработки персональных данных несовершеннолетних следует руководствоваться ст. 26 и ст. 28 ГК РФ, ст. 64 СК РФ. Исходя из указанных норм, согласие на обработку персональных данных ребенка, не достигшего 14-летнего возраста, должен давать его законный представитель (родитель, опекун). Несовершеннолетние в возрасте от 14 до 18 лет могут давать разрешение на обработку сведений о себе в пределах установленного законодательством объема их дееспособности.
После вступления в брак или эмансипации несовершеннолетние, приобретая дееспособность в полном объеме, дают согласие на обработку своих персональных данных самостоятельно (ст. ст. 21, 27 ГК РФ).
Согласие, которое дается законным представителем ребенка, должно содержать, помимо общих реквизитов:
• ФИО и адрес представителя;
• реквизиты документа, удостоверяющего его личность;
• реквизиты документа, подтверждающего полномочия этого представителя (свидетельства о рождении (усыновлении), решения суда или органа опеки и попечительства).
С учетом тяжести потенциальных негативных последствий возможного несоблюдения контролируемым лицом обязательных требований обработка персональных данных несовершеннолетних лиц в случаях, не предусмотренных федеральными законами, относится к группе тяжести «Б» (пп. «б» п. 3 Критериев отнесения объектов контроля к определенной категории риска — Приложение к Положению, утвержденному Постановлением Правительства РФ от 29.06.2021 № 1046).
За обработку персональных данных без письменного согласия субъекта на их обработку в случаях, когда такое согласие должно быть получено в соответствии с законом, за исключением случаев, предусмотренных ст. 17.13 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния, установлен штраф (ч. 2 ст. 13.11 КоАП РФ):
• для компаний — от 30 тыс. до 150 тыс. рублей;
• для должностных лиц — от 20 тыс. до 40 тыс. рублей;
За повторное нарушение наказание будет более жестким (ч. 2.1 ст. 13.11 КоАП РФ):
• компании грозит штраф от 300 тыс. до 500 тыс. рублей;
• ее должностным лицам – штраф от 40 тыс. до 100 тыс. рублей.
Гражданин вправе отозвать свое согласие на обработку персональных данных (ч. 2 ст. 9 Закона № 152-ФЗ). В этом случае продолжение обработки персональных данных физлица без его согласия возможно только при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ.
Заявление на отзыв согласия пишется в произвольной форме. В нем необходимо указать:
• полное наименование организации, которая осуществила сбор сведений;
• ее юридический адрес, а также фактический адрес отделения, если речь идет, например, о банке;
• сведения о заявителе: ФИО, номер и серию паспорта, адрес регистрации.
Лучше всего подавать заявление лично, в двух экземплярах. Один экземпляр, с отметкой о регистрации входящей документации, остается на руках у заявителя.
В случае отзыва согласия компания обязана прекратить обработку персональных данных и уничтожить, если их сохранение более не требуется для целей обработки. Для этого предоставляется срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено соглашением между гражданином и организацией. При отсутствии возможности уничтожить данные в этот срок их нужно заблокировать и обеспечить уничтожение по общему правилу в срок не более 6 месяцев (ч. 5, 6 ст. 21 Закона № 152-ФЗ).