Моё дело
Защита персональных данных

Как составить согласие на обработку персональных данных после 1 сентября 2022 года

Чтобы работать с личной информацией граждан в большинстве случаев нужно брать у них согласие на обработку персональных данных (ПД), а на распространение ПД оформлять отдельный документ. С 1 сентября 2022 года требования закона о персональных данных в этой части изменились. Рассказываем, как правильно оформить согласие гражданина на действия с его ПД.
Как составить согласие на обработку персональных данных после 1 сентября 2022 года

Что должно быть в согласии на обработку персональных данных

При подготовке бланка нужно учитывать, что в законе от 27.07.2006 № 152-ФЗ «О защите персональных данных» вся обработка личной информации граждан привязана к целям, которые бывают двух видов:

  • исполнение требований законодательства. Например, работодатель обязан включать данные сотрудника в кадровую отчётность;
  • выполнение оператором обязательств перед физическим лицом в рамках своей предпринимательской деятельности. Например, интернет-магазин собирает личные данные покупателей, чтобы оформить покупку и организовать доставку товара клиенту.

Оператор не может собирать персональные данные, которые не относятся к конкретным целям или избыточны по отношению к ним. Например, интернет-магазин может запрашивать Ф.И.О. покупателя, телефон, адрес доставки, паспортные и платёжные данные для оформления доставки. А вот адрес страницы в социальных сетях клиента и сведения о составе его семьи будут уже избыточными.

Ещё одно правило: одна цель — одно согласие. Это следует из п. 4 ч. 4 ст. 9 закона № 152-ФЗ. Это не значит, что нужно оформлять столько бланков согласий, сколько у оператора целей обработки. Их можно включить в один документ, но для каждой цели отдельно прописать перечень ПД, действия с ними и получить на них подпись субъекта ПД, либо другое выражение его доброй воли — хоть галочку или крестик. Из документа должно быть понятно, что субъект согласился с каждой целью.

Цели в одном согласии должны быть совместимы между собой. Если оператор запрашивает разрешение клиента на обработку ПД для выполнения обязательств перед ним по договору, нельзя включать туда же разрешение на рассылку рекламных материалов для продвижения компании на рынке.

Что должно быть в согласии на обработку персональных данных:

  1. Ф.И.О., адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи и выдавшем органе.
  2. Ф.И.О., адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи и выдавшем органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя (при получении согласия от представителя).
  3. Наименование или Ф.И.О. и адрес оператора, получающего согласие субъекта ПД.
  4. Цель обработки персональных данных.
  5. Перечень данных, на обработку которых дается согласие.
  6. Наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу.
  7. Перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД.
  8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.
  9. Подпись субъекта ПД.

Утверждённого бланка согласия на обработку ПД нет. Каждый оператор разрабатывает и использует свою форму. Не рекомендуем скачивать образцы из интернета, поскольку они не адаптированы под деятельность конкретной компании и могут не учитывать все её цели. Также есть риск, что они не актуальны.

Подарок для наших читателей — практическое пособие по подготовке отчётности в ПФР, ФСС и ИФНС в 2022 году от экспертов интернет-бухгалтерии «Моё дело». 62 страницы подробнейших инструкций с примерами заполнения форм.

Отчётность в ИФНС, ПФР и ФСС в 2022 году

практическое пособие для работодателя

Получите бесплатно 62 страницы экспертного контента!

Оставьте заявку в форме ниже, и мы вышлем вам запись

Принимаю оферту и даю согласие по перс.данным

Как оформить согласие на обработку персональных данных

Разрешение на обработку персональных может быть получено любым способом, который подтверждает его получение. Например, если гражданин записал его на диктофон — это законно, если по записи можно точно идентифицировать личность.

Но в ряде случаев закон № 152-ФЗ требует, чтобы согласие было оформлено именно в письменном виде. Например, на обработку биометрических персональных данных. Исключения, когда согласие на обработку не нужно, указаны в самом законе о ПД: пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2. ст. 11.

Например, проводить видеосъёмку посетителей торгового центра как места массового пребывания людей законно без их согласия. Это делается в целях антитеррористической защищённости и охраны правопорядка. А вот устанавливать видеокамеры в рабочих кабинетах без разрешения сотрудников незаконно.

Письменное согласие на обработку ПД можно оформить на бумаге или в электронном виде. Цифровой документ признаётся равнозначным документу с личной подписью гражданина, если он подписан электронной подписью, соответствующей требованиям закона.

В законе не написано, какой именно вид электронной подписи нужен, поэтому гражданин может подписать его простой электронной подписью. Но оператор должен доказать, что согласие получено именно от субъекта ПД. Поэтому целесообразно определить локальным актом, какой подписью подписывать электронные согласия на обработку ПД и как проверять их подлинность.

Когда согласие на обработку персональных данных не нужно

В законе о защите персональных данных есть три статьи, в которых перечислены случаи обработки ПД оператором без согласия гражданина:

  1. пп. 2-11 ч. 1 ст. 6. Например, согласие не нужно, если персональные данные используются в судебном деле, где физлицо участвует в качестве одной из сторон;
  2. ч. 2 ст. 10— в отношении специальных ПД. Например, не нужно письменное согласие гражданина на обработку сведений о его национальности в рамках Всероссийской переписи населения;
  3. ч. 2. ст. 11 — в отношении биометрических ПД. Например, без письменного согласия гражданина проводят обязательную государственную дактилоскопическую регистрацию.

Оператор имеет право поручить обработку персональных данных другому лицу с согласия субъекта ПД. Это может быть физлицо или компания. Тогда третьему лицу не нужно получать согласие субъекта ПД на обработку его личной информации.

Ответственность перед субъектом несёт оператор, если обработка поручена российскому физическому лицу или компании. Если иностранному лицу, то оно отвечает перед гражданином вместе с оператором за соблюдение его прав при действиях с ПД.

Как составить согласие на распространение персональных данных

Распространение ПД — это их передача неограниченному кругу лиц. Например, компания указывает на своём сайте Ф.И.О., должности, e-mail и номера мобильных телефонов некоторых сотрудников. Или публикует отзыв клиента с его фотографией, Ф.И.О., ссылкой на профиль в социальных сетях.

На все случаи распространения персональных данных нужно оформлять отдельное согласие. Молчание или бездействие гражданина ни при каких обстоятельствах не считаются разрешением на обработку ПД для распространения. Например, если работник не потребовал убрать с сайта номер своего мобильного телефона, ещё не означает, что он согласился его предоставить всем посетителям сайта.

Требования к составу сведений в согласии на распространение приведены в приложении к приказу Роскомнадзора от 24.02.2021 № 18:

  1. Ф.И.О. субъекта персональных данных.
  2. Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных).
  3. Сведения об операторе-организации — наименование, адрес в ЕГРЮЛ, ИНН, основной государственный регистрационный номер (если он известен субъекту персональных данных). Сведения об операторе-физическом лице — Ф.И.О., место жительства или место пребывания. Сведения об операторе-гражданине, являющимся ИП — Ф.И.О., ИНН, основной государственный регистрационный номер (если он известен субъекту персональных данных).
  4. Сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных.
  5. Цель (цели) обработки ПД.
  6. Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных: персональные данные (Ф.И.О.), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных); специальные категории ПД (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости); биометрические персональные данные.
  7. Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта ПД).
  8. Условия, при которых полученные персональные данные могут передаваться только сотрудникам оператора, либо передаваться свободно с использованием информационно-телекоммуникационных сетей, либо вообще не передаваться (заполняется по желанию субъекта персональных данных).
  9. Срок действия согласия.

Оператор может разработать бланк разрешения на распространение персональных данных самостоятельно или использовать специальный сервис Роскомнадзора. Для пользования им нужна подтверждённая учётная запись на портале Госуслуг. Оператор формирует макет согласия на портале и может отправить его на проверку в Роскомнадзор. Так он обезопасит себя от возможных нарушений.

Типичные ошибки, которые допускают операторы при работе с персональными данными

Ситуации, которые Роскомнадзор считает за нарушения при получении согласия на обработку персональных данных:

  • не получают согласие субъекта ПД, хотя по закону обязаны;
  • указывают не все сведения по ст. 9 закона № 152-ФЗ или приказу № 18;
  • в согласие на обработку включают согласие на распространение, не соблюдая требования приказа № 18;
  • в одном документе берут разрешение на несовместимые цели. Например, для оказания услуги по проведению анализа крови и для целей направления информации о новых услугах клиники;
  • получают согласие от неуполномоченного представителя субъекта ПД. Например, на ребёнка согласие заполняет его бабушка, а не родитель.

За такие нарушения оператор может получить штраф по п. 2 ст. 13.11 КоАП РФ: от 30 000 до 150 000 рублей для юридических лиц.

Моё дело Бюро

Справочно-правовая система для бухгалтеров, юристов, кадровиков и профессиональный консалтинг

Начать дискуссию