Как составить согласие на обработку персональных данных после 1 сентября 2022 года

Что должно быть в согласии на обработку персональных данных

При подготовке бланка нужно учитывать, что в законе от 27.07.2006 № 152-ФЗ «О защите персональных данных» вся обработка личной информации граждан привязана к целям, которые бывают двух видов:

• исполнение требований законодательства. Например, работодатель обязан включать данные сотрудника в кадровую отчётность;
• выполнение оператором обязательств перед физическим лицом в рамках своей предпринимательской деятельности. Например, интернет-магазин собирает личные данные покупателей, чтобы оформить покупку и организовать доставку товара клиенту.

Оператор не может собирать персональные данные, которые не относятся к конкретным целям или избыточны по отношению к ним. Например, интернет-магазин может запрашивать Ф.И.О. покупателя, телефон, адрес доставки, паспортные и платёжные данные для оформления доставки. А вот адрес страницы в социальных сетях клиента и сведения о составе его семьи будут уже избыточными.

Ещё одно правило: одна цель — одно согласие. Это следует из п. 4 ч. 4 ст. 9 закона № 152-ФЗ. Это не значит, что нужно оформлять столько бланков согласий, сколько у оператора целей обработки. Их можно включить в один документ, но для каждой цели отдельно прописать перечень ПД, действия с ними и получить на них подпись субъекта ПД, либо другое выражение его доброй воли — хоть галочку или крестик. Из документа должно быть понятно, что субъект согласился с каждой целью.

Что должно быть в согласии на обработку персональных данных:

1. Ф.И.О., адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи и выдавшем органе.
2. Ф.И.О., адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи и выдавшем органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя (при получении согласия от представителя).
3. Наименование или Ф.И.О. и адрес оператора, получающего согласие субъекта ПД.
4. Цель обработки персональных данных.
5. Перечень данных, на обработку которых дается согласие.
6. Наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу.
7. Перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД.
8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.
9. Подпись субъекта ПД.

Утверждённого бланка согласия на обработку ПД нет. Каждый оператор разрабатывает и использует свою форму. Не рекомендуем скачивать образцы из интернета, поскольку они не адаптированы под деятельность конкретной компании и могут не учитывать все её цели. Также есть риск, что они не актуальны.

Отчётность в ИФНС, ПФР и ФСС в 2022 году

практическое пособие для работодателя

Получите бесплатно 62 страницы экспертного контента!

Оставьте заявку в форме ниже, и мы вышлем вам запись

Имя^*

E-mail^*

Телефон^*

Отправить

Принимаю оферту и даю согласие по перс.данным

Как оформить согласие на обработку персональных данных

Разрешение на обработку персональных может быть получено любым способом, который подтверждает его получение. Например, если гражданин записал его на диктофон — это законно, если по записи можно точно идентифицировать личность.

Но в ряде случаев закон № 152-ФЗ требует, чтобы согласие было оформлено именно в письменном виде. Например, на обработку биометрических персональных данных. Исключения, когда согласие на обработку не нужно, указаны в самом законе о ПД: пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2. ст. 11.

Письменное согласие на обработку ПД можно оформить на бумаге или в электронном виде. Цифровой документ признаётся равнозначным документу с личной подписью гражданина, если он подписан электронной подписью, соответствующей требованиям закона.

В законе не написано, какой именно вид электронной подписи нужен, поэтому гражданин может подписать его простой электронной подписью. Но оператор должен доказать, что согласие получено именно от субъекта ПД. Поэтому целесообразно определить локальным актом, какой подписью подписывать электронные согласия на обработку ПД и как проверять их подлинность.

Когда согласие на обработку персональных данных не нужно

В законе о защите персональных данных есть три статьи, в которых перечислены случаи обработки ПД оператором без согласия гражданина:

1. пп. 2-11 ч. 1 ст. 6. Например, согласие не нужно, если персональные данные используются в судебном деле, где физлицо участвует в качестве одной из сторон;
2. ч. 2 ст. 10— в отношении специальных ПД. Например, не нужно письменное согласие гражданина на обработку сведений о его национальности в рамках Всероссийской переписи населения;
3. ч. 2. ст. 11 — в отношении биометрических ПД. Например, без письменного согласия гражданина проводят обязательную государственную дактилоскопическую регистрацию.

Ответственность перед субъектом несёт оператор, если обработка поручена российскому физическому лицу или компании. Если иностранному лицу, то оно отвечает перед гражданином вместе с оператором за соблюдение его прав при действиях с ПД.

Как составить согласие на распространение персональных данных

Распространение ПД — это их передача неограниченному кругу лиц. Например, компания указывает на своём сайте Ф.И.О., должности, e-mail и номера мобильных телефонов некоторых сотрудников. Или публикует отзыв клиента с его фотографией, Ф.И.О., ссылкой на профиль в социальных сетях.

Требования к составу сведений в согласии на распространение приведены в приложении к приказу Роскомнадзора от 24.02.2021 № 18:

1. Ф.И.О. субъекта персональных данных.
2. Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных).
3. Сведения об операторе-организации — наименование, адрес в ЕГРЮЛ, ИНН, основной государственный регистрационный номер (если он известен субъекту персональных данных). Сведения об операторе-физическом лице — Ф.И.О., место жительства или место пребывания. Сведения об операторе-гражданине, являющимся ИП — Ф.И.О., ИНН, основной государственный регистрационный номер (если он известен субъекту персональных данных).
4. Сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных.
5. Цель (цели) обработки ПД.
6. Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных: персональные данные (Ф.И.О.), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных); специальные категории ПД (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости); биометрические персональные данные.
7. Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта ПД).
8. Условия, при которых полученные персональные данные могут передаваться только сотрудникам оператора, либо передаваться свободно с использованием информационно-телекоммуникационных сетей, либо вообще не передаваться (заполняется по желанию субъекта персональных данных).
9. Срок действия согласия.

Типичные ошибки, которые допускают операторы при работе с персональными данными

Ситуации, которые Роскомнадзор считает за нарушения при получении согласия на обработку персональных данных:

• не получают согласие субъекта ПД, хотя по закону обязаны;
• указывают не все сведения по ст. 9 закона № 152-ФЗ или приказу № 18;
• в согласие на обработку включают согласие на распространение, не соблюдая требования приказа № 18;
• в одном документе берут разрешение на несовместимые цели. Например, для оказания услуги по проведению анализа крови и для целей направления информации о новых услугах клиники;
• получают согласие от неуполномоченного представителя субъекта ПД. Например, на ребёнка согласие заполняет его бабушка, а не родитель.

За такие нарушения оператор может получить штраф по п. 2 ст. 13.11 КоАП РФ: от 30 000 до 150 000 рублей для юридических лиц.

Моё дело Бюро

Справочно-правовая система для бухгалтеров, юристов, кадровиков и профессиональный консалтинг

Узнать больше