Получение согласия на обработку персональных данных относится к процессу, посредством которого возможно получение прямого разрешения от физических лиц перед обработкой их данных.
Хотя данный документ представляет собой одно из законных оснований для обработки сведений о гражданине, существует ряд ситуаций, в которых получение согласия не обязательно.
Одним из наиболее важных критериев согласия гражданина на обработку его персональных данных является недвусмысленность и очевидность такого одобрения.
В запросе на предоставление согласия должна быть указана информация о том, для каких целей будут использоваться персональные данные, а также реквизиты компании, обрабатывающей их.
Само согласие обязательно должно быть свободно выраженным, информированным, конкретным, предметным, сознательным и однозначным.
Закон определяет в качестве оператора персональных данных любое физическое или юридическое лицо, работающее с персональными сведениями.
Например, если пользователи могут зарегистрироваться на сайте, оставить заявку на звонок, оформить заказ, приобрести какой-либо товар, подписаться на рассылку новостей и т.д., и для этого передают данные, с помощью которых их можно идентифицировать, то владелец такого сайта попадает под регулирование закона «О защите персональных данных».
Важно также учитывать, что любой работодатель считается оператором персональных данных, следовательно, в отношении каждого сотрудника необходимо оформление соответствующего согласия.
Требования к согласию на обработку персональных данных изменились
С 1 сентября 2022 года в отношении формы согласия на обработку персональных данных действуют новые правила, за нарушение которых для операторов предусмотрена ответственность.
Согласие обязательно должно быть «конкретным, предметным, информированным, сознательным и однозначным».
Оператор не вправе собирать сведения в том случае, если они не относятся к конкретным целям их обработки.
Отдельно стоит отметить, что не разрешается получение излишней личной информации, то есть не связанной с конкретной операцией: например, при заказе шампуня в интернет-магазине сведения о паспортных данных гражданина будут избыточными.
Нововведения сентября 2022 года - что именно должно быть в согласии на обработку персональных данных
Форма согласия на обработку персональных данных должна содержать следующие сведения:
• Ф.И.О. гражданина, его адрес, а также сведения об удостоверяющем личность документе;
• Если гражданин действует через представителя – сведения, аналогичные п. 1, а также реквизиты документа, подтверждающего полномочия лица;
• Наименование/Ф.И.О. оператора персональных данных;
• Цель обработки персональных данных;
• Перечень данных, в отношении которых предоставляется согласие;
• В случае, если обработка осуществляется по поручению оператора - наименование/Ф.И.О. и адрес соответствующего лица;
• Срок действия согласия на обработку персональных данных, а также способ его отзыва;
• Подпись гражданина, давшего согласие.
Какие бывают типы согласий, на какие виды данных даются
Наиболее важным требованием к документу является возможность идентификации лица, давшего согласие, а также установление перечня сведений и целей, для которых согласие было дано.
Существует несколько типов согласий на обработку персональных данных, к числу которых относятся:
• Согласие в письменной форме;
• Согласие в простой электронной форме;
• Согласие в квалифицированной электронной форме.
Помимо различных видов согласий, существует также несколько типов самих личных данных: общие (Ф.И.О., сведения о документах, адрес и пр.), биометрические (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), специальные (информация о состоянии здоровья, вероисповедании, политических взглядах, национальности, расе и пр.).
Кроме того, с 1 марта 2021 применяются новые правила взаимодействия с данными, которые размещены в открытом доступе.
Под общедоступными данными мы понимаем персональные данные, которые раскрыты неопределенному кругу лиц (например, опубликованы в интернете).
Для обработки таких данных тоже нужно получить согласие. Такое согласие необходимо оформить отдельно от других согласий.
С 1 сентября 2021 года Роскомнадзор предъявляет специальные требования к содержанию согласия на обработку общедоступных персональных данных.
Стоит обратить внимание, что при необходимости передавать полученные данные третьим лицам, в согласии необходимо прямо указать такую возможность.
Ввиду того, что формулировки согласия только разрабатываются, Роскомнадзор предлагает воспользоваться сервисом, позволяющим оператору подготовить шаблон формы согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения с учетом профессиональной специфики деятельности оператора.
Согласие на обработку общедоступных персональных данных может быть дано двумя способами:
1. Непосредственно субъектом персональных данных оператору.
2. С 1 марта 2022 года - через информационную систему Роскомнадзора в соответствии с данным приказом.
Особенности согласия на трансграничную передачу персональных данных
Данный вид передачи данных о гражданах представляет собой процедуру, при которой сведения передаются органу власти иностранного государства, а также иностранному физическому или юридическому лицу.
Законом установлен ряд требований, согласно которым такая передача может осуществляться только при наличии согласия; международного договора; исполнения договора с участием гражданина; защиты жизни и здоровья самого гражданина или иных лиц в случае невозможности получения согласия в письменной форме.
В случаях, когда компания работает в интернете, не имея физического присутствия в России, если ее деятельность направлена на Россию, она должна соответствовать требованиям закона.
То есть, собирать, обрабатывать и хранить базу персональных данных о российских гражданах можно только на серверах, расположенных в РФ. Если сайт расположен на зарубежном хостинге, и при этом осуществляется сбор и обработка данных о гражданах РФ, домен может быть включен в реестр нарушителей прав субъектов данных. Реестр ведет Роскомнадзор.
Основной особенностью такого вида передачи является то, что, помимо сообщения гражданину информации о предстоящей передаче, необходимо уведомить Роскомнадзор, а также обеспечить защиту канала передачи персональных данных.
Что необходимо сделать в первую очередь
Для того чтобы строго соблюдать требования законодательства, можно порекомендовать следующее:
• разместить на своем сайте соглашение об обработке персональных данных, после прочтения которого пользователь сайта может выразить свое согласие на обработку персональных данных;
• запрашивать только необходимые данные. Например, для оформления простой подписки на рассылку новостей по электронной почте вряд ли понадобятся паспортные данные;
• предоставлять физическим лицам информацию о том, какие данные о нем хранятся в базах данных, почему полученные от него данные обрабатываются и кому они передаются;
• удалять всю информацию о пользователе после получения соответствующего запроса;
• хранить персональные данные в месте, исключающем доступ третьих лиц;
• разработать положение об обработке персональных данных, которое должно быть подписано сотрудниками;
• зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре.
Кроме того, оператору персональных данных необходимо актуализировать шаблоны согласий с учетом новых требований закона.
Необходимо формулировать текст согласия таким образом, чтобы в нем содержалась информация о цели обработки данных в каждом конкретном случае.
Учитывая, что цели могут быть различными, возможно составление разных шаблонов: общего и ряда специальных.