Новое согласие на обработку персональных данных — 2024
Согласие на обработку персональных данных представляет собой документ, который подтверждает решение гражданина передать оператору свою личную информацию для использования в определенных целях. Когда получать такое согласие обязательно, как его правильно оформить, расскажем в нашей статье. Также в ней можно ознакомиться с образцом заполнения документа и скачать бланк, доступный для заполнения. Больше бланков и образцов документов доступно в программе Консультант Плюс.
Согласие на обработку персональных данных физического лица не требуется в случаях, приведенных в п. п. 2 — 11 ч. 1 ст. 6 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Например, оно не нужно, если обработка необходима для:
• заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем. Например, если индивидуальный предприниматель арендует у компании помещение и в договоре указываются его паспортные данные;
• исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин. Например, если запрашивается адрес гражданина для доставки ему товара;
• осуществления и выполнения функций, полномочий и обязанностей, которые возложены законодательством. Например, если продавец получает у клиента адрес его электронной почты, чтобы направить ему кассовый чек в электронной форме (Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ);
• осуществления прав и законных интересов (компании или третьих лиц) либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, если в целях обеспечения безопасности охранник записывает Ф.И.О. и паспортные данные посетителей.
В остальных случаях обработка персональных данных осуществляется с согласия гражданина (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Например, придется получить письменное согласие, если компания собирает данные граждан для маркетингового исследования или уступает требование к должнику — физическому лицу.
С 1 января 2024 года с помощью единого портала госуслуг граждане могут давать и отзывать согласия на размещение и обработку своих биометрических персональных данных в ЕБС (Федеральный закон от 29.12.2022 № 572-ФЗ, Постановления Правительства от 01.09.2023 № 1429, от 01.09.2023 № 1430).
Физлицо, зарегистрированное в ЕСИА, с этого момента вправе с применением портала Госуслуг :
- предоставлять согласие на размещение и обработку биометрии, размещаемой в ЕБС;
- осведомляться со сведениями о согласиях, предоставленных оператору ЕБС;
- узнавать о согласиях на обработку биометрии в целях проведения его идентификации, предоставленных госорганам, органам местного самоуправления, Банку России, организациям финрынка, иным организациям, ИП, нотариусам;
- ознакомляться со сведениями о согласиях на обработку биометрических персданных в целях проведения их аутентификации, предоставленных оператору регионального сегмента ЕБС, аккредитованному государственному органу, Банку России в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, а также государственным органам, органам местного самоуправления, Банку России, организации финансового рынка, иной организации, ИП, нотариусу;
- отзывать указанные выше согласия;
- направлять оператору ЕБС требование о блокировании, об удалении, уничтожении биометрических персональных данных и векторов единой биометрической системы;
- ознакомляться со сведениями о представленном им отказе от сбора и размещения его биометрических персональных данных в целях проведения идентификации и аутентификации, а также в случае отзыва такого отказа ознакомиться со сведениями об отзыве.
Кроме того, согласно Приказу Минцифры от 27.04.2023 № 432, также с 01.01.2024 оператор ЕБС при наличии технической возможности может направлять запросы организациям через единый портал госуслуг посредством взаимодействия с оператором единого портала госуслуг, в том числе с использованием единой системы межведомственного электронного взаимодействия.
С 23.12.2023 Федеральным законом от 12.12.2023 № 589-ФЗ ужесточена административная ответственность за обработку персональных данных без согласия. Подробнее об этом новшестве мы расскажем ниже в соответствующем разделе статьи.
Целевой характер обработки персональных данных подразумевает, что она должна ограничиваться достижением конкретной цели (ч. 2 ст. 5 Закона № 152-ФЗ). То есть все действия со сведениями должны быть связаны с той целью, с которой они получены.
За обработку персональных данных, не совместимую с целями их сбора грозит административная ответственность. За первое нарушение (ч. 1 ст. 13.11 КоАП):
• компанию могут оштрафовать на сумму от 60 тыс. до 100 тыс. рублей;
• ее должностных лиц – от 10 тыс. до 20 тыс. рублей.
За повторное нарушение наказание будет серьезнее (ч. 1.1 ст. 13.11 КоАП):
• компании грозит штраф от 100 тыс. до 300 тыс. рублей;
• ее должностным лицам – от 25 тыс. до 50 тыс. рублей.
Цель обработки в согласии должна быть:
• заранее определенной. Цель необходимо определить до начала обработки сведений и довести ее до гражданина, в том числе путем включения в согласие. Рекомендуем также закрепить ее в локальном акте, посвященном обработке данных. Цели обработки могут происходить из анализа правовых актов, которые регламентируют деятельность компании, целей фактически осуществляемой ею деятельности, а также деятельности, которая предусмотрена учредительными документами, а также из анализа конкретных бизнес-процессов в конкретных информационных системах персональных данных;
• конкретной. Чтобы у контролирующих органов не возникло вопросов, рекомендуем не использовать абстрактные формулировки. Например, если речь идет о повышении продаж путем СМС-рассылки, в качестве цели должно быть указано не «повышение продаж», а «осуществление рекламной СМС-рассылки».
Согласие на обработку персональных данных должно отвечать таким требованиям, как (ч. 1, 4 ст. 9 Закона № 152-ФЗ):
Законодательно бланк согласия не утвержден, составить его можно в произвольной форме. Перечень сведений, которые должные быть отражены в согласии, приведен в ч. 4 ст. 9 Закона № 152-ФЗ. Это, в частности:
• ФИО, адрес физлица, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• ФИО, адрес представителя гражданина, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или другого документа, подтверждающего полномочия этого представителя (при получении согласия от представителя гражданина);
• название или ФИО, адрес оператора, получающего согласие на обработку данных;
• цель обработки сведений;
• перечень персональных данных, на обработку которых дается согласие;
• название или ФИО, адрес лица, осуществляющего обработку сведений по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки данных;
• срок, в течение которого действует согласие, а также способ его отзыва, если другое правило не установлено законом;
• подпись физлица-субъекта персональных данных или его представителя.
Согласие на обработку персональных данных ребенка может потребоваться, например:
• образовательным учреждениям для обработки данных о прохождении обучения, сдачи экзаменов, участии в олимпиадах;
• медучреждениям, если ребенок проходит осмотр или обследование;
• работодателю при устройстве несовершеннолетнего на работу;
• консульствам и представительствам зарубежных стран для оформления виз на выезд ребенка за границу и так далее.
В Законе № 152-ФЗ не указано, с какого возраста гражданин вправе выражать согласие на обработку сведений о себе самостоятельно. В нем лишь прописано, что при недееспособности субъекта согласие на обработку персональных данных дает его законный представитель (ч. 6 ст. 9 Закона № 152-ФЗ). Однако недееспособными считаются граждане, которые признаны таковыми судом, если они вследствие психического расстройства не могут понимать значение своих действий или руководить ими (п. 1 ст. 29 ГК РФ). Несовершеннолетние граждане таковыми не являются. В силу своего возраста они наделяются законом частичной дееспособностью, объем которой с возрастом расширяется.
Полагаем, что для решения вопроса о порядке обработки персональных данных несовершеннолетних следует руководствоваться ст. 26 и ст. 28 ГК РФ, ст. 64 СК РФ. Исходя из указанных норм, согласие на обработку персональных данных ребенка, не достигшего 14-летнего возраста, должен давать его законный представитель (родитель, опекун). Несовершеннолетние в возрасте от 14 до 18 лет могут давать разрешение на обработку сведений о себе в пределах установленного законодательством объема их дееспособности.
После вступления в брак или эмансипации несовершеннолетние, приобретая дееспособность в полном объеме, дают согласие на обработку своих персональных данных самостоятельно (ст. ст. 21, 27 ГК РФ).
Согласие, которое дается законным представителем ребенка, должно содержать, помимо общих реквизитов:
• ФИО и адрес представителя;
• реквизиты документа, удостоверяющего его личность;
• реквизиты документа, подтверждающего полномочия этого представителя (свидетельства о рождении (усыновлении), решения суда или органа опеки и попечительства).
С учетом тяжести потенциальных негативных последствий возможного несоблюдения контролируемым лицом обязательных требований обработка персональных данных несовершеннолетних лиц в случаях, не предусмотренных федеральными законами, относится к группе тяжести «Б» (пп. «б» п. 3 Критериев отнесения объектов контроля к определенной категории риска — Приложение к Положению, утвержденному Постановлением Правительства РФ от 29.06.2021 № 1046).
С 23.12.2023 заработали поправки к КоАП РФ, ужесточающие ответственность за обработку персональных данных без согласия ее владельца. Новшества внесены законом от 12.12.2023 № 589-ФЗ.
Начиная с этого момента, за обработку личной информации без письменного согласия ее субъекта (когда оно необходимо) или с нарушением требований к содержанию этого документа штрафуют:
- должностных лиц — от 100 тыс. до 300 тыс. руб. (ранее штрафовали от 20 тыс. до 40 тыс. рублей);
- организации — от 300 тыс. до 700 тыс. руб. (против прежних штрафов от 30 тыс. до 150 тыс. рублей).
Для банков и ряда других юрлиц установили ответственность за нарушение требований к тому, как размещать и обновлять биометрические персональные данные в единой системе биометрии. Должностным лицам теперь за это грозит штраф от 100 тыс. до 300 тыс. рублей, компаниям — от 500 тыс. до 1 млн. рублей.
Гражданин вправе отозвать свое согласие на обработку персональных данных (ч. 2 ст. 9 Закона № 152-ФЗ). В этом случае продолжение обработки персональных данных физлица без его согласия возможно только при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ.
Заявление на отзыв согласия пишется в произвольной форме. В нем необходимо указать:
• полное наименование организации, которая осуществила сбор сведений;
• ее юридический адрес, а также фактический адрес отделения, если речь идет, например, о банке;
• сведения о заявителе: ФИО, номер и серию паспорта, адрес регистрации.
Лучше всего подавать заявление лично, в двух экземплярах. Один экземпляр, с отметкой о регистрации входящей документации, остается на руках у заявителя.
В случае отзыва согласия компания обязана прекратить обработку персональных данных и уничтожить, если их сохранение более не требуется для целей обработки. Для этого предоставляется срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено соглашением между гражданином и организацией. При отсутствии возможности уничтожить данные в этот срок их нужно заблокировать и обеспечить уничтожение по общему правилу в срок не более 6 месяцев (ч. 5, 6 ст. 21 Закона № 152-ФЗ).
Автор: Юлия Сыскова
Отдельное согласие на распространение персональных данных: быть или не быть
Нередко новые положения закона получают первую трактовку со стороны профильных государственных министерств и ведомств, которая впоследствии не поддерживается в судебной практике. О соотношении общих и специальных норм законодательства о персональных данных в части получения отдельного согласия субъектов, позиции Роскомнадзора и значимых позициях судов рассказывает Михаил Ратушный, руководитель практики защиты персональных данных, data protection officer «Интернет Решения» (Ozon).
Специальная норма закона об отдельном согласии субъекта
Норма о необходимости получать отдельное согласие субъекта на обработку персональных данных, разрешенных таким субъектом для распространения, появилась в ст. 10.1 закона «О персональных данных» (ФЗ № 152) 1 марта 2021 года. Она сразу вызвала массу вопросов о том, как ее правильно толковать и применять на практике. Больше всего дискуссий в юридическом сообществе развернулось вокруг соотношения нового положения со ст. 6 ФЗ № 152, где перечислены общие основания для обработки персональных данных. Должен ли оператор получать согласие на распространение данных по ст. 10.1, если обязанность их распространять возложена на него профильным законом?
Примечательно, что изначально, после вступления нормы о согласии на распространение, Роскомнадзор придерживался позиции, что ст. 10.1 ФЗ № 152 специальная по отношению ко всем основаниям, указанным в ст. 6 закона. Поэтому любое распространение персональных данных должно сопровождаться предварительным согласием субъекта даже в том случае, когда есть соответствующее основание по ст. 6 ФЗ № 152. Однако впоследствии указанная позиция претерпела некоторые изменения. Роскомнадзор в письме от 06.10.2022 № 08-90016 со ссылкой на ч. 11 ст. 10.1 ФЗ № 152 указал, что получать согласие на распространение персональных данных в принципе не нужно до тех пор, пока такое распространение идет в государственных, общественных и иных публичных интересах, определенных законодательством РФ.
Полагаю, что подход Роскомнадзора изменился под влиянием Постановления Конституционного суда от 25.05.2021 № 22-П. Тогда КС признал правомерным распространение СМИ персональных данных медработника, ранее законно размещенных на официальном сайте медорганизации, вне зависимости от наличия на то согласия субъекта.
Такую позицию Роскомнадзор обозначил исключительно в контексте распространения СМИ персональных данных, когда это «необходимо для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации» (п. 8 ч. 1 ст. 6 ФЗ № 152), поэтому не должна рассматриваться как универсальная для всех случаев распространения персональных данных. Подобный вывод подтвердился в судебном разбирательстве, возникшем между страховой компанией «Арсеналъ» и управлением Роскомнадзора. Этот спор в итоге дошел до Верховного суда (дело № А40-139096/2022).
Суть дела страховой компании «Арсеналъ»
Страховая компания подала иск к Управлению Роскомнадзора по ЦФО. Заявитель ссылался на то, что ранее получил от ответчика запрос-требование. В нем утверждалось: госорган обнаружил, что на сайте фирмы размещались персональные данные руководителей и участников страховой организации. Поскольку имело место распространение персональных данных, ведомство потребовало от компании предоставить сведения о правовых основаниях такого распространения, а при отсутствии оснований — сведения о прекращении неправомерной обработки.
Истец, доказывая правоту, сослался на формулировки подп. 2–11 ч. 1 ст. 6 ФЗ № 152: «во исполнение возложенных на оператора законодательством РФ обязанностей» и «во исполнение требований федерального законодательства по раскрытию персональных данных». Однако Роскомнадзор счел доводы компании несостоятельными и повторно потребовал прекратить неправомерную обработку персональных данных (без согласия лиц, чьи персональные данные распространяются, на такое распространение в соответствии со ст. 10.1 ФЗ № 152).
Страховая компания с подобной оценкой не согласилась, доказывая, что ст. 10.1 ФЗ № 152 не имеет приоритетного характера над общими основаниями для обработки персональных данных. А значит, обращение к ст. 10.1 допустимо лишь в случае, если основанием для распространения становится согласие, а не иные основания, установленные подп. 2–11 ч. 1 ст. 6 ФЗ № 152 и не предполагающие получения согласия субъекта персональных данных. Проще говоря, если оператор обязан раскрывать персональные данные неопределенному кругу лиц (например, на сайте) в силу прямых требований федерального закона, то ему не нужно получать отдельное согласие по правилам ст. 10.1 ФЗ № 152. Как утверждала фирма, законодательство о страховой деятельности, включая акты ЦБ, четко предписывают страховым организациям раскрывать определенный набор информации, в том числе содержащей персональные данные, на сайте. А неисполнение требований банковского регулятора грозит привлечением к ответственности.
Суд поддержал доводы компании: ст. 10.1 ФЗ № 152 устанавливает порядок обработки персональных данных, разрешенных субъектом персональных данных к распространению, а это частный случай обработки персональных данных «с согласия субъекта персональных данных». Такой вывод следует и из названия статьи («Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения») и ее содержания: норма устанавливает специфические форму и порядок получения согласия в отношении тех персональных данных, которые подлежат распространению.
Вышестоящие инстанции полностью разделили позицию АСГМ, а ВС отказался рассматривать кассационную жалобу Роскомнадзора по существу, указав, что доводы ответчика ранее уже получили правовую оценку.
Ценность позиции для развития правоприменения
Заявленная судами в деле страховой компании «Арсеналъ» правовая позиция относительно распространения персональных данных имеет особую практическую значимость по многим причинам.
И операторов, обязанных раскрывать персональные данные, и субъектов, чьи персональные данные подлежат раскрытию, освободили от необходимости получать и давать дополнительные согласия. Это особенно важно, поскольку отказ субъекта от дачи согласия на распространение, равно как и его отзыв, который прямо допускается ФЗ № 152 и никак не может быть ограничен, не освобождают оператора от необходимости раскрывать такие персональные данные, если обязанность по их раскрытию предусмотрена законодательно. Фактически оператор оказывался «заложником» одновременно двух нормативных требований: о необходимости получать согласие на распространение и в то же время раскрывать такую информацию независимо от волеизъявления соответствующего лица.
С подобной проблемой сталкивались и владельцы агрегаторов информации о товарах или услугах (маркетплейсы), которые по закону «О защите прав потребителей» обязаны доводить до сведения потребителей определенный набор информации о продавцах, включая физлиц-ИП. Отказ продавца от дачи согласия на распространение его персональных данных означал невозможность размещения его товаров на маркетплейсе, то есть отказ от заключения с ним договора. При подобном подходе согласие как правовое основание для обработки персональных данных уже не обеспечивает защиту прав и интересов субъекта персональных данных, поскольку тот вынужден давать такое одобрение, если хочет вступить в соответствующие отношения с оператором. Другими словами, зачем получать согласие субъекта персональных данных, если федеральный закон все равно требует обработки персональных данных в форме распространения безотносительно к факту получения или неполучения оператором каких-либо согласий?
Подобная логика соответствует и положениям самого ФЗ № 152, который прямо допускает обработку персональных данных даже в отсутствие согласия субъекта персональных данных (ч. 2 ст. 9, ч. 4 и 5 ст. 21). В частности, если оператор обрабатывает персональные данные на основании согласия, то отзыв такого согласия соответствующим субъектом не лишает оператора права продолжать обработку при наличии у него иных правовых оснований к такой обработке, как они предусмотрены подп. 2–11 Закона.
Как следствие, с учетом общей логики ФЗ № 152 и практических последствий таких выводов для российского бизнеса стоит поддержать выводы судов по делу «Арсенала». Правда, остается открытым вопрос о возможности использовать эту позицию, например, для обоснования законности распространения персональных данных на основании договора (п. 5 ч. 1 ст. 6 ФЗ № 152), или для осуществления прав и законных интересов оператора либо третьих лиц, или для достижения общественно значимых целей, если при этом никак не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 ФЗ № 152).
Примечательно, что в последнее время суды часто не соглашаются с регулятором, трактуя отдельные положения законодательства в области персональных данных (как, например, в деле № А40-163911/2021, где «Аэрофлот — российские авиалинии» противостоял Управлению Роскомнадзора по ЦФО). При этом вряд ли стоит ожидать, что госорган вскоре откажется от своего понимания ст. 10.1 ФЗ № 152 в части ее соотношения с другими правовыми основаниями для обработки персональных данных. Вероятно, в перспективе нас ждут новые, не менее интересные судебные дела, в которых под сомнение могут поставить и другие «устоявшиеся» на практике позиции этого ведомства.
- Право.ru
Согласие клиентов на обработку персональных данных: как составить, чтобы не оштрафовали?
Штраф в размере 40 000 руб. придется уплатить индивидуальному предпринимателю за обработку персональных данных без письменного согласия клиента, а юрлицу – 150 000 руб.
В 2020–2021 гг. бизнес начал активно переходить в онлайн. Прогнозы на 2022 г. подтверждают, что данный тренд сохранится. При этом взаимодействие с клиентами в интернете, впрочем, как и в офлайн-среде, обычно не обходится без получения персональных данных и их обработки (например, клиенты передают их при заполнении заявок на приобретение товаров и услуг, анкет обратной связи и др.).
Как обеспечить правомерность обработки персональных данных клиентов?
Часть 2 ст. 6 Закона «О персональных данных» предусматривает закрытый перечень случаев, когда допускается обработка персональных данных физических лиц. При продаже товаров и услуг такая обработка возможна: 1) с согласия субъекта персональных данных на их обработку; 2) или если обработка персональных данных необходима для исполнения договора, стороной (выгодоприобретателем или поручителем) которого является субъект персональных данных, а также для заключения договора по его инициативе или договора, по которому он будет являться выгодоприобретателем или поручителем.
Доказать, кто выступил инициатором заключения договора, как и факт обработки персональных данных для исполнения договора, может быть затруднительно. Потому наиболее надежным способом обеспечить правомерность обработки персональных данных клиентов является получение от них согласия на это.
Отметим, что за 2021 г. сумма штрафов, взысканных за нарушение положений законодательства о персональных данных, составила 40 217 000 руб. В 2019 г. эта сумма была в 40 раз меньше – 1 099 000 руб. Размер штрафа, налагаемого на ИП за обработку персональных данных без письменного согласия субъекта данных в случаях, когда такое согласие должно быть получено согласно законодательству РФ, доходит до 40 000 руб. А для юрлиц этот штраф может составить 150 000 руб. (ч. 2 ст. 13.11 КоАП РФ). Поэтому получению согласия клиентов на обработку их персональных данных и его содержанию нужно уделять повышенное внимание.
Требования к получению согласия на обработку персональных данных
Часть 1 ст. 9 Закона «О персональных данных» предусматривает, что согласие на обработку персональных данных:
- предоставляется субъектом данных свободно, своей волей и в своем интересе;
- должно быть конкретным, информированным и сознательным;
- предоставляется в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Рассмотрим эти требования повнимательнее.
1. Необходимо волеизъявление субъекта персональных данных на их обработку. Иными словами, клиент должен подписать в бумажном виде или в форме электронного документа согласие на обработку его данных либо иным образом выразить свою волю на предоставление такого согласия (например, проставив отметку в соответствующем чекбоксе на сайте).
2. При включении согласия на обработку персональных данных в текст заключаемого с потребителем договора его воля на предоставление согласия должна быть выражена отдельно (например, путем дополнительного подписания текста согласия). Это важно, поскольку включение условия о том, что, подписывая договор, клиент предоставляет право на обработку своих данных, рассматривается судами как ущемление прав потребителя, ведь такое условие лишает клиента права выбора. Данное нарушение влечет привлечение к административной ответственности по ч. 2 ст. 14.8 КоАП РФ (Определение Верховного Суда РФ от 5 октября 2018 г. № 306-АД18-16256).
3. Согласие должно быть четко выражено. Оно не может допускать неоднозначного толкования или сомнений относительно его выражения или содержания.
4. Юрлицо или ИП должны иметь возможность в любой момент подтвердить получение от клиентов, чьи данные они обрабатывают, согласия на это. Потому при получении согласия на обработку персональных данных через Интернет необходимо проверить наличие технической возможности выгрузить документы, подтверждающие предоставление каждым клиентом согласия и его содержание.
Требования к содержанию согласия на обработку персональных данных
Часть 4 ст. 9 Закона «О персональных данных» устанавливает открытый перечень сведений, которые должно содержать согласие на обработку персональных данных. Так, в письменное согласие должны быть включены:
- Ф.И.О. и адрес субъекта персональных данных или его представителя, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
- реквизиты документа, подтверждающего полномочия представителя субъекта данных (при получении согласия от представителя);
- наименование или Ф.И.О. и адрес оператора персональных данных (т.е. юрлица или ИП, обрабатывающего данные);
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта данных;
- наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению оператора (если обработка будет поручена третьему лицу);
- перечень действий с персональными данными, на совершение которых дается согласие;
- общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта данных.
Разберемся, что значат эти требования.
1. Согласие на обработку персональных данных должно индивидуализировать субъекта данных или его представителя, а также оператора и лица, которому будет поручена обработка данных.
2. Согласие на обработку персональных данных должно включать в себя четкое и не допускающее неоднозначного толкования указание на: 1) персональные данные, согласие на обработку которых предоставляется; 2) цели и способы такой обработки; 3) перечень действий, которые будут совершаться с данными.
3. При определении срока действия согласия на обработку персональных данных можно указать: 1) календарную дату; 2) либо период времени, который исчисляется годами, месяцами, неделями, днями или часами; 3) либо событие, которое должно неизбежно наступить (ст. 190 ГК РФ). Срок действия согласия не рекомендуется определять моментом достижения целей обработки персональных данных или истечения срока действия договора (если договор действует до полного исполнения обязательств сторонами, а не до конкретной даты). В этих случаях срок действия согласия может быть квалифицирован как неустановленный, а значит, обработка персональных данных будет признана неправомерной.
4. Способ отзыва согласия на обработку персональных данных должен давать оператору возможность незамедлительно прекратить обработку данных клиента.
Согласие на обработку персональных данных: формальность или правовая необходимость?
Закон разрешает обрабатывать персональные данные без нашего согласия, но лишь в некоторых случаях. Если в этом списке вашего случая нет, обращайтесь с жалобой в Роскомнадзор или с иском в суд. А еще с сентября 2021 г. можно получить бесплатную юридическую помощь в Центре правовой помощи гражданам в цифровой среде
Могут ли обрабатывать мои персональные данные, если я не давал согласия на это?
Согласие – лишь одно из правовых оснований для обработки персональных данных (далее – ПД), оно не является единственным. Существуют и иные основания, при наличии которых обработка данных возможна без согласия. Они перечислены в ст. 6 Закона о персональных данных.
Так, при заключении гражданином с организацией – оператором ПД любого договора в своих интересах такая организация вправе обрабатывать его персональные данные. (Напомним: оператором ПД является организация, которая определяет цель обработки персональных данных и их состав, осуществляет обработку данных. А обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.) Например, если гражданин подписывает кредитный договор с банком, то банк вправе без его согласия обрабатывать персональные данные, необходимые для заключения и исполнения такого договора.
Также организация-оператор может исполнять полномочия и обязанности, возложенные на нее законодательством, без соответствующего согласия. Это является еще одним законным основанием обработки персональных данных без разрешения гражданина.
Итак, вы вправе самостоятельно принимать решение о предоставлении согласия. Оператор не может требовать его подписания в обязательном порядке. Если вы отказались дать согласие, то оператор вправе обрабатывать ваши персональные данные только при наличии иных оснований, определенных в Законе о персональных данных.
(В статье «Персональные данные: ответы на популярные вопросы» вы можете прочитать о том, кто и как вправе получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки.)
Что должно содержать согласие на обработку персональных данных?
Форму и содержание согласия определяет оператор ПД, исходя из конкретной ситуации. Он вправе самостоятельно установить цель и способы обработки данных, их объем, срок действия согласия и др. Так, указание паспортных данных и адреса гражданина в согласии не является обязательным.
Однако для некоторых ситуаций законом установлены более строгие требования к оформлению согласия. Например, обработка биометрических персональных данных (отпечатки пальцев, трехмерное изображение и др.) возможна только при наличии согласия гражданина в письменной форме. Такое согласие среди прочего должно содержать реквизиты его паспорта (ч. 4 ст. 9 Закона о персональных данных).
Еще пример: в согласии на обработку персональных данных, которые организация-оператор вправе не только обрабатывать, но и распространять, необходимо указывать контактные данные гражданина, а также иные сведения, перечень которых дан в законодательстве (Приказ Роскомнадзора от 24 февраля 2021 г. № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»).
(О даче согласия на обработку ПД, разрешенных для распространения, читайте в статье «Распространять персональные данные граждан по-старому больше не получится».)
Как нарушают права граждан и как их защитить?
Типичные нарушения прав субъектов ПД законодатель перечислил в ст. 13.11 КоАП РФ и установил за них административную ответственность. В частности, оператор может быть оштрафован за обработку персональных данных в случаях, которые не предусмотрены законодательством, а также за обработку данных, несовместимую с целью их сбора. При таких нарушениях ему грозит штраф до 100 тыс. руб. За обработку данных без письменного согласия человека, когда оно необходимо по закону, оператор может быть оштрафован на сумму до 150 тыс. руб.
Если вы считаете, что оператор ПД нарушает ваши права, можно обратиться с жалобой в Роскомнадзор или с иском в суд. В случае установления судом нарушения прав вы сможете рассчитывать на выплату оператором компенсации морального вреда.
Кроме того, с сентября 2021 г. эксперты Центра правовой помощи гражданам в цифровой среде (ЦППГ) бесплатно помогают пострадавшим от незаконного использования персональных данных. Они занимаются юридическим консультированием, подготовкой жалоб в госорганы, формированием исковых заявлений, представлением потерпевших в судах и др. Телефон и почту для записи на прием можно найти в разделе «Контакты» на сайте ФГУП «Главный радиочастотный центр», структурным подразделением которого является ЦППГ.
(Как вычислить вину кредитной организации в разглашении персональных данных – читайте в статье «Битва за персональные данные». В случае если банк незаконно передал информацию о вас другому лицу, чтобы не тратить время на изучение законодательства или деньги на оплату работы юристов, с требованием о защите персональных данных можно обратиться в Роскомнадзор. Если нарушения будут обнаружены, то составлять исковое заявление, подавать его в суд и отстаивать ваши интересы будет именно Роскомнадзор, а не вы. Читайте об этом в статье «Из банков утекают данные клиентов».)
Правда, что Роскомнадзор сможет проверить наличие согласия на обработку данных, если от гражданина поступит жалоба?
Роскомнадзор издал приказ 1 , который позволит ему проверять наличие согласия на обработку персональных данных, разрешенных лицом для их распространения, если поступит жалоба на неправомерные операции с ними. Приказ вступит в силу 1 марта 2022 г.
Операторы ПД будут получать согласия посредством использования информационной системы Роскомнадзора. Граждане смогут предоставить и отозвать согласие на информационном ресурсе оператора с использованием электронной подписи. После подписания человеком согласия Роскомнадзор получит сведения о даче согласия и целях обработки данных, об информационных ресурсах оператора, посредством которых будут обрабатываться ПД, списки данных, которые разрешено или запрещено обрабатывать, и перечень конкретных запретов. При этом само согласие и персональные данные не будут переданы Роскомнадзору. Ведомство будет обладать обезличенной информацией о предоставленных и отозванных согласиях.
1 Приказ Роскомнадзора от 21 июня 2021 г. № 106 «Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором».