Часть 2.
В рамках нашего цикла статей, посвящённого Согласию на обработку персональных данных, мы переходим ко второй части практического руководства. В этом материале мы подробно рассмотрим различные виды Согласий. Выясним, что представляет собой письменное Согласие и почему определённые виды Согласий требуют строго письменной формы.
Кроме того, проанализируем особенности передачи персональных данных третьим лицам и их распространения. Рассмотрим ситуации, когда в одном Согласии может быть указано несколько целей сбора данных. Имеет ли значение перечисление в Согласии наименований юридических и физических лиц, которым данные будут переданы? И что обязательно должно быть учтено, чтобы избежать необходимости получения Согласия от сотрудников клиента?
Виды Согласия на обработку персональных данных
Осуществляя свою деятельность, операторы сталкиваются с обстоятельствами, требующими оформления различных видов Согласий на обработку персональных данных:
- Согласие на обработку персональных данных как законное основание;
- Согласие на получение персональных данных из внешних источников;
- Согласие на передачу персональных данных для их обработки;
- Согласие на продвижение товаров, работ и услуг;
- Согласие на обработку персональных данных, разрешённых субъектом для распространения;
- Согласие на обработку персональных данных недееспособных лиц от их законных представителей;
- Согласие на обработку персональных данных со стороны наследников умершего;
- Согласие на обработку персональных данных без использования средств автоматизации;
- Согласие на обработку специальных категорий персональных данных;
- Согласие на обработку биометрических персональных данных;
- Согласие на использование автоматизированных методов обработки персональных данных для принятия юридически значимых решений, оказывающих влияние на правовое положение субъекта;
- Согласие на размещение персональных данных в открытых источниках.
Для определённых Согласий требуется оформление в письменном виде, необходимые формы поможет сформировать сервис 152DOC.
Письменное Согласие – это форма, которая включает в себя два основных элемента:
- содержание такого Согласия соответствует требованиям ч. 4 ст. 9 152-ФЗ;
- Согласие оформлено на бумажном носителе и содержит собственноручную подпись субъекта ПДн, или в форме электронного документа, подписанного электронной подписью.
Требования к оформлению Согласия
Требование оформления письменного Согласия всегда фиксируется в тексте нормативно-правовых актов. Письменная форма Согласия применяется, в частности, для следующих видов:
- Согласие на получение персональных данных сотрудников из внешних источников (п. 3 ст. 86 ТК РФ);
- Согласие на передачу персональных данных сотрудников (ст. 88 ТК РФ);
- Согласие на обработку специальных категорий персональных данных (п. 1 ч. 2 ст. 10 152-ФЗ);
- Согласие на обработку биометрических персональных данных (ч. 1 ст. 11 152-ФЗ);
- Согласие на использование автоматизированных методов обработки персональных данных для принятия юридически значимых решений, оказывающих влияние на правовое положение субъекта (ч. 2 ст. 16 152-ФЗ);
- Согласие на размещение персональных данных в открытых источниках (ч. 1 ст. 8 152-ФЗ).
Особое внимание следует уделить вопросу необходимости получения письменного Согласия при передаче персональных данных. Процесс передачи включает в себя такие действия, как распространение, предоставление и доступ.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц. О необходимых видах Согласия в рамках распространения данных мы говорили в первой части практического руководства.
Получение Согласия на предоставление персональных данных
Остановимся подробнее на вопросах, связанных с получением Согласия на предоставление персональных данных и обеспечения доступа к ним. Передача и доступ к персональным данным, в отличие от их распространения, связаны с предоставлением информации конкретному лицу или ограниченной группе лиц. Такие операции по обработке персональных данных могут возникнуть как при поручении обработки третьей стороне, так и без такого поручения.
Основные различия поручения и передачи без поручения
| Поручение | Передача без поручения | |
|---|---|---|
| Признаки | Могу обрабатывать ПДн для данной цели самостоятельно, но не хочу | В силу полномочий не могу обрабатывать ПДн самостоятельно, но услуга мне необходима |
| Примеры | Услуги бухгалтерского и кадрового учёта Услуги бронирования и организации командирования работников Техническое обеспечение ИСПДн оператора Сопровождение интернет-ресурсов оператора Услуги рекламной и информационной рассылки |
Организация медицинских осмотров ДМС Выпуск банковских карт и начисление выплат Услуги по перевозке пассажиров (такси) |
| Требования к оформлению договора | Обязательное соответствие ч. 3 ст. 6 152-ФЗ | Может не содержать положений, указанных в ч. 3 ст. 6 152-ФЗ |
| Кто оформляет Согласие (если отсутствуют иные правовые основания) | Оператор Лицо по поручению не обязано получать Согласие на обработку переданных оператором ПДн (ч. 4 ст. 6 152-ФЗ) |
Оператор |
| Кто несёт ответственность в случае нарушения прав субъекта ПДн | Оператор – перед субъектом ПДн Лицо по поручению – перед оператором Оператор и лицо по поручению – в случае поручения иностранному лицу |
Оператор – за правомерность передачи Третье лицо – за фактическую обработку |
При передаче персональных данных возникает обязанность получить письменное Согласие в следующих случаях:
- Когда согласие является единственным законным основанием для обработки данных в конкретной ситуации.
- Когда для данной ситуации законом явно предусмотрена необходимость оформления письменного согласия.
Как определить, нужно ли получить согласие на обработку персональных данных в конкретном случае, читайте в нашей статье.
Проанализируем этот подход, взяв за основу передачу данных в компанию-аутсорсер при осуществлении управления кадровым и бухгалтерским учётом:
- данные отношения, с точки зрения 152-ФЗ, образуют поручение на обработку персональных данных;
- передача данных для ведения кадрового и бухгалтерского учёта аутсорсеру – инициатива работодателя, поэтому оценка правовых оснований такой передачи с учётом ч. 1 ст. 6 152-ФЗ позволяет говорить о том, что для этого случая правовым основанием будет являться именно Согласие (нет установленной законом обязанности на передачу данных, нет договоров, стороной которых или выгодоприобретателями по которым являются сотрудники оператора и т. д.);
- поскольку речь идёт о передаче данных работников, то необходимо руководствоваться ст. 88 ТК РФ, предусматривающей обязанность оформления письменного Согласия на передачу этих данных.
Следовательно, приходим к выводу, что при передаче данных работников в компанию-аутсорсер для ведения кадрового и бухгалтерского учёта, работодатель должен получить письменное Согласие сотрудников на передачу этих данных. Однако стоит отметить, что для компании-аутсорсера не обязательно получение Согласий от сотрудников клиента. Важно, чтобы условия договора между аутсорсером и работодателем соответствовали требованиям ч. 3 ст. 6 152-ФЗ.
Как было указано ранее, любое письменное Согласие на обработку должно строго соответствовать ч. 4 ст. 9 152-ФЗ. Именно по этой причине все формы Согласий, требующие письменного оформления, не могут включать несколько целей обработки персональных данных.
Когда можно использовать мультисогласие
Получения мультисогласия возможно только в случаях, когда обработка персональных данных не подпадает под обязательное требование получения письменной формы Согласия. Важно учесть, что согласие по закону должно быть конкретным, предметным, информированным, осознанным и однозначным. Поэтому, если в Согласии необходимо указать несколько целей обработки, рекомендуется руководствоваться принципом однородности в отношении включаемых целей и объёма обрабатываемых личных данных.
Рассмотрим ситуацию на примере обработки персональных данных на сайте компании.
При получении информации через веб-ресурс возможно использование мультисогласия, так как:
- для данной ситуации не требуется оформление письменной формы;
- можно определить однородные цели, для которых объём обрабатываемых данных примерно одинаков. К этим целям можно, в частности, отнести: оказание информационно-консультационных и иных услуг в соответствии с деятельностью оператора; включение в члены сообщества; регистрация на мероприятия; осуществление обратной связи; осуществление заочных опросов с целью изучения мнения об оказанных услугах; сбор статистической информации о пользователях с использованием метрической программы Яндекс.Метрика; информационная рассылка.
Несмотря на то что объём обрабатываемых данных для каждой указанной цели будет примерно одинаков, в Согласии лучше указать категории данных по отношению к каждой цели – это увеличит соответствие Согласия принципам конкретности и однозначности.
Однако включить в мультисогласие на сайте цели, связанные с распространением персональных данных, не получится, поскольку:
- при использовании общедоступных источников информации (например, телефонных справочников или адресных книг) требуется получение письменного Согласия;
- при распространении персональных данных в сети Интернет на ресурсах, которые не являются адресными книгами или телефонными справочниками, необходимо соблюдать определённые условия. В частности, требуется получение специального Согласия от субъекта персональных данных на обработку информации, разрешённой для распространения. Это согласие должно быть оформлено отдельно от других видов согласий, и его состав регламентирован приказом Роскомнадзора от 24.02. 2021 № 18.
Ещё одним отличием в оформлении письменного Согласия от Согласия в свободной форме является требование указания лиц, как юридических, так и физических, которым предполагается передавать данные.
Ч. 4 ст. 9 152-ФЗ устанавливает требования для оформления письменного Согласия, включая указание наименования или фамилии, имени, отчества и адреса лица, которое будет осуществлять обработку персональных данных по поручению оператора, если обработка поручается указанному лицу.
Если передача данных происходит вне договора о поручении и осуществляется через оформление Согласия в свободной форме, то прямого требования указывать лиц, которым будут переданы данные, не существует. Тем не менее, рекомендуется включать подобную информацию в Согласие, чтобы сделать процесс обработки персональных данных в компании более прозрачным и понятным для субъектов. В таком случае возможны различные способы указания информации о лицах, которым будут переданы персональные данные.
Приведём несколько примеров для наглядности.
- При передаче информации большому числу лиц возможно предусмотреть в Согласии условие о том, что в определённых целях данные могут быть переданы третьим лицам, например, партнёрам компании, с перечнем которых субъект персональных данных может ознакомиться на сайте оператора или в другом указанном источнике.
- Если меняются получатели данных, но цели обработки и конкретная ситуация, связанная с передачей данных, не меняются (например, передача данных сотрудников для каждого электронного конкурса/аукциона, где необходимо предоставить их персональные данные для участия), то достаточно получить одно Согласие в целях участия в торгах, электронных конкурсах/аукционах на объём данных, необходимых для указанных целей и при подписании разъяснить (можно устно) сотруднику о необходимости обработки таких сведений с учётом его должностных обязанностей и требований законодательства о торгах. Аналогичная ситуация с передачей данных сотрудников в образовательные учреждения в целях повышения квалификации, переподготовки, обучения или получения дополнительного образования (возможно получение одного Согласия в указанных целях без указания конкретных образовательных учреждений).
Подведём итог
В заключение хочется отметить, что процесс оформления Согласия на обработку персональных данных не может быть формальным. Необходима полная и всесторонняя оценка каждого конкретного случая обработки с точки зрения правовых оснований, действий с персональными данными, категорий обрабатываемых данных, доступности для третьих лиц и т. д. Только так можно понять, какая форма Согласия вам потребуется, можно ли объединить в Согласии несколько целей обработки, а также нужно ли указать наименования конкретных юридических и физических лиц, кому данные передаются.
В третьей и заключительной части нашего практического руководства поговорим о типовых ошибках при использовании Согласий и способах подтверждения наличия согласия.
Приятным бонусом станет памятка оператору по работе с Согласиями на обработку персональных данных.
Астрал Отчет 5.0
Астрал Отчет 4.5
1С-Отчетность
1С-УП
Астрал Доверенность
МЧД
Доки
1С-ЭДО
Астрал.ЭДО
Астрал iКЭДО
1С-ЭПД
Роуминг
1С-ЭТП
Астрал Подпись
Подпись ФНС
Корпоративный УЦ
КриптоПро
JaCarta LT
JaCarta-2 SE
Рутокен Lite
Рутокен ЭЦП 2.0.2100
Рутокен ЭЦП 3.0
Астрал.Безопасность
152doc
Астрал.Маркировка
Продукты 1С
Астрал.Платформа
Внесение изменений
Астрал.Торги
Регистрация бизнеса
Астрал.СКРИН
Астрал.ОФД
Онлайн-кассы