Виды Согласий на обработку персональных данных: практическое руководство, требования и получение
Отдел продаж:
Отдел продаж
График работы
28 декабря 2023
3032
Какие Согласия на обработку персональных данных вам действительно нужны. Практическое руководство
Лайфхак

Какие Согласия на обработку персональных данных вам действительно нужны. Практическое руководство

Часть 2.

В рамках нашего цикла статей, посвящённого Согласию на обработку персональных данных, мы переходим ко второй части практического руководства. В этом материале мы подробно рассмотрим различные виды Согласий. Выясним, что представляет собой письменное Согласие и почему определённые виды Согласий требуют строго письменной формы.

Кроме того, проанализируем особенности передачи персональных данных третьим лицам и их распространения. Рассмотрим ситуации, когда в одном Согласии может быть указано несколько целей сбора данных. Имеет ли значение перечисление в Согласии наименований юридических и физических лиц, которым данные будут переданы? И что обязательно должно быть учтено, чтобы избежать необходимости получения Согласия от сотрудников клиента?

Виды Согласия на обработку персональных данных

Осуществляя свою деятельность, операторы сталкиваются с обстоятельствами, требующими оформления различных видов Согласий на обработку персональных данных:

  • Согласие на обработку персональных данных как законное основание;
  • Согласие на получение персональных данных из внешних источников;
  • Согласие на передачу персональных данных для их обработки;
  • Согласие на продвижение товаров, работ и услуг;
  • Согласие на обработку персональных данных, разрешённых субъектом для распространения;
  • Согласие на обработку персональных данных недееспособных лиц от их законных представителей;
  • Согласие на обработку персональных данных со стороны наследников умершего;
  • Согласие на обработку персональных данных без использования средств автоматизации;
  • Согласие на обработку специальных категорий персональных данных;
  • Согласие на обработку биометрических персональных данных;
  • Согласие на использование автоматизированных методов обработки персональных данных для принятия юридически значимых решений, оказывающих влияние на правовое положение субъекта;
  • Согласие на размещение персональных данных в открытых источниках.

Для определённых Согласий требуется оформление в письменном виде, необходимые формы поможет сформировать сервис 152DOC.

Письменное Согласие – это форма, которая включает в себя два основных элемента:

  • содержание такого Согласия соответствует требованиям ч. 4 ст. 9 152-ФЗ;
  • Согласие оформлено на бумажном носителе и содержит собственноручную подпись субъекта ПДн, или в форме электронного документа, подписанного электронной подписью.

Требования к оформлению Согласия

Требование оформления письменного Согласия всегда фиксируется в тексте нормативно-правовых актов. Письменная форма Согласия применяется, в частности, для следующих видов:

  • Согласие на получение персональных данных сотрудников из внешних источников (п. 3 ст. 86 ТК РФ);
  • Согласие на передачу персональных данных сотрудников (ст. 88 ТК РФ);
  • Согласие на обработку специальных категорий персональных данных (п. 1 ч. 2 ст. 10 152-ФЗ);
  • Согласие на обработку биометрических персональных данных (ч. 1 ст. 11 152-ФЗ);
  • Согласие на использование автоматизированных методов обработки персональных данных для принятия юридически значимых решений, оказывающих влияние на правовое положение субъекта (ч. 2 ст. 16 152-ФЗ);
  • Согласие на размещение персональных данных в открытых источниках (ч. 1 ст. 8 152-ФЗ).

Особое внимание следует уделить вопросу необходимости получения письменного Согласия при передаче персональных данных. Процесс передачи включает в себя такие действия, как распространение, предоставление и доступ.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц. О необходимых видах Согласия в рамках распространения данных мы говорили в первой части практического руководства.

Получение Согласия на предоставление персональных данных

Остановимся подробнее на вопросах, связанных с получением Согласия на предоставление персональных данных и обеспечения доступа к ним. Передача и доступ к персональным данным, в отличие от их распространения, связаны с предоставлением информации конкретному лицу или ограниченной группе лиц. Такие операции по обработке персональных данных могут возникнуть как при поручении обработки третьей стороне, так и без такого поручения.

Основные различия поручения и передачи без поручения

Поручение Передача без поручения
Признаки Могу обрабатывать ПДн для данной цели самостоятельно, но не хочу В силу полномочий не могу обрабатывать ПДн самостоятельно, но услуга мне необходима
Примеры Услуги бухгалтерского и кадрового учёта
Услуги бронирования и организации командирования работников
Техническое обеспечение ИСПДн оператора
Сопровождение интернет-ресурсов оператора
Услуги рекламной и информационной рассылки
Организация медицинских осмотров ДМС
Выпуск банковских карт и начисление выплат
Услуги по перевозке пассажиров (такси)
Требования к оформлению договора Обязательное соответствие ч. 3 ст. 6 152-ФЗ Может не содержать положений, указанных в ч. 3 ст. 6 152-ФЗ
Кто оформляет Согласие (если отсутствуют иные правовые основания) Оператор
Лицо по поручению не обязано получать Согласие на обработку переданных оператором ПДн (ч. 4 ст. 6 152-ФЗ)
Оператор
Кто несёт ответственность в случае нарушения прав субъекта ПДн Оператор – перед субъектом ПДн
Лицо по поручению – перед оператором
Оператор и лицо по поручению – в случае поручения иностранному лицу
Оператор – за правомерность передачи
Третье лицо – за фактическую обработку

При передаче персональных данных возникает обязанность получить письменное Согласие в следующих случаях:

  • Когда согласие является единственным законным основанием для обработки данных в конкретной ситуации.
  • Как определить, нужно ли получить согласие на обработку персональных данных в конкретном случае, читайте в нашей статье.

  • Когда для данной ситуации законом явно предусмотрена необходимость оформления письменного согласия.

Проанализируем этот подход, взяв за основу передачу данных в компанию-аутсорсер при осуществлении управления кадровым и бухгалтерским учётом:

  • данные отношения, с точки зрения 152-ФЗ, образуют поручение на обработку персональных данных;
  • передача данных для ведения кадрового и бухгалтерского учёта аутсорсеру – инициатива работодателя, поэтому оценка правовых оснований такой передачи с учётом ч. 1 ст. 6 152-ФЗ позволяет говорить о том, что для этого случая правовым основанием будет являться именно Согласие (нет установленной законом обязанности на передачу данных, нет договоров, стороной которых или выгодоприобретателями по которым являются сотрудники оператора и т. д.);
  • поскольку речь идёт о передаче данных работников, то необходимо руководствоваться ст. 88 ТК РФ, предусматривающей обязанность оформления письменного Согласия на передачу этих данных.

Следовательно, приходим к выводу, что при передаче данных работников в компанию-аутсорсер для ведения кадрового и бухгалтерского учёта, работодатель должен получить письменное Согласие сотрудников на передачу этих данных. Однако стоит отметить, что для компании-аутсорсера не обязательно получение Согласий от сотрудников клиента. Важно, чтобы условия договора между аутсорсером и работодателем соответствовали требованиям ч. 3 ст. 6 152-ФЗ.

Как было указано ранее, любое письменное Согласие на обработку должно строго соответствовать ч. 4 ст. 9 152-ФЗ. Именно по этой причине все формы Согласий, требующие письменного оформления, не могут включать несколько целей обработки персональных данных.

Когда можно использовать мультисогласие

Получения мультисогласия возможно только в случаях, когда обработка персональных данных не подпадает под обязательное требование получения письменной формы Согласия. Важно учесть, что согласие по закону должно быть конкретным, предметным, информированным, осознанным и однозначным. Поэтому, если в Согласии необходимо указать несколько целей обработки, рекомендуется руководствоваться принципом однородности в отношении включаемых целей и объёма обрабатываемых личных данных.

Рассмотрим ситуацию на примере обработки персональных данных на сайте компании.

При получении информации через веб-ресурс возможно использование мультисогласия, так как:

  • для данной ситуации не требуется оформление письменной формы;
  • можно определить однородные цели, для которых объём обрабатываемых данных примерно одинаков. К этим целям можно, в частности, отнести: оказание информационно-консультационных и иных услуг в соответствии с деятельностью оператора; включение в члены сообщества; регистрация на мероприятия; осуществление обратной связи; осуществление заочных опросов с целью изучения мнения об оказанных услугах; сбор статистической информации о пользователях с использованием метрической программы Яндекс.Метрика; информационная рассылка.

Несмотря на то что объём обрабатываемых данных для каждой указанной цели будет примерно одинаков, в Согласии лучше указать категории данных по отношению к каждой цели – это увеличит соответствие Согласия принципам конкретности и однозначности.

Однако включить в мультисогласие на сайте цели, связанные с распространением персональных данных, не получится, поскольку:

  • при использовании общедоступных источников информации (например, телефонных справочников или адресных книг) требуется получение письменного Согласия;
  • при распространении персональных данных в сети Интернет на ресурсах, которые не являются адресными книгами или телефонными справочниками, необходимо соблюдать определённые условия. В частности, требуется получение специального Согласия от субъекта персональных данных на обработку информации, разрешённой для распространения. Это согласие должно быть оформлено отдельно от других видов согласий, и его состав регламентирован приказом Роскомнадзора от 24.02. 2021 № 18.

Ещё одним отличием в оформлении письменного Согласия от Согласия в свободной форме является требование указания лиц, как юридических, так и физических, которым предполагается передавать данные.

Ч. 4 ст. 9 152-ФЗ устанавливает требования для оформления письменного Согласия, включая указание наименования или фамилии, имени, отчества и адреса лица, которое будет осуществлять обработку персональных данных по поручению оператора, если обработка поручается указанному лицу.

Если передача данных происходит вне договора о поручении и осуществляется через оформление Согласия в свободной форме, то прямого требования указывать лиц, которым будут переданы данные, не существует. Тем не менее, рекомендуется включать подобную информацию в Согласие, чтобы сделать процесс обработки персональных данных в компании более прозрачным и понятным для субъектов. В таком случае возможны различные способы указания информации о лицах, которым будут переданы персональные данные.

Приведём несколько примеров для наглядности.

  • При передаче информации большому числу лиц возможно предусмотреть в Согласии условие о том, что в определённых целях данные могут быть переданы третьим лицам, например, партнёрам компании, с перечнем которых субъект персональных данных может ознакомиться на сайте оператора или в другом указанном источнике.
  • Если меняются получатели данных, но цели обработки и конкретная ситуация, связанная с передачей данных, не меняются (например, передача данных сотрудников для каждого электронного конкурса/аукциона, где необходимо предоставить их персональные данные для участия), то достаточно получить одно Согласие в целях участия в торгах, электронных конкурсах/аукционах на объём данных, необходимых для указанных целей и при подписании разъяснить (можно устно) сотруднику о необходимости обработки таких сведений с учётом его должностных обязанностей и требований законодательства о торгах. Аналогичная ситуация с передачей данных сотрудников в образовательные учреждения в целях повышения квалификации, переподготовки, обучения или получения дополнительного образования (возможно получение одного Согласия в указанных целях без указания конкретных образовательных учреждений).

Подведём итог

В заключение хочется отметить, что процесс оформления Согласия на обработку персональных данных не может быть формальным. Необходима полная и всесторонняя оценка каждого конкретного случая обработки с точки зрения правовых оснований, действий с персональными данными, категорий обрабатываемых данных, доступности для третьих лиц и т. д. Только так можно понять, какая форма Согласия вам потребуется, можно ли объединить в Согласии несколько целей обработки, а также нужно ли указать наименования конкретных юридических и физических лиц, кому данные передаются.

В третьей и заключительной части нашего практического руководства поговорим о типовых ошибках при использовании Согласий и способах подтверждения наличия согласия.

Приятным бонусом станет памятка оператору по работе с Согласиями на обработку персональных данных.

3032
Комментарии для сайта Cackle
Предыдущая статья
Следующая статья
Следующая статья
Создайте машиночитаемую доверенность (МЧД) за 2 минуты. Работайте с доверенностями эффективно!
Зарегистрируйте бизнес онлайн за 15 минут
Зарегистрировать бизнес
autohello-finger