В рамках нашего цикла статей, посвященного Согласию на обработку персональных данных, мы переходим ко второй части практического руководства. В этом выпуске мы подробно рассмотрим различные виды Согласий. Выясним, что представляет собой письменное Согласие и почему определенные виды Согласий требуют строго письменной формы.
Кроме того, проанализируем особенности передачи персональных данных третьим лицам и их распространения. Рассмотрим ситуации, когда в одном Согласии может быть указано несколько целей сбора данных. Имеет ли значение перечисление в Согласии наименований юридических и физических лиц, которым данные будут переданы? И что обязательно должно быть учтено, чтобы избежать необходимости получения Согласия от сотрудников клиента?
Осуществляя свою деятельность, операторы сталкиваются с обстоятельствами, требующими оформления различных видов Согласий на обработку персональных данных:
- Согласие на обработку персональных данных как законное основание
- Согласие на получение персональных данных из внешних источников
- Согласие на передачу персональных данных для их обработки.
- Согласие на продвижение товаров, работ и услуг
- Согласие на обработку персональных данных, разрешенных субъектом для распространения
- Согласие на обработку персональных данных недееспособных лиц от их законных представителей
- Согласие на обработку персональных данных со стороны наследников умершего.
- Согласие на обработку персональных данных без использования средств автоматизации
- Согласие на обработку специальных категорий персональных данных
- Согласие на обработку биометрических персональных данных
- Согласие на использование автоматизированных методов обработки персональных данных для принятия юридически значимых решений, оказывающих влияние на правовое положение субъекта
- Согласие на размещение персональных данных в открытых источниках.
Для определенных Согласий требуется оформление в письменном виде, необходимые формы поможет сформировать сервис 152DOC.
Письменное Согласие – это форма, которая включает в себя два основных элемента:
- содержание такого Согласия соответствует требованиям ч. 4 ст. 9 152-ФЗ;
- Согласие оформлено на бумажном носителе и содержит собственноручную подпись субъекта ПДн, или в форме электронного документа, подписанного электронной подписью.
Требование оформления письменного Согласия всегда фиксируется в тексте нормативно правовых актов. Письменная форма Согласия применяется, в частности, для следующих видов:
- Согласие на получение персональных данных сотрудников из внешних источников (п. 3 ст. 86 ТК РФ)
- Согласие на передачу персональных данных сотрудников (ст. 88 ТК РФ)
- Согласие на обработку специальных категорий персональных данных (п. 1 ч. 2 ст. 10 152-ФЗ)
- Согласие на обработку биометрических персональных данных (ч. 1ст. 11 152-ФЗ)
- Согласие на использование автоматизированных методов обработки персональных данных для принятия юридически значимых решений, оказывающих влияние на правовое положение субъекта (ч. 2 ст. 16 152-ФЗ)
- Согласие на размещение персональных данных в открытых источниках (ч. 1 ст. 8 152-ФЗ).
Особое внимание следует уделить вопросу необходимости получения письменного Согласия при передаче персональных данных. Процесс передачи включает в себя такие действия, как распространение, предоставление и доступ.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц. О необходимых видах Согласия, в рамках распространения данных, мы говорили в первой части практического руководства.
Остановимся подробнее на вопросах, связанных с получением Согласия на предоставление персональных данных и обеспечения доступа к ним. Передача и доступ к персональным данным, в отличие от их распространения, связаны с предоставлением информации конкретному лицу или ограниченной группе лиц. Такие операции по обработке персональных данных могут возникнуть как при поручении обработки третьей стороне, так и без такого поручения.
Основные различия поручения и передачи без поручения в таблице:
Поручение | Передача без поручения | |
Признаки | Могу обрабатывать ПДн для данной цели самостоятельно, но не хочу | В силу полномочий не могу обрабатывать ПДн самостоятельно, но услуга мне необходима |
Примеры | Услуги бухгалтерского и кадрового учета Услуги бронирования и организации командирования работников Техническое обеспечение ИСПДн оператора Сопровождение интернет-ресурсов оператора Услуги рекламной и информационной рассылки | Организация медицинских осмотров ДМС Выпуск банковских карт и начисление выплат Услуги по перевозке пассажиров (такси) |
Требования к оформлению договора | Обязательное соответствие ч. 3 ст. 6 152-ФЗ | Может не содержать положений, указанных в ч. 3 ст. 6 152-ФЗ |
Кто оформляет Согласие (если отсутствуют иные правовые основания) | Оператор Лицо по поручению не обязано получать Согласие на обработку переданных оператором ПДн (ч. 4 ст. 6 152-ФЗ) | Оператор |
Кто несет ответственность в случае нарушения прав субъекта ПДн | Оператор – перед субъектом ПДн Лицо по поручению – перед оператором Оператор и лицо по поручению – в случае поручения иностранному лицу | Оператор – за правомерность передачи Третье лицо – за фактическую обработку |
При передаче персональных данных возникает обязанность получить письменное Согласие в следующих случаях:
- Когда согласие является единственным законным основанием для обработки данных в конкретной ситуации (как определить «Нужно ли получить согласие на обработку персональных данных в конкретном случае?» читайте здесь).
- Когда для данной ситуации законом явно предусмотрена необходимость оформления письменного согласия.
Проанализируем этот подход, взяв за основу передачу данных в компанию-аутсорсер при осуществлении управления кадровым и бухгалтерским учетом:Начало формы
• данные отношения с точки зрения 152-ФЗ образуют поручение на обработку персональных данных;
• передача данных для ведения кадрового и бухгалтерского учета аутсорсеру – инициатива работодателя, поэтому оценка правовых оснований такой передачи с учетом ч. 1 ст. 6 152-ФЗ позволяет говорить о том, что для этого случая правовым основанием будет являться именно Согласие (нет установленной законом обязанности на передачу данных, нет договоров, стороной которых или выгодоприобретателями по которым являются сотрудники оператора, и т. д.);
• поскольку речь идет о передаче данных работников, то необходимо руководствоваться ст. 88 ТК РФ, предусматривающей обязанность оформления письменного Согласия на передачу этих данных.
Следовательно, приходим к выводу, что при передаче данных работников в компанию-аутсорсер для ведения кадрового и бухгалтерского учета, работодатель должен получить письменное Согласие сотрудников на передачу этих данных. Однако стоит отметить, что для компании-аутсорсера не обязательно получение Согласий от сотрудников клиента. Важно, чтобы условия договора между аутсорсером и работодателем соответствовали требованиям ч. 3 ст. 6 152-ФЗ.
Как было указано ранее, любое письменное Согласие на обработку должно строго соответствовать ч. 4 ст. 9 152-ФЗ. Именно по этой причине все формы Согласий, требующие письменного оформления, не могут включать несколько целей обработки персональных данных.
Получения мультисогласия возможно только в случаях, когда обработка персональных данных не подпадает под обязательное требование получения письменной формы Согласия. Важно учесть, что согласие по закону должно быть конкретным, предметным, информированным, осознанным и однозначным. Поэтому, если в Согласии необходимо указать несколько целей обработки, рекомендуется руководствоваться принципом однородности в отношении включаемых целей и объема обрабатываемых личных данных.
Рассмотрим ситуацию на примере обработки персональных данных на сайте компании. При получении информации через веб-ресурс возможно использование мультисогласия, так как:
- для данной ситуации не требуется оформление письменной формы.
- можно определить однородные цели, для которых объем обрабатываемых данных примерно одинаков. К этим целям можно, в частности, отнести: оказание информационно-консультационных и иных услуг в соответствии с деятельностью оператора; включение в члены сообщества; регистрация на мероприятия; осуществление обратной связи; осуществление заочных опросов с целью изучения мнения об оказанных услугах; сбор статистической информации о пользователях с использованием метрической программы Яндекс. Метрика; информационная рассылка.
Несмотря на то, что объем обрабатываемых данных для каждой указанной цели будет примерно одинаков, в Согласии лучше указать категории данных по отношению к каждой цели – это увеличит соответствие Согласия принципам конкретности и однозначности.
Однако, включить в мультисогласие на сайте цели, связанные с распространением персональных данных, не получится, поскольку:
- при использовании общедоступных источников информации (например, телефонных справочников или адресных книг) требуется получение письменного Согласия.
- при распространении персональных данных в сети Интернет на ресурсах, которые не являются адресными книгами или телефонными справочниками, необходимо соблюдать определенные условия. В частности, требуется получение специального Согласия от субъекта персональных данных на обработку информации, разрешенной для распространения. Это согласие должно быть оформлено отдельно от других видов согласий, и его состав регламентирован приказом Роскомнадзора от 24.02. 2021 № 18.
Еще одним отличием в оформлении письменного Согласия от Согласия в свободной форме является требование указания лиц, как юридических, так и физических, которым предполагается передавать данные.
Ч. 4 ст. 9 152-ФЗ устанавливает требования для оформления письменного Согласия, включая указание наименования или фамилии, имени, отчества и адреса лица, которое будет осуществлять обработку персональных данных по поручению оператора, если обработка поручается указанному лицу.
Если передача данных происходит вне договора о поручении и осуществляется через оформление Согласия в свободной форме, то прямого требования указывать лиц, которым будут переданы данные, не существует. Тем не менее, рекомендуется включать подобную информацию в Согласие, чтобы сделать процесс обработки персональных данных в компании более прозрачным и понятным для субъектов. В таком случае возможны различные способы указания информации о лицах, которым будут переданы персональные данные.
Приведем несколько примеров для наглядности:
- при передаче информации большому числу лиц возможно предусмотреть в Согласии условие о том, что в определенных целях данные могут быть переданы третьим лицам, например, партнерам компании, с перечнем которых субъект персональных данных может ознакомиться на сайте оператора или в другом указанном источнике.
- если меняются получатели данных, но цели обработки и конкретная ситуация, связанная с передачей данных, не меняются (например, передача данных сотрудников для каждого электронного конкурса/аукциона, где необходимо предоставить их персональные данные для участия), то достаточно получить одно Согласие в целях участия в торгах, электронных конкурсах/аукционах на объем данных, необходимых для указанных целей и при подписании разъяснить (можно устно) сотруднику о необходимости обработки таких сведений с учетом его должностных обязанностей и требований законодательства о торгах. Аналогичная ситуация с передачей данных сотрудников в образовательные учреждения в целях повышения квалификации, переподготовки, обучения или получения дополнительного образования (возможно получение одного Согласия в указанных целях без указания конкретных образовательных учреждений).
В заключение хочется отметить, что процесс оформления Согласия на обработку персональных данных не может быть формальным. Необходима полная и всесторонняя оценка каждого конкретного случая обработки с точки зрения правовых оснований, действий с персональными данными, категорий обрабатываемых данных, доступности для третьих лиц и т. д. Только так можно понять, какая форма Согласия вам потребуется, можно ли объединить в Согласии несколько целей обработки, а также нужно ли указать наименования конкретных юридических и физических лиц, кому данные передаются.
В третьей и заключительной части нашего практического руководства поговорим о типовых ошибках при использовании Согласий и способах подтверждения наличия согласия.
Приятным бонусом станет памятка оператору по работе с Согласиями на обработку персональных данных.