Какие Согласия на обработку персональных данных вам действительно нужны. Практическое руководство. Часть 2

В рамках нашего цикла статей, посвященного Согласию на обработку персональных данных, мы переходим ко второй части практического руководства. В этом выпуске мы подробно рассмотрим различные виды Согласий. Выясним, что представляет собой письменное Согласие и почему определенные виды Согласий требуют строго письменной формы.

Кроме того, проанализируем особенности передачи персональных данных третьим лицам и их распространения. Рассмотрим ситуации, когда в одном Согласии может быть указано несколько целей сбора данных. Имеет ли значение перечисление в Согласии наименований юридических и физических лиц, которым данные будут переданы? И что обязательно должно быть учтено, чтобы избежать необходимости получения Согласия от сотрудников клиента?

Осуществляя свою деятельность, операторы сталкиваются с обстоятельствами, требующими оформления различных видов Согласий на обработку персональных данных:

  • Согласие на обработку персональных данных как законное основание
  • Согласие на получение персональных данных из внешних источников
  • Согласие на передачу персональных данных для их обработки.
  • Согласие на продвижение товаров, работ и услуг
  • Согласие на обработку персональных данных, разрешенных субъектом для распространения
  • Согласие на обработку персональных данных недееспособных лиц от их законных представителей
  • Согласие на обработку персональных данных со стороны наследников умершего.
  • Согласие на обработку персональных данных без использования средств автоматизации
  • Согласие на обработку специальных категорий персональных данных
  • Согласие на обработку биометрических персональных данных
  • Согласие на использование автоматизированных методов обработки персональных данных для принятия юридически значимых решений, оказывающих влияние на правовое положение субъекта
  • Согласие на размещение персональных данных в открытых источниках.

Для определенных Согласий требуется оформление в письменном виде, необходимые формы поможет сформировать сервис 152DOC.

Письменное Согласие – это форма, которая включает в себя два основных элемента:

  • содержание такого Согласия соответствует требованиям ч. 4 ст. 9 152-ФЗ;
  • Согласие оформлено на бумажном носителе и содержит собственноручную подпись субъекта ПДн, или в форме электронного документа, подписанного электронной подписью.

Требование оформления письменного Согласия всегда фиксируется в тексте нормативно правовых актов. Письменная форма Согласия применяется, в частности, для следующих видов:

Особое внимание следует уделить вопросу необходимости получения письменного Согласия при передаче персональных данных. Процесс передачи включает в себя такие действия, как распространение, предоставление и доступ.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц. О необходимых видах Согласия, в рамках распространения данных,  мы говорили в первой части практического руководства.

Остановимся подробнее на вопросах, связанных с получением Согласия на предоставление персональных данных и обеспечения доступа к ним. Передача и доступ к персональным данным, в отличие от их распространения, связаны с предоставлением информации конкретному лицу или ограниченной группе лиц. Такие операции по обработке персональных данных могут возникнуть как при поручении обработки третьей стороне, так и без такого поручения.

Основные различия поручения и передачи без поручения в таблице:

ПоручениеПередача без поручения
ПризнакиМогу обрабатывать ПДн для данной цели самостоятельно, но не хочуВ силу полномочий не могу обрабатывать ПДн самостоятельно, но услуга мне необходима
ПримерыУслуги бухгалтерского и кадрового учета
Услуги бронирования и организации командирования работников
 
Техническое обеспечение ИСПДн оператора

Сопровождение интернет-ресурсов оператора
Услуги рекламной и информационной рассылки
Организация медицинских осмотров
ДМС
Выпуск банковских карт и начисление выплат
Услуги по перевозке пассажиров (такси)
Требования к оформлению договораОбязательное соответствие ч. 3 ст. 6 152-ФЗМожет не содержать положений, указанных в ч. 3 ст. 6 152-ФЗ
Кто оформляет Согласие (если отсутствуют иные правовые основания)Оператор
Лицо по поручению не обязано получать Согласие на обработку переданных оператором ПДн (ч. 4 ст. 6 152-ФЗ)
Оператор
Кто несет ответственность в случае нарушения прав субъекта ПДнОператор – перед субъектом ПДн
Лицо по поручению – перед оператором
Оператор и лицо по поручению – в случае поручения иностранному лицу
Оператор – за правомерность передачи
Третье лицо – за фактическую обработку

При передаче персональных данных возникает обязанность получить письменное Согласие в следующих случаях:

  • Когда согласие является единственным законным основанием для обработки данных в конкретной ситуации (как определить «Нужно ли получить согласие на обработку персональных данных в конкретном случае?» читайте здесь).
  • Когда для данной ситуации законом явно предусмотрена необходимость оформления письменного согласия.

Проанализируем этот подход, взяв за основу передачу данных в компанию-аутсорсер при осуществлении управления кадровым и бухгалтерским учетом:Начало формы

•     данные отношения с точки зрения 152-ФЗ образуют поручение на обработку персональных данных;

•     передача данных для ведения кадрового и бухгалтерского учета аутсорсеру – инициатива работодателя, поэтому оценка правовых оснований такой передачи с учетом ч. 1 ст. 6 152-ФЗ позволяет говорить о том, что для этого случая правовым основанием будет являться именно Согласие (нет установленной законом обязанности на передачу данных, нет договоров, стороной которых или выгодоприобретателями по которым являются сотрудники оператора, и т. д.);

•     поскольку речь идет о передаче данных работников, то необходимо руководствоваться ст. 88 ТК РФ, предусматривающей обязанность оформления письменного Согласия на передачу этих данных.

Следовательно, приходим к выводу, что при передаче данных работников в компанию-аутсорсер для ведения кадрового и бухгалтерского учета, работодатель должен получить письменное Согласие сотрудников на передачу этих данных. Однако стоит отметить, что для компании-аутсорсера не обязательно получение Согласий от сотрудников клиента. Важно, чтобы условия договора между аутсорсером и работодателем соответствовали требованиям ч. 3 ст. 6 152-ФЗ.

Как было указано ранее, любое письменное Согласие на обработку должно строго соответствовать ч. 4 ст. 9 152-ФЗ. Именно по этой причине все формы Согласий, требующие письменного оформления, не могут включать несколько целей обработки персональных данных.

Получения мультисогласия возможно только в случаях, когда обработка персональных данных не подпадает под обязательное требование получения письменной формы Согласия. Важно учесть, что согласие по закону должно быть конкретным, предметным, информированным, осознанным и однозначным. Поэтому, если в Согласии необходимо указать несколько целей обработки, рекомендуется руководствоваться принципом однородности в отношении включаемых целей и объема обрабатываемых личных данных.

Рассмотрим ситуацию на примере обработки персональных данных на сайте компании. При получении информации через веб-ресурс возможно использование мультисогласия, так как:

  • для данной ситуации не требуется оформление письменной формы.
  • можно определить однородные цели, для которых объем обрабатываемых данных примерно одинаков. К этим целям можно, в частности, отнести: оказание информационно-консультационных и иных услуг в соответствии с деятельностью оператора; включение в члены сообщества; регистрация на мероприятия; осуществление обратной связи; осуществление заочных опросов с целью изучения мнения об оказанных услугах; сбор статистической информации о пользователях с использованием метрической программы Яндекс. Метрика; информационная рассылка.

Несмотря на то, что объем обрабатываемых данных для каждой указанной цели будет примерно одинаков, в Согласии лучше указать категории данных по отношению к каждой цели – это увеличит соответствие Согласия принципам конкретности и однозначности.

Однако, включить в мультисогласие на сайте цели, связанные с распространением персональных данных, не получится, поскольку:

  • при использовании общедоступных источников информации (например, телефонных справочников или адресных книг) требуется получение письменного Согласия.
  • при распространении персональных данных в сети Интернет на ресурсах, которые не являются адресными книгами или телефонными справочниками, необходимо соблюдать определенные условия. В частности, требуется получение специального Согласия от субъекта персональных данных на обработку информации, разрешенной для распространения. Это согласие должно быть оформлено отдельно от других видов согласий, и его состав регламентирован приказом Роскомнадзора от 24.02. 2021 № 18.

Еще одним отличием в оформлении письменного Согласия от Согласия в свободной форме является требование указания лиц, как юридических, так и физических, которым предполагается передавать данные.

Ч. 4 ст. 9 152-ФЗ устанавливает требования для оформления письменного Согласия, включая указание наименования или фамилии, имени, отчества и адреса лица, которое будет осуществлять обработку персональных данных по поручению оператора, если обработка поручается указанному лицу.

Если передача данных происходит вне договора о поручении и осуществляется через оформление Согласия в свободной форме, то прямого требования указывать лиц, которым будут переданы данные, не существует. Тем не менее, рекомендуется включать подобную информацию в Согласие, чтобы сделать процесс обработки персональных данных в компании более прозрачным и понятным для субъектов. В таком случае возможны различные способы указания информации о лицах, которым будут переданы персональные данные.

Приведем несколько примеров для наглядности:

  • при передаче информации большому числу лиц возможно предусмотреть в Согласии условие о том, что в определенных целях данные могут быть переданы третьим лицам, например, партнерам компании, с перечнем которых субъект персональных данных может ознакомиться на сайте оператора или в другом указанном источнике.
  • если меняются получатели данных, но цели обработки и конкретная ситуация, связанная с передачей данных, не меняются (например, передача данных сотрудников для каждого электронного конкурса/аукциона, где необходимо предоставить их персональные данные для участия), то достаточно получить одно Согласие в целях участия в торгах, электронных конкурсах/аукционах  на объем данных, необходимых для указанных целей и при подписании разъяснить (можно устно) сотруднику о необходимости обработки таких сведений с учетом его должностных обязанностей и требований законодательства о торгах. Аналогичная ситуация с передачей данных сотрудников в образовательные учреждения в целях повышения квалификации, переподготовки, обучения или получения дополнительного образования (возможно получение одного Согласия в указанных целях без указания конкретных образовательных учреждений).

В заключение хочется отметить, что процесс оформления Согласия на обработку персональных данных не может быть формальным. Необходима полная и всесторонняя оценка каждого конкретного случая обработки с точки зрения правовых оснований, действий с персональными данными, категорий обрабатываемых данных, доступности для третьих лиц и т. д. Только так можно понять, какая форма Согласия вам потребуется, можно ли объединить в Согласии несколько целей обработки, а также нужно ли указать наименования конкретных юридических и физических лиц, кому данные передаются.

В третьей и заключительной части нашего практического руководства поговорим о типовых ошибках при использовании Согласий и способах подтверждения наличия согласия.

Приятным бонусом станет памятка оператору по работе с Согласиями на обработку персональных данных.

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять