Какие Согласия на обработку персональных данных вам действительно нужны. Практическое руководство. Часть 3

В последней части нашего руководства сфокусируемся на теме, касающейся ошибок и рисков, связанных с использованием Согласий. Также рассмотрим, как подтверждать Согласия, если данные получены через мессенджеры, электронную почту и телефон.

Ошибки, связанные с согласиями

  1. Согласие может дублировать другие основания для обработки данных (Согласие получено только на то, что и так предусматривает трудовой договор, нет специфики, требующей согласия).


    В приведенном примере Согласие получено только с целью исполнения условий трудового договора, что является самостоятельным условием для обработки ПДн сотрудников. Перечень ПДн также обусловлен исполнением трудового законодательства, касается оформления сотрудника на работу, исполнения им трудовых обязанностей, обучения, продвижения по службе. Сроки обработки ПДн определены в согласии сроком действия трудового договора. Согласие в таком объеме – в принципе не нужно: даже если сотрудник его отзовет, это не прекратит обработку работодателем указанных в нем ПДн для целей исполнения трудового договора.
  2. Возможны ошибки в текстах Согласий. Распространенная ошибка – использование при определении перечня действий с ПДн формулировки «… распространение (передача, предоставление, доступ) …». Более широким понятием является «передача», включающая в себя такие действия, как распространение, предоставление, доступ.
  3. Разные требования к различным видам Согласий, можно запутаться в том, какие нормы применять.
    О видах Согласий и их содержании мы подробно говорили во 2 части практического руководства.
  4. Множество целей и обработчиков, требующих обязательной письменной формы (включили в Согласие всё, что могли). Напомним, что мультисогласие не применимо к случаям, когда требуется письменное Согласие и при поручении обработки. В иных случаях мультисогласие использовать можно, включив в него однородные, близкие по смыслу, взаимосвязанные цели обработки персональных данных.
    Также не получится сделать одно Согласие на поручение обработки различным компаниям с различными целями. При определении перечня действий с ПДн не стоит слепо копировать полный перечень из 152-ФЗ. Разберитесь, что действительно вы будете делать с ПДн.
    Типовая ошибка – включение в общий перечень действий «распространение ПДн». Вопросы распространения ПДн регулируются отдельными нормами закона и Согласие на распространение должно быть получено отдельно от других Согласий (ст. ст. 8, 10.1 152-ФЗ).
  5. Неопределенность или двусмысленность целей, использование расширенных формулировок:
    • «договорные отношения» – расширенная и неоднозначная цель (договоры могут быть с клиентами, с сотрудниками, с контрагентами, с лицами по поручению и т. д.).
    • «оказание туристических услуг в рамках договоров о реализации туристского продукта» – конкретизированная цель, связанная с определенным видом деятельности компании.

    Проанализируем ситуацию: сотруднику необходимо оформить пропуск, чтобы попасть на территорию заказчика для выполнения работ/услуг. Для этого нужно предварительно передать заказчику ПДн направляемого сотрудника.

    Сравним несколько формулировок целей обработки ПДн:

    Для получения пропускаЦель обработки вызывает много вопросов: какого пропуска, для чего он нужен и т.д. Такую цель трудно назвать определенной и конкретной.
    Для получения пропуска на территорию ООО «Заказчик» (реквизиты) в соответствии с установленными правилами пропускного режима для выполнения работ по договору (реквизиты)Самая однозначная, поскольку здесь передача ПДн обоснована наличием договора на выполнение работ/оказание услуг, действием на территории заказчика пропускного режима, а перечень лиц ограничен конкретным заказчиком.
    Для получения пропуска на территорию третьих лиц (заказчиков, контрагентов) для осуществления работ/выполнения услуг в соответствии с установленными правилами пропускного режима на данных объектах. Допустима, когда заказчиков много и получение каждый раз отдельного Согласия на оформление пропуска трудозатратно. Для однородных случаев обработки ПДн данная цель сформулирована корректно и полно – понятна ситуация, требующая передачи ПДн сотрудника, есть отсылка на наличие пропускного режима, понятна цель необходимости пребывания сотрудника на территории заказчика (о каких работах или услугах идет речь сотрудник должен понимать исходя из своих должностных обязанностей).
  6. Сбор избыточных данных. Например, если при оформлении карты лояльности магазина необходимо при заполнении анкеты указать ФИО, контакты, дату рождения (если предусмотрены подарочные бонусы/баллы, скидка) – сбор данных обоснован. Если же для данной цели требуют указания паспортных данных, адреса регистрации, ИНН, СНИЛС – то такой сбор однозначно вызывает вопрос об избыточности ПДн.
  7. Неопределенные сроки и условия прекращения обработки. Бессрочность обработки данных. В Согласии обязательно должно быть указано на сроки или условия, при наступлении которых обработка ПДн будет прекращена (достижение цели обработки, исполнение договора, прекращение трудовых отношений и тд.). Не забывайте также о праве субъекта на отзыв Согласия.
  8. Неопределенность в указании сведений об операторе и обработчике данных. Соглашаясь на обработку ПДн, субъект должен понимать, кому он дает такое согласие. Поэтому в Согласии сведения об операторе (наименование, реквизиты, контакты) должны быть полными и достоверными.
    Конкретные лица, которым данные будут передаваться, должны быть обязательно указаны в Согласии при поручении обработки ПДн и получении Согласия в письменной форме (ч. 4 ст. 9 152-ФЗ). За несоответствие Согласия в письменной форме требованиям ч. 4 ст. 9 152-ФЗ предусмотрена административная ответственность по ч. 2 ст. 13.11 КоАП РФ. При других обстоятельствах такого жесткого требования нет, но субъект должен быть проинформирован и понимать, кому данные передаются.
  9. Использование предустановленных галочек Согласия. Такие ошибки характерны для сайтов. Следует помнить, что не допускается принятие решения за субъекта ПДн или решения по умолчанию – согласие должно быть сознательным, человек должен действовать своей волей и в своих интересах.
    О возможных вариантах решения данного вопроса говорили в предыдущей части.
  10. Встроенные Согласия, не выделенные в тексте Политики. Например: при посещении сайта пользователь дает согласие на обработку ПДн с использованием метрических программ с целью сбора статистической информации о пользователях, предотвращения, выявления и решения технических проблем. При этом информация об этом отсутствует в Политике. Как следствие – Политика обработки ПДн не соответствует фактической деятельности и не содержит информации о каждой цели обработки ПДн, осуществляемой оператором (т.е. требования пп. 2 ч. 1 ст. 18.1 152-ФЗ исполнены не в полной объеме).
  11. Согласия, включенные в договор. Договор – самостоятельное условие на обработку ПДн. Для его заключения и исполнения не требуется Согласие.
    Включение в текст договора согласия для обработки в целях, не связанных с договором, может повлечь навязывание услуг клиенту, на которые он не согласен. Например, включение согласия на получение рекламы как пункт в договоре в большинстве случаях трактуется как ошибка.
    Таким образом, если речь идет о «вспомогательных услугах», прямо не связанных с предметом договора, должна быть предусмотрена возможность отказа от них и получено отдельное Согласие.
    Однако, это не значит, что в договоре нельзя касаться вопросов обработки ПДн. Не запрещено указать в договоре, например, на порядок взаимодействия или обмена информацией (в том числе, ПДн) в рамках договора определенными способами (заранее согласованными с клиентом или предложить несколько вариантов взаимодействия).
  12. Согласие на рекламу, встроенное в общее согласие. Согласие на рассылку рекламных сообщений помимо ст. 15 152-ФЗ регулируется законодательством о рекламе (ч.1 ст. 18 38-ФЗ), поэтому не стоит включать его в общее Согласие.
  13. Одно согласие нескольким операторам. Правовая конструкция 152-ФЗ не допускает указания нескольких операторов в одном письменном Согласии.
    С учетом вышеизложенных факторов, связанных с использованием Согласий, подчеркнем необходимость разработки ясных и точных формулировок Согласий, а также внимательного контроля за процессами сбора и управления Согласий.

Сервис 152DOC поможет вашей компании сформировать необходимые формы Согласий, а также полный пакет организационно-распорядительной документация (ОРД) согласно 152-ФЗ.

Следующим шагом рассмотрим доказательства наличия Согласия и методы их предоставления. К таким доказательствам относятся:

  • Оригинал письменного Согласия на бумаге.
  • Скан-копия подписанного Согласия
  • Лог-файлы сайта, информационной системы, SMS- и email-шлюзов, CMS, а также сервисов аутентификации
  • Файл с электронной подписью, вместе с соответствующим электронным документом.
  • Аудиозаписи
  • Пользовательский маршрут (последовательность действий или путей, которые пользователь проходит при взаимодействии с веб-сайтом или приложением, включая передачу своих личных данных)

В качестве способов предоставления доказательств можно рассмотреть следующие:

  • Принятие согласия через активные действия пользователя (конклюдентное согласие).
  • Запись событий и операций, связанных с предоставлением согласия (логирование согласия).
  • Получение подтверждения путем отправки уведомлений на электронную почту или мобильный телефон
  • Аутентификация пользователя через сторонние системы, такие как Сбербанк, ВКонтакте и Яндекс.
  • Внедрение системы управления согласиями (Consent Management System).
  • Электронная подпись для подтверждения согласия.

Риски

  • Возможность отзыва Согласия.

    Если после отзыва Согласия не найдется иное правовое основание для обработки ПДн, оператору придется не только прекратить такую обработку и уничтожить полученные ПДн, но и не забыть уведомить об этом субъекта. Если данные обрабатывались лицом по поручению – оператор также должен принять меры по прекращению обработки ПДн этим лицом. Иначе оператор рискует нарушить требования 152-ФЗ (ст. 20, 21).

  • Необходимость доказывать факт получения Согласия.

    Обязанность предоставить доказательство получения Согласия или наличия иных правовых оснований обработки ПДн возлагается на оператора (ч. 3 ст. 9 152-ФЗ). Такая обязанность может возникнуть при обращении субъекта, запросе или требовании уполномоченного органа, а также, если контрагент или лицо по поручению захотят убедиться, что ПДн переданы в их адрес на законных основаниях.

    Именно поэтому так важно вести учет полученных Согласий, а также обращений субъектов ПДн (назначение ответственных за учет, ведение журнала учета, использование специальных программ и тд.).

  • Штрафы по 13.11 КоАП РФ.

    Ранее мы отметили, что административная ответственность за обработку ПДн в отсутствие правовых оснований (в том числе, Согласия) или обработку ПДн в отсутствие письменного согласия в установленных законом случаях, предусмотрена ч. ч. 1, 1.1, 2, 2.1 ст. 13.11 КоАП РФ.Обратим внимание, что после вступления в силу № 589-ФЗ от 12.12.2023 штрафы за обработку ПДн без Согласия в письменной форме, предусмотренного законом (ч. ч. 2, 2.1 ст. 13.11 КоАП РФ) значительно увеличились:

  • для должностных лиц – от 100 тыс. до 300 тыс. рублей (за повторное нарушение – от 300 тыс. до 500 тыс. рублей)юридических лиц — от 300 тыс. до 700 тыс. рублей (за повторное нарушение — от 1 млн. до 1,5 млн. рублей)для ИП за повторное нарушение – от 500 тыс. до 1 млн. рублей.
  • Репутационные риски.

    Информация о нарушении компанией прав субъектов ПДн может получить освещение в общедоступных источниках, что негативно скажется на ее имидже и репутации.

В заключении хочется еще раз подчеркнуть, что процесс оформления Согласия не может ограничиваться формальными процедурами.

Информация, представленная в данном руководстве, поможет более подробно разобраться в этом процессе и принимать правильные решения, что, без сомнения, будет способствовать более ответственному отношению к работе с персональными данными.

С сервисом 152DOC формировать важные документы просто и удобно! Повышайте эффективность при обработке документов, связанных с персональными данными!

Для подписчиков нашего тг-канала доступен бонус – «Памятка оператора по получению Согласия»

Подпишитесь на наш канал и получите Памятку!

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять