Согласие на обработку персональных данных: как составить документ, чтобы не получить штраф?

В соответствии с пп. 3 п. 3 абз. 1 ст. 3 Федерального закона от 27.07.2006г. № 152-ФЗ (далее – «ФЗ № 152») под обработкой персональных данных понимается любое действие, совершаемое с персональными данными (например, сбор, запись, уточнение, хранение).

В правоотношениях по обработке персональных данных всегда принимают участие 2 обязательных участника – это:

Оператор – лицо, которое организует и/или осуществляет обработку персональных данных;
Субъект персональных данных – физическое лицо, которое предоставляет оператору свои персональные данные для их обработки.

Обработка персональных данных признается законной, когда:

Такое право или обязанность предусмотрены законодательством РФ, при этом согласие субъекта необязательно (п. п. 2 – 11 ч. 1 ст. 6 ФЗ № 152);
Субъект персональных данных предоставил соответствующее письменное согласие (п. 1 ч. 1 ст. 6 ФЗ № 152).

Таким образом, согласие субъекта – это правовое основание обработки персональных данных в случаях, когда такая обработка прямо не предусмотрена требованиями законодательства.

По общему правилу, согласие на обработку персональных данных может быть дано в любой форме, которая позволит оператору доказать факт получения такого согласия. На практике операторы составляют такое согласие в письменном или электронном виде (например, проставление галочки на сайте).

При этом предусмотрены случаи, когда согласие обязательно должно быть составлено в письменной форме (например, при обработке специальных категорий персональных данных, биометрических данных, трансграничной передаче персональных данных).

Важно! Согласие на обработку персональных данных должно быть составлено отдельно от иных документов, включение согласия на обработку персональных данных в договор не признается надлежащим получением согласия (ч. 1 ст. 9 ФЗ № 152). Данная позиция подтверждается разъяснениями Роскомнадзора.

Важно! Если Вы как оператор персональных данных планируете осуществлять распространение персональных данных (т.е. раскрытие персональных данных неопределенному кругу лиц), то Вам необходимо получить дополнительное согласие на совершение конкретно данного действия (ч. 1 ст. 10.1. ФЗ № 152), которое должно быть составлено отдельно от иных согласий.

Требования к содержанию согласия на обработку персональных данных установлены ст. 9 ФЗ № 152.

Типичными ошибками, за которые Роскомнадзор применяет меры ответственности, являются:

расплывчатые цели («для любых законных целей»);
широкий перечень персональных данных, не корреспондирующий целям обработки;
отсутствие срока, процедур отзыва согласия.

Команда C Cases рекомендует добавлять операторам в свои согласия следующие разделы:

Сведения о субъекте персональных данных (ФИО, дата и место рождения, паспортные данные гражданина РФ);
Сведения об операторе персональных данных (например, для юридического лица – ОГРН, ИНН, сведения о лице, имеющем право без доверенности действовать от имени юридического лица);
Цели обработки персональных данных (например, проведение маркетингового исследования, рекламной рассылки);
Перечень персональных данных, на обработку которых дается согласие (например, ФИО, место рождения, адрес электронной почты);
Действия, которые оператор вправе совершать с персональными данными (например, сбор, запись, хранение, уточнение);
Срок, на который предоставляется такое согласие.

При обработке персональных данных без надлежащего согласия субъекта (или при согласии без обязательных реквизитов) наступает ответственность, предусмотренная ч. 1 ст. 13.11 КоАП РФ.

Для физических лиц: административный штраф в размере от 10 000 руб. до 15 000 руб.;
Для должностных лиц и индивидуальных предпринимателей: административный штраф в размере от 50 000 руб. до 100 000 руб.;
Для юридических лиц: административный штраф в размере от 150 000 руб. до 300 000 руб.;

При обработке персональных данных без надлежащего обязательного письменного согласия субъекта (или без обязательных реквизитов) наступает ответственность, предусмотренная ч. 2 ст. 13.11. КоАП РФ:

Для физических лиц: административный штраф в размере от 10 000 руб. до 15 000 руб.;
Для должностных лиц и индивидуальных предпринимателей: административный штраф в размере от 100 000 руб. до 300 000 руб.;
Для юридических лиц: административный штраф в размере от 300 000 руб. до 700 000 руб.

Согласие на обработку персональных данных представляет собой самостоятельное правовое основание обработки персональных данных в тех случаях, когда такая обработка прямо не предусмотрена законодательством. Именно наличие надлежащим образом оформленного согласия позволяет оператору подтвердить законность совершаемых действий с персональными данными и существенно снизить риск привлечения к административной ответственности.

С учетом усиливающегося контроля со стороны Роскомнадзора и роста числа утечек персональных данных подготовка корректного согласия на их обработку переходит из категории формальной рекомендации в категорию необходимого условия правовой безопасности бизнеса.

Если Вам как оператору персональных данных необходимо определить, требуется ли получение согласия в конкретной ситуации, подготовить корректный текст согласия, учесть требования к обработке специальных категорий персональных данных, а также проверить действующие документы на наличие юридических рисков, команда C Cases поможет подготовить для Вас «рабочий» комплект документов и защитить Ваши интересы во взаимоотношениях с субъектами персональных данных и контролирующими органами.

‍

Источники

Федеральный закон от 27.07.2006г. № 152-ФЗ;
Кодекс Российской Федерации об административных правонарушениях от 30.12.2001г. № 195-ФЗ.