Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как оформить согласие на обработку персональных данных?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Я даю разрешение Банку* на получение из бюро кредитных историй кредитного отчета, содержащего, в том числе, основную часть кредитной истории, определенную в ст. 4 Федерального закона от 30.12.2004 № хх8 — ФЗ «О кредитных историях», для целей проведения Банком проверки и анализа моей кредитоспособности, а также подбора условий кредитования, в которых я потенциально могу быть заинтересован. Автоматизированная и неавтоматизированная обработка персональных данных, указанных в настоящем Согласии, осуществляется Банком с целью получения кредитного отчета. Обработка включает в себя: сбор, запись, систематизацию, хранение, извлечение, использование, передачу (предоставление) третьим лицам**, их работникам и уполномоченным ими лицам, включая обезличивание, блокирование и уничтожение. Срок обработки персональных данных ограничивается достижением указанной выше цели.
Какие данные относятся к персональным?
Все правила обращения с личной информацией регулирует Федеральный закон №152-ФЗ «О персональных данных». Согласно статье 3 этого закона, персональными данными можно назвать любую информацию, которая касается непосредственно физического лица — субъекта этих данных. К информации личного характера следует отнести все паспортные данные: Ф. И. О., дату и место рождения, возраст, место проживания, семейный статус.
В этом же законе есть статья 10, которая вносит в список персональной информации подробности о расе, национальности, моральных убеждениях человека, личной жизни, а также сведения о его здоровье.
В статье 11 понятие «персональные данные» расширяется: под термином понимают любые сведения, фото- или видеоматериалы, по которым можно определить личность человека.
Чтобы предупредить неправомерные действия, личная информация каждого человека должна надежно сохраняться. Многие люди бережно относятся к сведениям о себе, и это оправдано. Поэтому, согласно действующим законам РФ, нельзя обрабатывать личную информацию без согласия субъекта (в некоторых случаях — письменного).
Оформление пользовательского соглашения для сайта имеет ряд юридических особенностей. В пользовательском соглашении должно быть указано правило, по которому в него вносятся изменения, а также в какой момент новая версия вступает в силу – с помощью повторного согласия или автоматически.
Не рекомендуется вводить в этот документ максимальное количество условий. Некоторые из них, например, согласие на рекламную рассылку, должны оформляться отдельно, так как принятие соглашения, в состав которого они включены, предполагает безальтернативность выбора для пользователя.
В результате пользователь может пожаловаться в антимонопольные органы и Роскомнадзор, ведь по статье 18 (п.1) №38-ФЗ «О рекламе» распространение рекламы по сетям электросвязи допускается только с согласия абонента. Причем обязанность доказательства такого согласия возлагается на владельца сайта. Оно должно оформляться в виде 2 отдельных документов: согласие об обработке персональных данных и согласие на получение рекламы.
Штраф за нарушение рекламного законодательства по статье 13.11 КоАП РФ может достигать 500 тысяч рублей.
Пример. В декабре 2019 г. в Ярославское УФАС поступила жалоба от физического лица по поводу получения рекламного смс-сообщения от видеосервиса OKKO. Регистрируясь на его сайте, пользователи принимают пользовательское соглашение и дают согласие на получение рекламных сообщений. Однако УФАС признало, что само заполнение регистрационной формы не является явным подтверждением согласия на получение рекламных сообщений. ООО «Окко» оштрафовано на 100 000 рублей (Постановление Федеральной антимонопольной службы № 7389/04-04 от 20.07.2020).
Что входит в заявление о согласии на обработку персональных данных
Примеры заполнения есть в свободном доступе в большом количестве. Документ составляют на основании положений пункта 4 статьи 9 Федерального закона №
- паспортные данные субъекта;
- сведения о представителе и его праве представлять интересы гражданина;
- сведения об операторе ПДн, которому дается разрешение на хранение, изменение, блокировку и прочие операции;
- перечисление информации, подлежащей передаче и обработке;
- технологию использования ПДн;
- лиц, которых компания либо ИП собираются привлечь для обработки;
- срок действия соглашения;
- порядок отзыва разрешения;
- оригинал подписи заявителя;
- дату подписания.
Общедоступные данные по-новому
С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.
К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.
Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.
Суть охраны персональных данных в 2020 году
Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных”.
Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (статья 3 Закона).
В силу п. 1 ст. 6, ст. 9 Закона о персональных данных обработка персональных данных осуществляется с согласия работника.
Поскольку в случае возникновения спора доказать получение согласия работника на обработку его персональных данных должен работодатель (ч. 3 ст. 9 Закона о персональных данных), лучше оформить такое согласие письменно.
Если у работодателя уже есть согласие работника на обработку персональных данных, то получать новый документ на 2019-2020 год не нужно.
В силу абз. 11 п. 5 Разъяснений Роскомнадзора получать согласие на обработку персональных данных нужно не только у работника, но и у соискателя. Однако если от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, либо соискатель сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц, то согласие на обработку его персональных данных не требуется.
- Персональные данные – конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
- Оператор персональных данных – юридическое или физическое лицо, которое осуществляет их сбор, обработку и хранение. Он обязан обеспечить надежную защиту информации.
- Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность – вплоть до уголовного преследования.
Когда можно отозвать согласие на обработку данных?
В любое время. Так написано в законодательстве. Например, в банк можно обратиться при расторжении или исполнении договора: закрытия в нем счетов или погашения имевшегося кредита. Зачем отзывать, если отношения и так завершены? Для того, чтобы кредитная организация не донимала в дальнейшем бывшего клиента рекламными предложениями.
Но помните — отозвать свои данные из банка можно только тогда, когда у вас закончились с ним все отношения, и вы ему больше ни копейки не должны.
Менее очевидным видится отзыв персональных данных у работодателя после увольнения. Если трудовые отношения между сторонами прекращены, то у работодателя не остается необходимости работать с этими данными. Они списываются в архив и хранятся там. Срок хранения — три года. Но самое главное, что хранятся они там в течение тех же трех лет, даже если гражданин отзовет свое согласие на их обработку. Работать с ними в этом случае нельзя, но и уничтожить тоже.
Отозвать согласие можно при переводе ребенка в другое учебное заведение или после завершения его учебы. Также личные данные имеются у сотовых операторов. И при смене такового можно также потребовать назад свое разрешение на работу с ними.
Подавать заявление на отзыв согласия необходимо в организацию-оператор. Сделать это можно в письменном виде или по электронной почте. Лучше всего такое заявление подавать тем же путем, каким вы давали и свое согласие на обработку персональных данных.
Если согласие давалось в электронном виде, то и отзывайте его по электронным каналам общения. Или, например, если вы пытаетесь отозвать свои данные из банка и вам не лень до него прогуляться, то можете и зайти в отделение с листом бумаги формата А4 и шариковой ручкой.
- Персональные данные — сведения, прямо или косвенно относящиеся к конкретному человеку. Иметь с ними дело время от времени приходится самым разным лицам, а работодателям — всегда. Все действия, производимые с персональными данными, называются их обработкой.
- Работу с персональными данными характеризует ряд особых к ней требований, в число которых входят согласие носителя персональных сведений на обработку данных о нем, обязательное соблюдение конфиденциальности получателем этих сведений, а также заблаговременное определение целей и сроков их использования.
- Работодателю вменяется в обязанность получать персональные сведения непосредственно от работника, а письменное согласие на обработку требуется лишь в ситуациях получения сведений от иных лиц или передачи им данных. Поскольку многие операции, осуществляемые работодателем, требуют сопровождения персональными сведениями работников данных, направляемых третьим лицам (ИФНС, внебюджетные фонды, банки, контролирующие органы), наличие письменного согласия для них становится обязательным.
- Утвержденной формы у бланка согласия на обработку персональных данных не имеется. Но законодательно определен перечень сведений, которые должны быть в нем отражены. Допускается оформление согласия не только на бумаге, но и в виде электронного документа.
Этот элемент подразумевает реальный выбор и контроль для субъектов данных. GDPR предусматривает, что если субъект данных не имеет реального выбора, чувствует себя быть вынужденным согласиться или понести ущерб не согласившись, то такое Согласие считается незаконным. Если Согласие включено в условия обслуживания как неизменная его часть, то оно не считается данным добровольно. Соответственно, Согласие не считается добровольным, если субъект данных не может отказаться или отозвать его без неблагоприятных последствий для себя. Понятие дисбаланса между контролером и субъектом данных также учитывается в GDPR.
Оценивая, добровольно ли дано Согласие, следует также принимать во внимание конкретную ситуацию связи его с соглашениями о предоставлении услуг, как это описано в статье 7(4). Статья 7(4) сформулирована неточно словами “в частности”, что означает, что может существовать целый ряд ситуаций, которые подпадают под действие этой нормы. В общем случае, любой элемент давления или влияния на субъекта данных (который может проявляться различными способами), препятствующий субъекту данных осуществлять свою свободную волю, делает Согласие незаконным.
Пример 1
Мобильное приложение для редактирования фотографий просит своих пользователей активировать GPS-геолокацию для использования его услуг. Приложение также сообщает своим пользователям, что будет использовать собранные данные для поведенческой рекламы. Ни геолокация, ни поведенческая реклама в Интернете не являются необходимыми для редактирования фотографий и выходят за рамки основной услуги. Поскольку пользователи не могут использовать приложение без Согласия, оно не считается данным добровольно.
Контролер обязан продемонстрировать субъекту данных, что тот может отозвать Согласие без ущерба для себя (пункт 42). Например, контролеру необходимо доказать, что отзыв Согласия не приводит к издержкам для субъекта данных и не создает ему очевидных неудобств.
Другими примерами ущерба являются обман, запугивание, принуждение или значительные негативные последствия, если субъект данных не дает своего Согласия. Контролер обязан доказать, что субъект данных имеет свободный выбор относительно того, следует ли давать Согласие, и что он может отозвать его без ущерба для себя.
Если контролер показывает, что услуга включает в себя возможность отозвать Согласие без негативных последствий, например, без снижения качества, это может служить доказательством добровольного Согласия. GDPR не включает все стимулы, но бремя доказательства добровольности данного Согласия лежит на контролере во всех случаях.
Пример 8
При загрузке мобильного lifestyle-приложения, оно запрашивает доступ к акселерометру телефона. Акселерометр не требуется для работы приложения, но полезно для контролера, который хочет знать больше о перемещениях и активности своих пользователей. Когда пользователь отзывает Согласие, он узнает, что приложение теперь работает только в ограниченном режиме. Это пример ущерба, указанный в пункте 42, означающий, что Согласие не было получено законным образом (и поэтому контролеру необходимо удалить все персональные данные о перемещениях пользователя, собранные таким образом).Пример 9
Субъект данных подписывается на информационный бюллетень модного ритейлера со скидками. Ритейлер запрашивает Согласие на сбор дополнительных данных о предпочтениях, чтобы адаптировать предложения на основе истории покупок или анкеты, которую клиент добровольно заполняет. Когда субъект данных отзывает свое Согласие, он снова получает не персонализированные скидки. Это не является ущербом, поскольку был потерян лишь допустимый стимул.Пример 10
Модный журнал предлагает читателям доступ к покупке новых косметических средств до официального релиза. Эти продукты вскоре будут доступны для продажи, но читателям предлагается эксклюзивный предварительный просмотр этих продуктов. Для того чтобы воспользоваться этим преимуществом, они должны предоставить свой почтовый адрес и согласиться на рассылку. Почтовый адрес необходим для доставки, а список рассылки используется для отправки коммерческих предложений на такие товары, как косметика или футболки круглый год. Компания поясняет, что данные из списка рассылки будут использоваться только для отправки товаров и бумажной рекламы самим журналом и не будут переданы сторонней организации. Если читатель не желает раскрывать свой адрес для этой цели, ущерб не возникает, так как продукты будут доступны ему в любом случае.
GDPR не описывает форму или вид, как именно должна предоставляться информация для выполнения требования об информированном Согласии. Это означает, что она может быть представлена различными способами, такими как письменные или устные заявления, аудио- или видео-сообщения. Тем не менее, в GDPR существует несколько требований к информированному Согласию, главным образом в статье 7(2) и пункте 32. Что повышает степень ясности и доступности.
Запрашивая Согласие, контролер всегда должен использовать ясный и простой язык. Это означает, что сообщение должно быть легко понятно обычному человеку, а не только юристу. Контролеры не должны использовать длинные политики конфиденциальности, которые трудно понять, или юридический жаргон. Согласие должно быть ясным, отличимым от других вопросов, и предоставляться в понятной и легкодоступной форме. Это требование означает, что сведения, имеющие отношение к принятию обоснованного решения о согласии или несогласии, не могут быть скрыты в общих условиях обслуживания.
Контролер обязан обеспечить получение Согласия на основе информации, позволяющей субъекту данных легко распознать, кто есть контролер и с чем именно они соглашаются. Контролер должен ясно описать цель обработки, для которой запрашивается Согласие.
Другие конкретные указания по обеспечению доступности включены WP29 в условия прозрачности. Если Согласие дается электронно, то запрос на него должен быть ясным и кратким. Всеобъемлющая и детализированная информация более подходит для двусторонних обязательств — точная и полная с одной стороны, и понятная с другой.
Контролер обязан оценить целевую аудитория, которая передает персональные данные. Например, если она включает несовершеннолетних, контролер должен убедиться, что информация понятна и им. После такой оценки контролер обязан определить, какую информацию и каким образом он должен предоставить субъектам данных.
Статья 7(2) рассматривает заранее подготовленные письменные заявления о Согласии, которые касаются и другие вопросов. Когда Согласие запрашивается в рамках (бумажного) договора, такой запрос должен быть четко отделен от других вопросов. Если бумажный договор содержит аспекты, не связанные с Согласием, то вопрос о нем должен рассматриваться так, чтобы он четко выделялся, либо предлагался отдельным документом. Аналогично, если Согласие запрашивается электронно, то запрос должен быть обособлен и не может быть лишь абзацем в условиях обслуживания, в соответствии с пунктом 32. При размещении на небольших экранах или в ограниченном пространстве, всесторонний способ предоставления информации может быть уместен во избежание чрезмерного взаимодействия с пользователем или нарушения дизайна продукта.
Контролер, который ссылается на Согласие, также обязан выполнять требования, изложенные в статьях 13 и 14, чтобы соответствовать GDPR. На практике, для соблюдения этих требований и соблюдения требования об информированном Согласии, можно применить комплексный подход. Однако этот раздел Руководства написан в том контексте, что законное “информированное” Согласие может быть получено, даже если не все элементы статей 13 и/или 14 упоминаются в процессе получения (эти пункты, конечно, должны быть упомянуты в другом месте, например, в политике конфиденциальности). WP29 выпустила отдельные рекомендации, касающиеся прозрачности.
Пример 12
Компания X является контролером, получившим жалобы на то, что субъектам данных неясно, для каких целей запрашивают их Согласие . Компания видит необходимость проверить, является ли ее информация в запросе понятной для субъектов данных. X организует добровольные тестовые панели для нескольких категорий своих клиентов и представляет новые положения о Согласии этим группам, прежде чем передавать ее вовне. Отбор респондентов осуществляется с учетом принципа независимости и на основе стандартов, обеспечивающих репрезентативный, непредвзятый результат. Группа получает анкету и указывает, что респонденты понимают из информации и как они оценивают ее с точки зрения ясности и релевантности. Контролер продолжает тестирование до тех пор, пока панели не покажут, что информация стала ясна. X составляет отчет о тестах и сохраняет его для дальнейшего использования. Этот пример показывает возможный способ для X продемонстрировать, что субъекты данных получали ясную информацию, прежде чем дать Согласие на обработку.Пример 13
Компания занимается обработкой данных на основании Согласия. Компания использует всестороннее уведомление о конфиденциальности, которое включает в себя запрос Согласия. Компания раскрывает все главные сведения о контролере и методах обработки данных. Однако компания не указывает, как можно связаться с ее сотрудником по защите данных на первом уровне уведомления. Как указано в статье 6, этот контролер получил законное “информированное” Согласие, даже если контактные данные сотрудника не были сообщены в соответствии со статьей 13(1)(b) или 14(1)(b) GDPR.