Кроме того, проанализируем особенности передачи персональных данных третьим лицам и их распространения. Рассмотрим ситуации, когда в одном Согласии может быть указано несколько целей сбора данных. Имеет ли значение перечисление в Согласии наименований юридических и физических лиц, которым данные будут переданы? И что обязательно должно быть учтено, чтобы избежать необходимости получения Согласия от сотрудников клиента?
Виды Согласия на обработку персональных данных
Осуществляя свою деятельность, операторы сталкиваются с обстоятельствами, требующими оформления различных видов Согласий на обработку персональных данных:
Согласие на обработку персональных данных как законное основание;
Согласие на получение персональных данных из внешних источников;
Согласие на передачу персональных данных для их обработки;
Согласие на продвижение товаров, работ и услуг;
Согласие на обработку персональных данных, разрешённых субъектом для распространения;
Согласие на обработку персональных данных недееспособных лиц от их законных представителей;
Согласие на обработку персональных данных со стороны наследников умершего;
Согласие на обработку персональных данных без использования средств автоматизации;
Согласие на обработку специальных категорий персональных данных;
Согласие на обработку биометрических персональных данных;
Согласие на использование автоматизированных методов обработки персональных данных для принятия юридически значимых решений, оказывающих влияние на правовое положение субъекта;
Согласие на размещение персональных данных в открытых источниках.
Для определённых Согласий требуется оформление в письменном виде, необходимые формы поможет сформировать сервис 152DOC.
Письменное Согласие — это форма, которая включает в себя два основных элемента:
содержание такого Согласия соответствует требованиям ч. 4 ст. 9 152-ФЗ;
Согласие оформлено на бумажном носителе и содержит собственноручную подпись субъекта ПДн, или в форме электронного документа, подписанного электронной подписью.
Требования к оформлению Согласия
Требование оформления письменного Согласия всегда фиксируется в тексте нормативно-правовых актов. Письменная форма Согласия применяется, в частности, для следующих видов:
Согласие на получение персональных данных сотрудников из внешних источников (п. 3 ст. 86 ТК);
Согласие на передачу персональных данных сотрудников (ст. 88 ТК);
Согласие на обработку специальных категорий персональных данных (п. 1 ч. 2 ст. 10 152-ФЗ);
Согласие на обработку биометрических персональных данных (ч. 1 ст. 11 152-ФЗ);
Согласие на использование автоматизированных методов обработки персональных данных для принятия юридически значимых решений, оказывающих влияние на правовое положение субъекта (ч. 2 ст. 16 152-ФЗ);
Согласие на размещение персональных данных в открытых источниках (ч. 1 ст. 8 152-ФЗ).
Особое внимание следует уделить вопросу необходимости получения письменного Согласия при передаче персональных данных. Процесс передачи включает в себя такие действия, как распространение, предоставление и доступ.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц. О необходимых видах Согласия в рамках распространения данных мы говорили в первой части практического руководства.
Получение Согласия на предоставление персональных данных
Остановимся подробнее на вопросах, связанных с получением Согласия на предоставление персональных данных и обеспечения доступа к ним.
Передача и доступ к персональным данным, в отличие от их распространения, связаны с предоставлением информации конкретному лицу или ограниченной группе лиц.
Такие операции по обработке персональных данных могут возникнуть как при поручении обработки третьей стороне, так и без такого поручения.
Основные различия поручения и передачи без поручения
Поручение | Передача без поручения | |
Признаки | Могу обрабатывать ПДн для данной цели самостоятельно, но не хочу | В силу полномочий не могу обрабатывать ПДн самостоятельно, но услуга мне необходима |
Примеры |
|
|
Требования к оформлению договора | Обязательное соответствие ч. 3 ст. 6 152-ФЗ | Может не содержать положений, указанных в ч. 3 ст. 6 152-ФЗ |
Кто оформляет Согласие (если отсутствуют иные правовые основания) | Оператор Лицо по поручению не обязано получать Согласие на обработку переданных оператором ПДн (ч. 4 ст. 6 152-ФЗ) | Оператор |
Кто несёт ответственность в случае нарушения прав субъекта ПДн | Оператор — перед субъектом ПДн Лицо по поручению – перед оператором Оператор и лицо по поручению – в случае поручения иностранному лицу | Оператор — за правомерность передачи Третье лицо – за фактическую обработку |
При передаче персональных данных возникает обязанность получить письменное Согласие в следующих случаях:
Когда согласие является единственным законным основанием для обработки данных в конкретной ситуации.
Как определить, нужно ли получить согласие на обработку персональных данных в конкретном случае, читайте в нашей статье.
Когда для данной ситуации законом явно предусмотрена необходимость оформления письменного согласия.
Проанализируем этот подход, взяв за основу передачу данных в компанию-аутсорсер при осуществлении управления кадровым и бухгалтерским учётом:
данные отношения, с точки зрения 152-ФЗ, образуют поручение на обработку персональных данных;
передача данных для ведения кадрового и бухгалтерского учёта аутсорсеру — инициатива работодателя, поэтому оценка правовых оснований такой передачи с учётом ч. 1 ст. 6 152-ФЗ позволяет говорить о том, что для этого случая правовым основанием будет являться именно Согласие (нет установленной законом обязанности на передачу данных, нет договоров, стороной которых или выгодоприобретателями по которым являются сотрудники оператора и т. д.);
поскольку речь идёт о передаче данных работников, то необходимо руководствоваться ст. 88 ТК, предусматривающей обязанность оформления письменного Согласия на передачу этих данных.
Следовательно, приходим к выводу, что при передаче данных работников в компанию-аутсорсер для ведения кадрового и бухгалтерского учёта, работодатель должен получить письменное Согласие сотрудников на передачу этих данных.
Однако стоит отметить, что для компании-аутсорсера не обязательно получение Согласий от сотрудников клиента. Важно, чтобы условия договора между аутсорсером и работодателем соответствовали требованиям ч. 3 ст. 6 152-ФЗ.
Как было указано ранее, любое письменное Согласие на обработку должно строго соответствовать ч. 4 ст. 9 152-ФЗ. Именно по этой причине все формы Согласий, требующие письменного оформления, не могут включать несколько целей обработки персональных данных.
Когда можно использовать мультисогласие
Получения мультисогласия возможно только в случаях, когда обработка персональных данных не подпадает под обязательное требование получения письменной формы Согласия.
Важно учесть, что согласие по закону должно быть конкретным, предметным, информированным, осознанным и однозначным. Поэтому, если в Согласии необходимо указать несколько целей обработки, рекомендуется руководствоваться принципом однородности в отношении включаемых целей и объёма обрабатываемых личных данных.
Рассмотрим ситуацию на примере обработки персональных данных на сайте компании.
При получении информации через веб-ресурс возможно использование мультисогласия, так как:
для данной ситуации не требуется оформление письменной формы;
можно определить однородные цели, для которых объём обрабатываемых данных примерно одинаков. К этим целям можно, в частности, отнести: оказание информационно-консультационных и иных услуг в соответствии с деятельностью оператора; включение в члены сообщества; регистрация на мероприятия; осуществление обратной связи; осуществление заочных опросов с целью изучения мнения об оказанных услугах; сбор статистической информации о пользователях с использованием метрической программы Яндекс.Метрика; информационная рассылка.
Несмотря на то что объём обрабатываемых данных для каждой указанной цели будет примерно одинаков, в Согласии лучше указать категории данных по отношению к каждой цели — это увеличит соответствие Согласия принципам конкретности и однозначности.
Однако включить в мультисогласие на сайте цели, связанные с распространением персональных данных, не получится, поскольку:
при использовании общедоступных источников информации (например, телефонных справочников или адресных книг) требуется получение письменного Согласия;
при распространении персональных данных в сети Интернет на ресурсах, которые не являются адресными книгами или телефонными справочниками, необходимо соблюдать определённые условия. В частности, требуется получение специального Согласия от субъекта персональных данных на обработку информации, разрешённой для распространения. Это согласие должно быть оформлено отдельно от других видов согласий, и его состав регламентирован приказом Роскомнадзора от 24.02. 2021 № 18.
Ещё одним отличием в оформлении письменного Согласия от Согласия в свободной форме является требование указания лиц, как юридических, так и физических, которым предполагается передавать данные.
Ч. 4 ст. 9 152-ФЗ устанавливает требования для оформления письменного Согласия, включая указание наименования или фамилии, имени, отчества и адреса лица, которое будет осуществлять обработку персональных данных по поручению оператора, если обработка поручается указанному лицу.
Если передача данных происходит вне договора о поручении и осуществляется через оформление Согласия в свободной форме, то прямого требования указывать лиц, которым будут переданы данные, не существует. Тем не менее, рекомендуется включать подобную информацию в Согласие, чтобы сделать процесс обработки персональных данных в компании более прозрачным и понятным для субъектов. В таком случае возможны различные способы указания информации о лицах, которым будут переданы персональные данные.
Приведём несколько примеров для наглядности.
При передаче информации большому числу лиц возможно предусмотреть в Согласии условие о том, что в определённых целях данные могут быть переданы третьим лицам, например, партнёрам компании, с перечнем которых субъект персональных данных может ознакомиться на сайте оператора или в другом указанном источнике.
Если меняются получатели данных, но цели обработки и конкретная ситуация, связанная с передачей данных, не меняются (например, передача данных сотрудников для каждого электронного конкурса/аукциона, где необходимо предоставить их персональные данные для участия), то достаточно получить одно Согласие в целях участия в торгах, электронных конкурсах/аукционах на объём данных, необходимых для указанных целей и при подписании разъяснить (можно устно) сотруднику о необходимости обработки таких сведений с учётом его должностных обязанностей и требований законодательства о торгах.
Аналогичная ситуация с передачей данных сотрудников в образовательные учреждения в целях повышения квалификации, переподготовки, обучения или получения дополнительного образования (возможно получение одного Согласия в указанных целях без указания конкретных образовательных учреждений).
Подведем итог
В заключение хочется отметить, что процесс оформления Согласия на обработку персональных данных не может быть формальным.
Необходима полная и всесторонняя оценка каждого конкретного случая обработки с точки зрения правовых оснований, действий с персональными данными, категорий обрабатываемых данных, доступности для третьих лиц и т. д.
Только так можно понять, какая форма Согласия вам потребуется, можно ли объединить в Согласии несколько целей обработки, а также нужно ли указать наименования конкретных юридических и физических лиц, кому данные передаются.
В третьей и заключительной части нашего практического руководства поговорим о типовых ошибках при использовании Согласий и способах подтверждения наличия согласия.
Приятным бонусом станет памятка оператору по работе с Согласиями на обработку персональных данных.
Реклама: ООО «АСТРАЛ-СОФТ», ИНН: 4027145240, erid: LjN8K72wW
Начать дискуссию