Новое согласие на обработку персональных данных — 2023

Согласие на обработку персональных данных физического лица не требуется в случаях, приведенных в п. п. 2 — 11 ч. 1 ст. 6 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Например, оно не нужно, если обработка необходима для:

• заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем. Например, если индивидуальный предприниматель арендует у компании помещение и в договоре указываются его паспортные данные;

• исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин. Например, если запрашивается адрес гражданина для доставки ему товара;

• осуществления и выполнения функций, полномочий и обязанностей, которые возложены законодательством. Например, если продавец получает у клиента адрес его электронной почты, чтобы направить ему кассовый чек в электронной форме (Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ);

• осуществления прав и законных интересов (компании или третьих лиц) либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, если в целях обеспечения безопасности охранник записывает Ф.И.О. и паспортные данные посетителей.

В остальных случаях обработка персональных данных осуществляется с согласия гражданина (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Например, придется получить письменное согласие, если компания собирает данные граждан для маркетингового исследования или уступает требование к должнику — физическому лицу.

С 1 марта 2023 года в силу вступает Приказ Роскомнадзора «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных…» от 27.10.2022 № 178. В соответствии с ним операторы должны определить одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона № 152-ФЗ (п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ в редакции от 01.03.2023).

Высокая степень вреда устанавливается, в частности, при обработке персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому он является. А также для заключения договора по инициативе несовершеннолетнего или договора, по которому он будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством РФ.
Средняя степень вреда – в случае получения согласия на обработку персональных данных посредством реализации на официальном интернетовском сайте функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных.

Результаты оценки должны быть оформлены актом оценки вреда.

Целевой характер обработки персональных данных подразумевает, что она должна ограничиваться достижением конкретной цели (ч. 2 ст. 5 Закона № 152-ФЗ). То есть все действия со сведениями должны быть связаны с той целью, с которой они получены.

За обработку персональных данных, не совместимую с целями их сбора грозит административная ответственность. За первое нарушение (ч. 1 ст. 13.11 КоАП):

• компанию могут оштрафовать на сумму от 60 тыс. до 100 тыс. рублей;

• ее должностных лиц – от 10 тыс. до 20 тыс. рублей.

За повторное нарушение наказание будет серьезнее (ч. 1.1 ст. 13.11 КоАП):

• компании грозит штраф от 100 тыс. до 300 тыс. рублей;

• ее должностным лицам – от 25 тыс. до 50 тыс. рублей.

Цель обработки в согласии должна быть:

• законной;

• заранее определенной. Цель необходимо определить до начала обработки сведений и довести ее до гражданина, в том числе путем включения в согласие. Рекомендуем также закрепить ее в локальном акте, посвященном обработке данных. Цели обработки могут происходить из анализа правовых актов, которые регламентируют деятельность компании, целей фактически осуществляемой ею деятельности, а также деятельности, которая предусмотрена учредительными документами, а также из анализа конкретных бизнес-процессов в конкретных информационных системах персональных данных;

• конкретной. Чтобы у контролирующих органов не возникло вопросов, рекомендуем не использовать абстрактные формулировки. Например, если речь идет о повышении продаж путем СМС-рассылки, в качестве цели должно быть указано не «повышение продаж», а «осуществление рекламной СМС-рассылки».

С 1 сентября 2022 года согласие на обработку персональных данных должно отвечать таким требованиям, как (ч. 1 ст. 9 Закона № 152-ФЗ):

• конкретность;

• информированность;

• сознательность;

• предметность;

• однозначность.

Законодательно бланк согласия не утвержден, составить его можно в произвольной форме. Перечень сведений, которые должные быть отражены в согласии, приведен в ч. 4 ст. 9 Закона № 152-ФЗ. Это, в частности:

• ФИО, адрес физлица, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

• ФИО, адрес представителя гражданина, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или другого документа, подтверждающего полномочия этого представителя (при получении согласия от представителя гражданина);

• название или ФИО, адрес оператора, получающего согласие на обработку данных;

• цель обработки сведений;

• перечень персональных данных, на обработку которых дается согласие;

• название или ФИО, адрес лица, осуществляющего обработку сведений по поручению оператора, если обработка будет поручена такому лицу;

• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки данных;

• срок, в течение которого действует согласие, а также способ его отзыва, если другое правило не установлено законом;

• подпись физлица-субъекта персональных данных или его представителя.

По ссылке можно посмотреть Образец согласия на обработку персональных данных.

По ссылке можно скачать Форму согласия на обработку персональных данных.

Согласие на обработку персональных данных ребенка может потребоваться, например:

• образовательным учреждениям для обработки данных о прохождении обучения, сдачи экзаменов, участии в олимпиадах;

• медучреждениям, если ребенок проходит осмотр или обследование;

• работодателю при устройстве несовершеннолетнего на работу;

• консульствам и представительствам зарубежных стран для оформления виз на выезд ребенка за границу и так далее.

В Законе № 152-ФЗ не указано, с какого возраста гражданин вправе выражать согласие на обработку сведений о себе самостоятельно. В нем лишь прописано, что при недееспособности субъекта согласие на обработку персональных данных дает его законный представитель (ч. 6 ст. 9 Закона № 152-ФЗ). Однако недееспособными считаются граждане, которые признаны таковыми судом, если они вследствие психического расстройства не могут понимать значение своих действий или руководить ими (п. 1 ст. 29 ГК РФ). Несовершеннолетние граждане таковыми не являются. В силу своего возраста они наделяются законом частичной дееспособностью, объем которой с возрастом расширяется.

Полагаем, что для решения вопроса о порядке обработки персональных данных несовершеннолетних следует руководствоваться ст. 26 и ст. 28 ГК РФ, ст. 64 СК РФ. Исходя из указанных норм, согласие на обработку персональных данных ребенка, не достигшего 14-летнего возраста, должен давать его законный представитель (родитель, опекун). Несовершеннолетние в возрасте от 14 до 18 лет могут давать разрешение на обработку сведений о себе в пределах установленного законодательством объема их дееспособности.

После вступления в брак или эмансипации несовершеннолетние, приобретая дееспособность в полном объеме, дают согласие на обработку своих персональных данных самостоятельно (ст. ст. 21, 27 ГК РФ).

Согласие, которое дается законным представителем ребенка, должно содержать, помимо общих реквизитов:

• ФИО и адрес представителя;

• реквизиты документа, удостоверяющего его личность;

• реквизиты документа, подтверждающего полномочия этого представителя (свидетельства о рождении (усыновлении), решения суда или органа опеки и попечительства).

С учетом тяжести потенциальных негативных последствий возможного несоблюдения контролируемым лицом обязательных требований обработка персональных данных несовершеннолетних лиц в случаях, не предусмотренных федеральными законами, относится к группе тяжести «Б» (пп. «б» п. 3 Критериев отнесения объектов контроля к определенной категории риска — Приложение к Положению, утвержденному Постановлением Правительства РФ от 29.06.2021 № 1046).

За обработку персональных данных без письменного согласия субъекта на их обработку в случаях, когда такое согласие должно быть получено в соответствии с законом, за исключением случаев, предусмотренных ст. 17.13 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния, установлен штраф (ч. 2 ст. 13.11 КоАП РФ):

• для компаний — от 30 тыс. до 150 тыс. рублей;

• для должностных лиц — от 20 тыс. до 40 тыс. рублей;

За повторное нарушение наказание будет более жестким (ч. 2.1 ст. 13.11 КоАП РФ):

• компании грозит штраф от 300 тыс. до 500 тыс. рублей;

• ее должностным лицам – штраф от 40 тыс. до 100 тыс. рублей.

Гражданин вправе отозвать свое согласие на обработку персональных данных (ч. 2 ст. 9 Закона № 152-ФЗ). В этом случае продолжение обработки персональных данных физлица без его согласия возможно только при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ.

Заявление на отзыв согласия пишется в произвольной форме. В нем необходимо указать:

• полное наименование организации, которая осуществила сбор сведений;

• ее юридический адрес, а также фактический адрес отделения, если речь идет, например, о банке;

• сведения о заявителе: ФИО, номер и серию паспорта, адрес регистрации.

Лучше всего подавать заявление лично, в двух экземплярах. Один экземпляр, с отметкой о регистрации входящей документации, остается на руках у заявителя.

В случае отзыва согласия компания обязана прекратить обработку персональных данных и уничтожить, если их сохранение более не требуется для целей обработки. Для этого предоставляется срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено соглашением между гражданином и организацией. При отсутствии возможности уничтожить данные в этот срок их нужно заблокировать и обеспечить уничтожение по общему правилу в срок не более 6 месяцев (ч. 5, 6 ст. 21 Закона № 152-ФЗ).