Все новости законодательства
у вас на почте

Подпишитесь на рассылки

Все новости законодательства в вашей электронной почте

Подпишитесь на наши рассылки

Новое согласие на обработку персональных данных — 2024

Согласие на обработку персональных данных представляет собой документ, который подтверждает решение гражданина передать оператору свою личную информацию для использования в определенных целях. Когда получать такое согласие обязательно, как его правильно оформить, расскажем в нашей статье. Также в ней можно ознакомиться с образцом заполнения документа и скачать бланк, доступный для заполнения.

Над статьей работали:
редактор: Бурцева Алла

Содержание

  1. Обязательно ли получение согласия на обработку персональных данных
  2. Изменения в согласии на обработку персональных данных в 2024 году
  3. Как указать цель обработки персональных данных в согласии
  4. Образец согласия на обработку персональных данных – 2024
  5. Скачать форму согласия на обработку персональных данных
  6. Согласие на обработку персональных данных ребенка
  7. Ответственность за обработку персональных данных без согласия
  8. Отзыв согласия на обработку персональных данных

Обязательно ли получение согласия на обработку персональных данных

Согласие на обработку персональных данных физического лица не требуется в случаях, приведенных в п. п. 2 — 11 ч. 1 ст. 6 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Например, оно не нужно, если обработка необходима для:

• заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем. Например, если индивидуальный предприниматель арендует у компании помещение и в договоре указываются его паспортные данные;

• исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин. Например, если запрашивается адрес гражданина для доставки ему товара;

• осуществления и выполнения функций, полномочий и обязанностей, которые возложены законодательством. Например, если продавец получает у клиента адрес его электронной почты, чтобы направить ему кассовый чек в электронной форме (Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ);

• осуществления прав и законных интересов (компании или третьих лиц) либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, если в целях обеспечения безопасности охранник записывает Ф.И.О. и паспортные данные посетителей.

В остальных случаях обработка персональных данных осуществляется с согласия гражданина (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Например, придется получить письменное согласие, если компания собирает данные граждан для маркетингового исследования или уступает требование к должнику — физическому лицу.

Изменения в согласии на обработку персональных данных в 2024 году

С 1 января 2024 года с помощью единого портала госуслуг граждане могут давать и отзывать согласия на размещение и обработку своих биометрических персональных данных в ЕБС (Федеральный закон от 29.12.2022 № 572-ФЗ, Постановления Правительства от 01.09.2023 № 1429, от 01.09.2023 № 1430).

Физлицо, зарегистрированное в ЕСИА, с этого момента вправе с применением портала Госуслуг:

  • предоставлять согласие на размещение и обработку биометрии, размещаемой в ЕБС;
  • осведомляться со сведениями о согласиях, предоставленных оператору ЕБС;
  • узнавать о согласиях на обработку биометрии в целях проведения его идентификации, предоставленных госорганам, органам местного самоуправления, Банку России, организациям финрынка, иным организациям, ИП, нотариусам;
  • ознакомляться со сведениями о согласиях на обработку биометрических персданных в целях проведения их аутентификации, предоставленных оператору регионального сегмента ЕБС, аккредитованному государственному органу, Банку России в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, а также государственным органам, органам местного самоуправления, Банку России, организации финансового рынка, иной организации, ИП, нотариусу;
  • отзывать указанные выше согласия;
  • направлять оператору ЕБС требование о блокировании, об удалении, уничтожении биометрических персональных данных и векторов единой биометрической системы;
  • ознакомляться со сведениями о представленном им отказе от сбора и размещения его биометрических персональных данных в целях проведения идентификации и аутентификации, а также в случае отзыва такого отказа ознакомиться со сведениями об отзыве.

Кроме того, согласно Приказу Минцифры от 27.04.2023 № 432, также с 01.01.2024 оператор ЕБС при наличии технической возможности может направлять запросы организациям через единый портал госуслуг посредством взаимодействия с оператором единого портала госуслуг, в том числе с использованием единой системы межведомственного электронного взаимодействия.

С 23.12.2023 Федеральным законом от 12.12.2023 № 589-ФЗ ужесточена административная ответственность за обработку персональных данных без согласия. Подробнее об этом новшестве мы расскажем ниже в соответствующем разделе статьи.

Как указать цель обработки персональных данных в согласии

Целевой характер обработки персональных данных подразумевает, что она должна ограничиваться достижением конкретной цели (ч. 2 ст. 5 Закона № 152-ФЗ). То есть все действия со сведениями должны быть связаны с той целью, с которой они получены.

За обработку персональных данных, не совместимую с целями их сбора грозит административная ответственность. За первое нарушение (ч. 1 ст. 13.11 КоАП):

• компанию могут оштрафовать на сумму от 60 тыс. до 100 тыс. рублей;

• ее должностных лиц – от 10 тыс. до 20 тыс. рублей.

За повторное нарушение наказание будет серьезнее (ч. 1.1 ст. 13.11 КоАП):

• компании грозит штраф от 100 тыс. до 300 тыс. рублей;

• ее должностным лицам – от 25 тыс. до 50 тыс. рублей.

Цель обработки в согласии должна быть:

• законной;

• заранее определенной. Цель необходимо определить до начала обработки сведений и довести ее до гражданина, в том числе путем включения в согласие. Рекомендуем также закрепить ее в локальном акте, посвященном обработке данных. Цели обработки могут происходить из анализа правовых актов, которые регламентируют деятельность компании, целей фактически осуществляемой ею деятельности, а также деятельности, которая предусмотрена учредительными документами, а также из анализа конкретных бизнес-процессов в конкретных информационных системах персональных данных;

• конкретной. Чтобы у контролирующих органов не возникло вопросов, рекомендуем не использовать абстрактные формулировки. Например, если речь идет о повышении продаж путем СМС-рассылки, в качестве цели должно быть указано не «повышение продаж», а «осуществление рекламной СМС-рассылки».

Образец согласия на обработку персональных данных – 2024

Согласие на обработку персональных данных должно отвечать таким требованиям, как (ч. 1, 4 ст. 9 Закона № 152-ФЗ):

• конкретность;

• информированность;

• сознательность;

• предметность;

• однозначность.

Законодательно бланк согласия не утвержден, составить его можно в произвольной форме. Перечень сведений, которые должные быть отражены в согласии, приведен в ч. 4 ст. 9 Закона № 152-ФЗ. Это, в частности:

• ФИО, адрес физлица, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

• ФИО, адрес представителя гражданина, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или другого документа, подтверждающего полномочия этого представителя (при получении согласия от представителя гражданина);

• название или ФИО, адрес оператора, получающего согласие на обработку данных;

• цель обработки сведений;

• перечень персональных данных, на обработку которых дается согласие;

• название или ФИО, адрес лица, осуществляющего обработку сведений по поручению оператора, если обработка будет поручена такому лицу;

• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки данных;

• срок, в течение которого действует согласие, а также способ его отзыва, если другое правило не установлено законом;

• подпись физлица-субъекта персональных данных или его представителя.

По ссылке можно посмотреть Образец согласия на обработку персональных данных.

Скачать форму согласия на обработку персональных данных

По ссылке можно скачать Форму согласия на обработку персональных данных.

Согласие на обработку персональных данных ребенка

Согласие на обработку персональных данных ребенка может потребоваться, например:

• образовательным учреждениям для обработки данных о прохождении обучения, сдачи экзаменов, участии в олимпиадах;

• медучреждениям, если ребенок проходит осмотр или обследование;

• работодателю при устройстве несовершеннолетнего на работу;

• консульствам и представительствам зарубежных стран для оформления виз на выезд ребенка за границу и так далее.

В Законе № 152-ФЗ не указано, с какого возраста гражданин вправе выражать согласие на обработку сведений о себе самостоятельно. В нем лишь прописано, что при недееспособности субъекта согласие на обработку персональных данных дает его законный представитель (ч. 6 ст. 9 Закона № 152-ФЗ). Однако недееспособными считаются граждане, которые признаны таковыми судом, если они вследствие психического расстройства не могут понимать значение своих действий или руководить ими (п. 1 ст. 29 ГК РФ). Несовершеннолетние граждане таковыми не являются. В силу своего возраста они наделяются законом частичной дееспособностью, объем которой с возрастом расширяется.

Полагаем, что для решения вопроса о порядке обработки персональных данных несовершеннолетних следует руководствоваться ст. 26 и ст. 28 ГК РФ, ст. 64 СК РФ. Исходя из указанных норм, согласие на обработку персональных данных ребенка, не достигшего 14-летнего возраста, должен давать его законный представитель (родитель, опекун). Несовершеннолетние в возрасте от 14 до 18 лет могут давать разрешение на обработку сведений о себе в пределах установленного законодательством объема их дееспособности.

После вступления в брак или эмансипации несовершеннолетние, приобретая дееспособность в полном объеме, дают согласие на обработку своих персональных данных самостоятельно (ст. ст. 21, 27 ГК РФ).

Согласие, которое дается законным представителем ребенка, должно содержать, помимо общих реквизитов:

• ФИО и адрес представителя;

• реквизиты документа, удостоверяющего его личность;

• реквизиты документа, подтверждающего полномочия этого представителя (свидетельства о рождении (усыновлении), решения суда или органа опеки и попечительства).

С учетом тяжести потенциальных негативных последствий возможного несоблюдения контролируемым лицом обязательных требований обработка персональных данных несовершеннолетних лиц в случаях, не предусмотренных федеральными законами, относится к группе тяжести «Б» (пп. «б» п. 3 Критериев отнесения объектов контроля к определенной категории риска — Приложение к Положению, утвержденному Постановлением Правительства РФ от 29.06.2021 № 1046).

Ответственность за обработку персональных данных без согласия

С 23.12.2023 заработали поправки к КоАП РФ, ужесточающие ответственность за обработку персональных данных без согласия ее владельца. Новшества внесены законом от 12.12.2023 № 589-ФЗ.

Начиная с этого момента, за обработку личной информации без письменного согласия ее субъекта (когда оно необходимо) или с нарушением требований к содержанию этого документа штрафуют:

  • должностных лиц — от 100 тыс. до 300 тыс. руб. (ранее штрафовали от 20 тыс. до 40 тыс. рублей);
  • организации — от 300 тыс. до 700 тыс. руб. (против прежних штрафов от 30 тыс. до 150 тыс. рублей).

Для банков и ряда других юрлиц установили ответственность за нарушение требований к тому, как размещать и обновлять биометрические персональные данные в единой системе биометрии. Должностным лицам теперь за это грозит штраф от 100 тыс. до 300 тыс. рублей, компаниям — от 500 тыс. до 1 млн. рублей.

Отзыв согласия на обработку персональных данных

Гражданин вправе отозвать свое согласие на обработку персональных данных (ч. 2 ст. 9 Закона № 152-ФЗ). В этом случае продолжение обработки персональных данных физлица без его согласия возможно только при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ.

Заявление на отзыв согласия пишется в произвольной форме. В нем необходимо указать:

• полное наименование организации, которая осуществила сбор сведений;

• ее юридический адрес, а также фактический адрес отделения, если речь идет, например, о банке;

• сведения о заявителе: ФИО, номер и серию паспорта, адрес регистрации.

Лучше всего подавать заявление лично, в двух экземплярах. Один экземпляр, с отметкой о регистрации входящей документации, остается на руках у заявителя.

В случае отзыва согласия компания обязана прекратить обработку персональных данных и уничтожить, если их сохранение более не требуется для целей обработки. Для этого предоставляется срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено соглашением между гражданином и организацией. При отсутствии возможности уничтожить данные в этот срок их нужно заблокировать и обеспечить уничтожение по общему правилу в срок не более 6 месяцев (ч. 5, 6 ст. 21 Закона № 152-ФЗ).