Как оформить согласие на обработку персональных данных в 2022 году

26 сентября 2022 7

Согласие на обработку персональных данных — письменный или цифровой документ, который подтверждает добровольное решение гражданина передать оператору свою личную информацию для определенных целей. По Закону № 152-ФЗ оператор должен его получать в большинстве случаев. Разбираемся, когда требуется разрешение на обработку ПД, и какие к нему есть требования в 2022 году.

Что говорит закон

Согласие на обработку персональных данных в 2022 году должно быть конкретным, предметным, информированным, сознательным и однозначным (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Это означает, что в нем есть:

  • конкретная цель обработки — например, для оформления трудовых отношений;
  • перечень ПД — например, ФИО, дата рождения, сведения об образовании, месте работы, адресе;
  • список действий с персональными данными — к примеру, сбор, хранение;
  • место и способы обработки ПД — адрес оператора, автоматизированная или неавтоматизированная обработка;
  • срок действия согласия;
  • наименование, ФИО, адрес лица, которое обрабатывает ПД, если оператор поручает это другому лицу;
  • ясно выраженное согласие гражданина — подпись, галочка или другая отметка.

По умолчанию любые действия с личной информацией без согласия субъекта или законных оснований не допускаются (ст. 6, 9 152-ФЗ). При этом на распространение ПД документ оформляют отдельно (ст. 10.1 152-ФЗ).

Согласие получают конкретно для каждой цели. То есть у оператора будет несколько документов. Это следует из части 4 ст. 9 152-ФЗ, где цель указана в единственном числе, а также из требования не хранить в одной базе данных сведения для несовместимых целей (ч. 3 ст. 5 152-ФЗ).

В каких случаях согласие на обработку не требуется

Работать с персональными данными можно только на законных основаниях (ст. 5 152-ФЗ). Обработка без разрешения субъекта допускается в случаях, предусмотренных международными договорами или нормативными правовыми актами (ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 152-ФЗ). Например:

  • личная информация обрабатывается при участии физлица в судебном процессе;
  • гражданин регистрируется на портале Госуслуг;
  • сведения нужны для исполнения условий договора с субъектом ПД;
  • специальные персональные данные, например, о состоянии здоровья обрабатываются в соответствии с трудовым, социальным или пенсионным законодательством.

Гражданин имеет право отозвать выданное согласие на обработку ПД в любой момент. В этом случае действия с его личной информацией можно продолжать только при наличии указанных выше правовых оснований. Обязанность доказать законность обработки: предоставить согласие гражданина или отдельную норму права, возложена на оператора (ч. 2 ст. 9 152-ФЗ).

Работодателям стоит помнить, что обработка биометрических персональных данных работников в рамках трудовых отношений возможна только с письменного согласия сотрудника (ст. 11 152-ФЗ). Для специальных и общедоступных ПД оно не нужно. Это значит, что ФИО, сведения об образовании обрабатываются свободно. А вот видеонаблюдение за работником возможно только с его письменного разрешения.

Как оформить документ

Закон разрешает получить согласие физического лица на обработку его ПД в любом виде. Главное подтвердить, что оно есть и дано именно субъектом персональных данных либо его представителем (ч. 1 ст. 9 152-ФЗ). То есть теоретически согласие можно оформить даже в виде записи на диктофон, если по ней точно идентифицируется личность гражданина.

Если по Закону согласие должно быть оформлено именно в письменном виде — например, на обработку биометрических данных, то электронный документ с электронной подписью (ЭП) признается равнозначным бумажному оригиналу с личной подписью субъекта (ч. 4 ст. 9 152-ФЗ). Главное, чтобы ЭП соответствовала требованиям (Приказ ФСБ России от 27.12.2011 № 796).

extern

Отчитывайтесь легко и без ошибок

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Утвержденного бланка согласия на обработку ПД нет. Общие требования к его содержанию приведены в статье 9 152-ФЗ. 

В интернете доступно много образцов согласия, например, на сайте Управления Роскомнадзора Сибирского ФО. Пользоваться ими нужно аккуратно, с учетом изменений в Законе 152-ФЗ:

  • одна цель обработки — одно согласие;
  • разрешение на распространение ПД оформляется отдельно.

Лицо, которое обрабатывает ПД по поручению оператора, согласие субъекта не получает (ч. 4 ст. 6 152-ФЗ).

Как оформить разрешение на распространение ПД

В некоторых случаях оператор раскрывает персональные данные неопределенному кругу лиц. Например, публикует на сайте отзыв клиента, содержащий ФИО, email и другую личную информацию. Или помогает заказчику получить кредит и отправляет от его имени заявку в разные банки и МФО.

Это называется распространением персональных данных, на которое нужно получать отдельное согласие субъекта ПД (ч. 1 ст. 10.1 152-ФЗ). Требования к содержанию такого разрешения определены Роскомнадзором (Приказ от 24.02.2021 № 18).

extern

Сдать всю отчетность через интернет — с подсказками и проверкой на ошибки

 

Согласие на распространение может быть оформлено двумя способами (ч. 6 ст. 10.1 152-ФЗ):

  • передано субъектом непосредственно оператору;
  • заполнено с использованием информационной системы Роскомнадзора.

В первом случае оператор может получить шаблон документа на сайте Роскомнадзора. Для подготовки разрешения, адаптированного под конкретную деятельность, понадобится подтвержденная учетная запись на портале Госуслуг организации, ИП или физического лица.

На портале Роскомнадзора через ЕСИА формируется запрос. В результате оператор получает доступ к форме согласия на распространение ПД, которую он заполняет с учетом своей специфики. Готовый шаблон можно отправить на проверку в Роскомнадзор и получить его рекомендации.

Портал персональных данных

Форму согласия на распространение ПД можно подготовить с использованием информационного ресурса Роскомнадзора.

Если оператор решит разработать свой бланк, то он должен указать в нем обязательные пункты по Приказу от 24.02.2021 № 18. По каждой категории и перечню ПД у субъекта должна быть возможность выбора одной из трех категорий:

  • разрешено;
  • запрещено;
  • разрешено с условиями — указать условия.

Молчание или бездействие гражданина ни при каких обстоятельствах не считаются согласием на обработку ПД, разрешенных для распространения (ч. 8 ст. 10.1 152-ФЗ).

Оператор обязан в течение трех рабочих дней с даты получения разрешения на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц (ч. 10 ст. 10.1 152-ФЗ). Например, разместить ее на своем сайте.

Эта мера нужна для защиты права субъекта ПД на конфиденциальность. Лица, получающие доступ к его личной информации, должны соблюдать условия и запреты, перечисленные в согласии на распространение.

Экстерн

В Экстерне всегда актуальные формы и встроенные проверки.

Отчитаться
Экстерн

В Экстерне всегда актуальные формы и встроенные проверки.

Отчитаться
Получайте новости от наших экспертов дважды в месяцГлавное на почту
Подписаться
Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компаний СКБ Контур.

Статьи по теме

Все статьи
7 комментариев
А
Ангелина 26 сентября
Здравствуйте! Не совсем понятна формулировка "одна цель - одно согласие". Т.е. если у организации цель, например, оформление трудовых отношений и обучение и продвижение по работе, то на каждую из них нужно отдельное согласие?
Елизавета Кобрина 26 сентября
Ангелина, добрый день. Согласие сотрудника на обработку специальных и общедоступных персональных данных в общем случае не нужно. Это значит, что Ф.И.О., сведения об образовании обрабатываются свободно. Но стоит помнить, что обработка биометрических персональных данных работников в рамках трудовых отношений возможна только с письменного согласия сотрудника (ст. 11 152-ФЗ).
А
Ангелина 27 сентября
Елизавета Кобрина, наверное, я не так сформулировала вопрос. Например, для повышения квалификации сотрудника мы предоставляем его личные данные, в этом случае требуется согласие. Также для трудоустройства мы запрашиваем и храним копии его личных данных (паспорта, СНИЛС, номер телефона и т.д.) - опять же нужно согласие. Вопрос: для каждого действия, где могут фигурировать данные сотрудника, нам нужно оформлять отдельное согласие? Нельзя ли всё прописать в одном?
Елизавета Кобрина 27 сентября
Ангелина, Вы можете оформить один документ, в котором субъект ПД выразит свое согласие по каждой цели: проставит подпись или галочку, либо напишет «не согласен», «согласен при условии...». При этом по каждой цели Вы указываете перечень ПД и список действий с ними: сбор, хранение, передача и т.п. Оформить согласие на все цели сразу в стиле «Разрешаю все» будет неправильным.
В
Виталий 24 октября
а я читал, что можно. в соглашении указываем все это, а вот насчёт рекламы здесь требуется отдельное.
А
нужно ли брать отдельное согласие на хранение ПД
Я вообще не понимаю зачем это надо, и не хочу заполнять мои права по этому поводу.