Как поправить согласие на обработку данных, чтобы избежать претензий Роскомнадзора

В статье — пять практических советов, как компании оформлять согласия на обработку персональных данных, к которым не придерется Роскомнадзор. К примеру, в один документ допустимо включать несколько разных целей, но при условии — субъект поставит подписи напротив каждой из них. Такой документ советуем оформить как таблицу-приложение к согласию на передачу персональных данных. На что смотрит регулятор в согласиях в последние полгода после сентябрьских изменений^266ФЗ и что поправить в форме, чтобы избежать штрафа до полумиллиона,^КоАП читайте далее. Образец приложения к согласию, чтобы не пришлось запрашивать десятки отдельных согласий от одного работника, скачайте в конце статьи.

Исключить цели «на все случаи жизни»

Когда компания прописывает в согласии цель обработки персональных данных, не стоит формулировать ее «на все случаи жизни». Например, в согласии не следует писать цель «обеспечить интересы работника», если компания хочет передавать данные работника неограниченному числу третьих лиц: в банки, страховые, спортзалы, клиники, лаборатории, отели. В таком случае компания нарушит требования о «предметности» и «однозначности» согласия, которые закрепили в Законе о персональных данных с 1 сентября 2022 года.^{152ФЗ, 266ФЗ-1}

Предметность и однозначность согласия означают, что все параметры обработки — перечень персональных данных и действий с ними, сроки, список лиц, которым компания может передать данные, — соответствуют одной конкретной цели. Таким образом, с 1 сентября нормативно закрепили подход, который ранее сложился на практике. Компания должна составлять текст согласия так, чтобы он отвечал на вопросы: кто, с какой целью, каким образом, в какой срок и какие персональные данные обрабатывает. Из согласия субъекту должно быть понятно, что компания делает с его персональными данными. Наилучшая практика — сделать цели конкретными, а не общими, и на каждую такую цель брать отдельное согласие. Подробнее об этом — далее.

Включать в одно согласие не более одной цели

Чтобы избежать претензий от Роскомнадзора и штрафов, компании стоит руководствоваться правилом: «одна цель — одно согласие». То есть оформлять отдельное согласие на каждую ситуацию передачи данных. Роскомнадзор обосновывает данный подход тем, что в законе цель упомянута в единственном числе.^152ФЗ-1 Например, компания передает одни и те же персональные данные своего работника и в страховую для ДМС, и в спортзал, чтобы подключить его к корпоративному фитнесу. В таком случае нужно оформить два согласия: одно для передачи данных в страховую, другое — в спортзал. В каждом согласии важно указать одну конкретную цель обработки персональных данных.^{ТК, 152ФЗ-2, СОЮ}

Есть лайфхак: компания вправе оформить согласие на передачу данных нескольким третьим лицам в разных целях в одном документе, но при условии — субъект должен поставить подписи напротив каждой цели. Роскомнадзор такой вариант допускает.^РКН К примеру, компания может оформить таблицу — приложение к согласию на передачу персональных данных. В таблице следует указать: какие данные, какому третьему лицу и с какими целями передаются. Главное — не забыть предусмотреть в таблице, а затем и получить подписи субъекта персональных данных напротив каждого случая передачи его данных.

Как оформить приложение к согласию, чтобы передавать данные нескольким лицам в разных целях

Нажмите на картинку, чтобы посмотреть перечень полностью

Укрупнять цели, но отделять их от задач

Проблема, с которой сталкиваются компании, — трудно отделить цель от задач. Например, работодатель использует данные работников, чтобы выплатить им зарплату, заплатить налоги и взносы, направить в командировку или на обучение. Распространенная ошибка — указывать эти действия в политике по обработке персональных данных и согласии в качестве отдельных целей обработки. В действительности — это задачи одной цели: исполнить трудовое законодательство . Так же считает Роскомнадзор и советует объединять такие задачи работодателя одной целью — «соблюдение трудового законодательства».^РКН-1

Работодатель может предоставить корпоративные льготы работникам, например ДМС, такси, питание, спортзал. По мнению Роскомнадзора, такие гарантии не предусмотрены ТК, компания реализует их по своей инициативе, поэтому они не покрываются целью «соблюдение трудового законодательства». В таком случае компания может укрупнить цель с использованием другой формулировки — «осуществление трудовых отношений и исполнение трудового договора с работником». Важно: для этого компания должна закрепить корпоративные льготы в своих локальных актах. Также важно дать в трудовом договоре ссылку: обе стороны обязаны исполнять требования локальных актов. Работник должен быть ознакомлен с такими актами под подпись.

Не все эксперты по персональным данным считают возможным укрупнять цель в ситуации, если в рамках цели различаются третьи лица, объем данных и условия обработки. Например, работодатель предоставил работникам ДМС и абонемент на йогу. Для ДМС страховой компании нужно передать паспортные данные и телефон работника, а в студию йоги — только Ф. И. О. и телефон. В таком случае эксперты не рекомендуют объединять эти случаи передачи единой целью «участие работника в корпоративных программах лояльности работодателя».

Не указывать на бессрочность согласия и не включать автоматическое продление

Компании следует указывать в согласии на обработку персональных данных конкретный срок его действия. На это указывает Роскомнадзор.^{РКН-2, РКН-3} Согласие не должно быть бессрочным или содержать условие об автоматической пролонгации срока. При этом указывать срок в виде конкретной даты не обязательно. Окончание срока компания вправе обусловить моментом, когда субъект отзовет согласие на обработку данных или наступит событие, при котором цель будет считаться достигнутой.^А42 К примеру, в случае с работником компания вправе привязать срок согласия к прекращению трудовых отношений.

Распространенная ошибка — устанавливать чрезмерно длительный срок. К примеру, компании часто указывают срок в 75 лет, поскольку столько хранятся кадровые документы по правилам архивного законодательства. Однако согласие работника для того, чтобы хранить документы, не требуется, поэтому такой срок не оправдан. Когда трудовые отношения прекратились и срок согласия закончился, компания будет вправе и даже обязана хранить сведения о работнике, чтобы исполнить требования законодательства, к примеру, налогового, бухгалтерского или страхового. Продлевать согласие либо получать новое только лишь для того, чтобы хранить данные, не требуется.^152ФЗ-3

Не добавлять согласие в договоры

Компании следует отказаться от практики: включать в договоры условие о согласии на обработку данных. Во-первых, такой подход противоречит принципу добровольности, поскольку считается, что так компания навязывает субъекту подписание согласия.^152ФЗ-4 Суды также считают, что такой подход не соответствует закону.^{А44, А40} Во-вторых, когда компания заключает договор, согласие не требуется вовсе. Договор выступает как самостоятельное основание для обработки данных.^152ФЗ-5 Чтобы обеспечить осведомленность субъекта, компания может прописать в договоре, что именно будет происходить с его персональными данными и как компания обеспечивает их безопасность. Роскомнадзор озвучил аналогичную позицию и заверил: договора достаточно, не нужно подкреплять это основание обработки еще и согласием.^РКН-4 Но если компания желает перестраховаться, особенно с учетом того, что есть обратная практика, лучше получить согласие отдельно, но не в составе текста договора.

Популярные статьи этого номера:
► ЕГРН закрыли. Варианты от Росреестра, как получить из него сведения
► Документы, чтобы добиться от контрагента исполнения, когда нет договора поставки
► Контрагент собирается банкротиться. FAQ для юриста, чтобы самому запустить процедуру 

	Сформируете комплект документов для безопасной работы с персданными в программе «Персональные данные и коммерческая тайна: практикум по максимальной защите» в Высшей школе Юрист компании