Как поправить согласие на обработку данных, чтобы избежать претензий Роскомнадзора
Узнаете: что скорректировать в согласии на обработку персональных данных с учетом последних изменений в законе и практике.
Содержание статьи является личным мнением автора и никак не связано с позицией компании «Авито»
В статье — пять практических советов, как компании оформлять согласия на обработку персональных данных, к которым не придерется Роскомнадзор. К примеру, в один документ допустимо включать несколько разных целей, но при условии — субъект поставит подписи напротив каждой из них. Такой документ советуем оформить как таблицу-приложение к согласию на передачу персональных данных. На что смотрит регулятор в согласиях в последние полгода после сентябрьских изменений266ФЗ и что поправить в форме, чтобы избежать штрафа до полумиллиона,КоАП читайте далее. Образец приложения к согласию, чтобы не пришлось запрашивать десятки отдельных согласий от одного работника, скачайте в конце статьи.
Исключить цели «на все случаи жизни»
Когда компания прописывает в согласии цель обработки персональных данных, не стоит формулировать ее «на все случаи жизни». Например, в согласии не следует писать цель «обеспечить интересы работника», если компания хочет передавать данные работника неограниченному числу третьих лиц: в банки, страховые, спортзалы, клиники, лаборатории, отели. В таком случае компания нарушит требования о «предметности» и «однозначности» согласия, которые закрепили в Законе о персональных данных с 1 сентября 2022 года.152ФЗ, 266ФЗ-1
152ФЗ Ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
266ФЗ-1 Ч. 4 ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ
Предметность и однозначность согласия означают, что все параметры обработки — перечень персональных данных и действий с ними, сроки, список лиц, которым компания может передать данные, — соответствуют одной конкретной цели. Таким образом, с 1 сентября нормативно закрепили подход, который ранее сложился на практике. Компания должна составлять текст согласия так, чтобы он отвечал на вопросы: кто, с какой целью, каким образом, в какой срок и какие персональные данные обрабатывает. Из согласия субъекту должно быть понятно, что компания делает с его персональными данными. Наилучшая практика — сделать цели конкретными, а не общими, и на каждую такую цель брать отдельное согласие. Подробнее об этом — далее.
Включать в одно согласие не более одной цели
Чтобы избежать претензий от Роскомнадзора и штрафов, компании стоит руководствоваться правилом: «одна цель — одно согласие». То есть оформлять отдельное согласие на каждую ситуацию передачи данных. Роскомнадзор обосновывает данный подход тем, что в законе цель упомянута в единственном числе.152ФЗ-1 Например, компания передает одни и те же персональные данные своего работника и в страховую для ДМС, и в спортзал, чтобы подключить его к корпоративному фитнесу. В таком случае нужно оформить два согласия: одно для передачи данных в страховую, другое — в спортзал. В каждом согласии важно указать одну конкретную цель обработки персональных данных.ТК, 152ФЗ-2, СОЮ
152ФЗ-1 Ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
ТК Ст. 88 ТК
152ФЗ-2 Ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ
СОЮ Определение Второго кассационного суда общей юрисдикции от 28.09.2021 по делу № 88-22322/2021
РКН Информационное письмо Роскомнадзора и Банка России № 08ЛА-48666 / № ИН-06-59/57 от 29.07.2021
Есть лайфхак: компания вправе оформить согласие на передачу данных нескольким третьим лицам в разных целях в одном документе, но при условии — субъект должен поставить подписи напротив каждой цели. Роскомнадзор такой вариант допускает.РКН К примеру, компания может оформить таблицу — приложение к согласию на передачу персональных данных. В таблице следует указать: какие данные, какому третьему лицу и с какими целями передаются. Главное — не забыть предусмотреть в таблице, а затем и получить подписи субъекта персональных данных напротив каждого случая передачи его данных.
Как оформить приложение к согласию, чтобы передавать данные нескольким лицам в разных целях
Нажмите на картинку, чтобы посмотреть перечень полностью
Укрупнять цели, но отделять их от задач
Проблема, с которой сталкиваются компании, — трудно отделить цель от задач. Например, работодатель использует данные работников, чтобы выплатить им зарплату, заплатить налоги и взносы, направить в командировку или на обучение. Распространенная ошибка — указывать эти действия в политике по обработке персональных данных и согласии в качестве отдельных целей обработки. В действительности — это задачи одной цели: исполнить трудовое законодательство . Так же считает Роскомнадзор и советует объединять такие задачи работодателя одной целью — «соблюдение трудового законодательства».РКН-1
Компаниям хотели «официально» разрешить оформлять одно согласие одновременно для нескольких целей, но до сих пор изменения не приняли.
Проект находится в Госдуме уже два года. Законопроект № 992331-7
Работодатель может предоставить корпоративные льготы работникам, например ДМС, такси, питание, спортзал. По мнению Роскомнадзора, такие гарантии не предусмотрены ТК, компания реализует их по своей инициативе, поэтому они не покрываются целью «соблюдение трудового законодательства». В таком случае компания может укрупнить цель с использованием другой формулировки — «осуществление трудовых отношений и исполнение трудового договора с работником». Важно: для этого компания должна закрепить корпоративные льготы в своих локальных актах. Также важно дать в трудовом договоре ссылку: обе стороны обязаны исполнять требования локальных актов. Работник должен быть ознакомлен с такими актами под подпись.
Не все эксперты по персональным данным считают возможным укрупнять цель в ситуации, если в рамках цели различаются третьи лица, объем данных и условия обработки. Например, работодатель предоставил работникам ДМС и абонемент на йогу. Для ДМС страховой компании нужно передать паспортные данные и телефон работника, а в студию йоги — только Ф. И. О. и телефон. В таком случае эксперты не рекомендуют объединять эти случаи передачи единой целью «участие работника в корпоративных программах лояльности работодателя».
Не указывать на бессрочность согласия и не включать автоматическое продление
РКН-2 Информационное письмо Роскомнадзора и Банка России № 08ЛА-48666 / № ИН-06-59/57 от 29.07.2021
РКН-3 Вебинар Роскомнадзора «Изменения законодательства в сфере персональных данных» от 29.09.2022
А42 Постановление Тринадцатого ААС от 16.08.2018 по делу № А42-3045/2017
152ФЗ-3 П. 2 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Компании следует указывать в согласии на обработку персональных данных конкретный срок его действия. На это указывает Роскомнадзор.РКН-2, РКН-3 Согласие не должно быть бессрочным или содержать условие об автоматической пролонгации срока. При этом указывать срок в виде конкретной даты не обязательно. Окончание срока компания вправе обусловить моментом, когда субъект отзовет согласие на обработку данных или наступит событие, при котором цель будет считаться достигнутой.А42 К примеру, в случае с работником компания вправе привязать срок согласия к прекращению трудовых отношений.
Распространенная ошибка — устанавливать чрезмерно длительный срок. К примеру, компании часто указывают срок в 75 лет, поскольку столько хранятся кадровые документы по правилам архивного законодательства. Однако согласие работника для того, чтобы хранить документы, не требуется, поэтому такой срок не оправдан. Когда трудовые отношения прекратились и срок согласия закончился, компания будет вправе и даже обязана хранить сведения о работнике, чтобы исполнить требования законодательства, к примеру, налогового, бухгалтерского или страхового. Продлевать согласие либо получать новое только лишь для того, чтобы хранить данные, не требуется.152ФЗ-3
Не добавлять согласие в договоры
152ФЗ-4 Ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ
А44 Постановление АС Северо-Западного округа от 02.04.2018 по делу № А44-745/2017
А40 Постановление Девятого ААС от 26.02.2018 по делу № А40-183756/2017
152ФЗ-5 П. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ
Компании следует отказаться от практики: включать в договоры условие о согласии на обработку данных. Во-первых, такой подход противоречит принципу добровольности, поскольку считается, что так компания навязывает субъекту подписание согласия.152ФЗ-4 Суды также считают, что такой подход не соответствует закону.А44, А40 Во-вторых, когда компания заключает договор, согласие не требуется вовсе. Договор выступает как самостоятельное основание для обработки данных.152ФЗ-5 Чтобы обеспечить осведомленность субъекта, компания может прописать в договоре, что именно будет происходить с его персональными данными и как компания обеспечивает их безопасность. Роскомнадзор озвучил аналогичную позицию и заверил: договора достаточно, не нужно подкреплять это основание обработки еще и согласием.РКН-4 Но если компания желает перестраховаться, особенно с учетом того, что есть обратная практика, лучше получить согласие отдельно, но не в составе текста договора.
за правильный ответ
Популярные статьи этого номера:
► ЕГРН закрыли. Варианты от Росреестра, как получить из него сведения
► Документы, чтобы добиться от контрагента исполнения, когда нет договора поставки
► Контрагент собирается банкротиться. FAQ для юриста, чтобы самому запустить процедуру
Сформируете комплект документов для безопасной работы с персданными в программе «Персональные данные и коммерческая тайна: практикум по максимальной защите» в Высшей школе Юрист компании |
---|