Письменное согласие на обработку данных: что проверить, чтобы не получить новый штраф до 1,5 млн

Екатерина Бобарыкина, Юрист по защите данных «Авито»

Поможет: отклонить претензии к согласиям на обработку персональных данных.

Ранее за обработку данных без необходимого письменного согласия штрафовали на сумму от 30 тыс. до 150 тыс. руб. впервые и от 300 тыс. до 500 тыс. руб. повторно

В три раза увеличился штраф за обработку персональных данных без письменного согласия и ошибки в нем: теперь компании заплатят до 700 тыс. руб. за первое нарушение и до 1,5 млн руб. за повторное. Разобрали в статье, когда компаниям необходимо получать именно письменное согласие от клиентов и сотрудников, а также что проверить в шаблоне согласия, чтобы отбить претензии Роскомнадзора.

Содержание статьи является личным мнением автора и никак не связано с позицией компании «Авито». Главное в статье Скрыть

Что проверить в форме согласия на обработку персональных данных

Частый повод оштрафовать компанию — придирки Роскомнадзора к форме письменного согласия. Письменная форма означает, что оно должно раскрывать все необходимые элементы из Закона о персональных данных.^152ФЗ Несмотря на то, что в законе есть перечень таких элементов, и компании, и чиновники толкуют их не всегда однозначно. Что учесть, когда составляете шаблон с нуля или корректируете готовую форму, — далее.

152ФЗ Ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Идентификация субъекта данных. Закон требует указывать в согласии Ф. И. О. субъекта данных, его адрес регистрации, а также сведения о паспорте: номер, дату и орган выдачи. Рекомендуем не выходить за пределы этого списка и не включать в форму согласия иные идентификаторы. Например, номер телефона, адрес электронной почты, адрес фактического проживания, а также должность и место работы, если речь идет о согласии сотрудника. Для Роскомнадзора это маркер избыточной обработки.^КоАП

КoАП Ч. 1 ст. 13.11 КоАП

Идентификация оператора. В сведениях о вашей компании рекомендуем, наоборот, выйти за пределы списка из Закона о персональных данных. Он требует указывать только Ф. И. О. или наименование оператора и его адрес, однако эти реквизиты могут измениться. Добавьте к ним ИНН или ОГРН компании, чтобы избежать придирок, что оператора невозможно определить.

Цель согласия. Одна цель на одно согласие — это требование Роскомнадзора. Он обосновывает такой подход тем, что закон упоминает цель в единственном числе. Исключение: персональные данные оператор будет обрабатывать в том числе в целях, которые не требуют письменного согласия. Их можно «приплюсовать» в форме документа к той, на которую непосредственно берете согласие.^РКН Цель необходимо формулировать конкретно, чтобы не было возможности толковать ее расширительно. Не указывайте «осуществление трудовых отношений с работником». Вместо этого уточните: проведение оценки эффективности работника, предоставление корпоративных льгот, выпуск именной корпоративной продукции.

РКН Семинары Роскомнадзора от 01.03.2023, 27.07.2023

Перечень действий. В согласии исчерпывающе перечислите действия, которые компания будет совершать с данными. Частая ошибка: указать вообще все возможные действия из статьи 3 Закона о персональных данных в рамках термина «обработка». Безопаснее скорректировать список в зависимости от ситуации. Например, если оператор получает данные не от их субъекта непосредственно, а от третьего лица, то нельзя включать в текст согласия «сбор данных». А если обрабатывать данные будет вручную, а не автоматизированно, то некорректно говорить о блокировании и удалении.

Кроме того, рекомендуем в любом случае исключить из формы согласия на обработку «распространение» и «обезличивание» персональных данных. Распространять их нужно по отдельному согласию.^РКН-1 Например, чтобы опубликовать на сайте компании. В отношении обезличивания же Роскомнадзор последовательно заявляет: коммерческие организации этого делать не могут, поскольку в законе нет случаев, когда нужна такая процедура.^РКН-2 Хотя позиция чиновников неоднозначна, операторам безопаснее избегать в документах ссылок на обезличивание.

РКН-1Приказ Роскомнадзора от 24.02.2021 № 18

РКН-2 Выдержка из ответа РКН на индивидуальное обращение от 28.04.2021

Срок действия. Исключите из шаблона согласия пункты о бессрочности или автопролонгации. Роскомнадзор неоднократно подтверждал, что нужен либо конкретный срок, либо условие, при котором согласие прекращает действовать. К пункту о сроке чиновники не подходят формально, и обойти требование с помощью чрезмерно длительного срока не выйдет. Так, компании часто указывают в согласиях обработку в течение 75 лет — это срок хранения кадровых документов по правилам архивного законодательства. Но для архивных целей или соблюдения налогового, бухгалтерского или страхового законодательства не нужно брать согласие. Здесь действует иное основание обработки.^152ФЗ-1

152ФЗ-1 П. 2 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Нельзя устанавливать срок согласия, который не связан с его целью. Пример: согласие дает сотрудник для оценки эффективности его работы с помощью стороннего провайдера. В этом случае срок действия должен быть привязан к моменту, когда прекратит действовать трудовой договор. Главное в статье Скрыть

Как оформить согласие на обработку персональных данных

Образец согласия скачайте в конце статьи

Главное в статье Скрыть

В каких случаях запрашивать письменное согласие на обработку данных

Компании рискуют получить претензии от Роскомнадзора, если не запрашивают согласие, когда оно необходимо по закону, или, наоборот, делают это с избыточностью. Письменная форма согласия нужна в исключительных случаях, которые исчерпывающе перечисляет закон:

обработка специальных категорий данных: национальность, религия, состояние здоровья, судимости, политические взгляды;
передача данных работников и получение данных работников от третьих лиц;
обработка биометрических данных, для обработки которых нужна аккредитация;
принятие решений на основании автоматизированной обработки данных без участия человека;
включение персональных данных в общедоступные источники, например адресные книги, рекламные брошюры.

В остальных случаях получать согласие в письменной форме не только не нужно, но и рискованно. Хранение такого согласия влечет риск избыточной обработки персональных данных, если по закону письменное согласие не нужно.

Наличие согласия — не гарантия законной обработки. Например, часто компании запрашивают «чувствительные» сведения у будущих работников: о национальности, религии, состоянии здоровья, политических взглядах. Формально обработка таких данных возможна по письменному согласию.^152ФЗ-2 На практике она обычно избыточна, и Роскомнадзор считает ее незаконной, несмотря на согласие.^А55 Так, работодатель не вправе запрашивать у кандидата сведения об отсутствии судимости в случаях, если закон прямо это не разрешает. Такой запрос допустим только в некоторых профессиях, например для учителей или водителей такси.

152ФЗ-2 П. 1 ч. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

А55 Постановление Одиннадцатого ААС от 11.12.2018 по делу № А55-21355/2018

152ФЗ-3 П. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных»

Если данные сотрудника будете обрабатывать, чтобы исполнить требования закона или договора, по которому сотрудник выступает выгодоприобретателем, отдельно получать письменное согласие не нужно. По закону оно требуется, только когда в качестве основания для обработки применяется согласие.^152ФЗ-3 Роскомнадзор с этим согласен в части обработки данных для выполнения законов и ссылается на такие примеры:

передача данных сотрудников медицинским и образовательным организациям в рамках обязательных медосмотров или повышений квалификации;
обработка сведений о состоянии здоровья в листках нетрудоспособности или военном билете;
обработка сведений об инвалидности в рамках трудового, социального законодательства.^РКН-3

РКН-3 Семинары Роскомнадзора от 27.07.2023, 01.03.2023, 28.01.2022

При этом Роскомнадзор категорически отрицает, что можно обойтись без отдельного согласия сотрудников, если для них оформляют полис ДМС или передают их данные для кадрового и бухгалтерского аутсорса. Суды же сейчас начали поддерживать операторов данных, которые буквально толкуют закон и не запрашивают для такой обработки согласие. Так, Роскомнадзор увидел нарушение в действиях компании «Аэрофлот», которая передавала страховщику данные работников для ДМС без их отдельного согласия. Три инстанции посчитали, что оно не нужно, ведь работники выступали выгодоприобретателями по договору.^А40

А40 Постановление АС Московского округа от 30.05.2022 по делу № А40-163911/2021

Если вы решите следовать консервативному подходу регулятора, то при обмене данными сотрудников с другими лицами получайте письменное согласие. Пример: компания оплачивает сотрудникам языковые курсы. Работодатель направляет исполнителю список сотрудников и адреса их корпоративной почты. Затем исполнитель направляет работодателю сведения об успеваемости. В этой ситуации работодатель должен получить у сотрудников письменное согласие на передачу и получение Ф. И. О., e-mail и сведения о результатах обучения. Еще пример от РКН, когда нужно согласие сотрудников: работодатель организовывает пропускной режим и передает данные работников охранному предприятию.

Звезда
за правильный ответ

Тест

Неправильно

Правильно!

Вправе ли компания включать в согласия условие об автопролонгации обработки персданных?

Условие об автопролонгации или бессрочности согласия на обработку данных незаконно. Роскомнадзор неоднократно подтверждал, что нужен либо конкретный срок, либо условие, при котором согласие прекращает действовать.

Да, вправе

Нет, это незаконно

Перечитать статью и сдать тест еще раз

	Потренируетесь защищать компанию от штрафов за нарушения в работе с персональными данными в программе «Персональные данные и коммерческая тайна: практикум по максимальной защите» в Высшей школе Юрист компании