Когда нужно оформлять согласие на обработку ПДн?

Согласие на обработку персональных данных необходимо оформлять в тех случаях, когда обработка не может быть осуществлена без воли субъекта данных. По общему правилу, закреплённому в законе, обработка персональных данных допускается только с согласия субъекта. Исключения из этого правила прямо перечислены в законе (например, когда обработка обязательна для исполнения трудового договора или для исполнения обязанностей, возложенных законом).

Согласие требуется, если:

• организация собирает и хранит данные клиентов (ФИО, телефон, e-mail, адрес, реквизиты);
• данные используются для маркетинга, рекламных рассылок, обзвонов;
• данные размещаются на сайте (отзывы, фото, профили сотрудников);
• организация работает со специальными категориями данных (здоровье, убеждения, интимная жизнь) или с биометрией (фото, видео, отпечатки пальцев);
• обрабатываются данные в целях, не связанных напрямую с законом или договором.

Согласие оформляется в письменной или электронной форме (с подтверждением), и должно содержать:

• ФИО и данные субъекта;
• название и адрес оператора;
• цель обработки;
• перечень данных;
• действия, совершаемые с данными;
• срок обработки;
• подпись субъекта или подтверждение электронной формы.

Обоснование по законодательству

• Ст. 6 ФЗ-152 — обработка ПДн допускается с согласия субъекта, за исключением установленных законом случаев.
• Ст. 9 ФЗ-152 — согласие субъекта должно быть конкретным, информированным и сознательным, оформленным в письменной или электронной форме.
• Ст. 10 ФЗ-152 — специальные категории данных (здоровье, убеждения, интимная жизнь) обрабатываются только с письменного согласия.
• Ст. 11 ФЗ-152 — биометрические данные обрабатываются исключительно при наличии письменного согласия.

Практика проверок Роскомнадзора

• Компания проводила рекламные рассылки по базе клиентов без согласия — признано нарушением, наложен штраф.
• Работодатель собирал у сотрудников копии паспортов для кадрового учёта, но не оформил согласия — Роскомнадзор указал, что для кадровой деятельности согласие не требуется (обработка основана на ТК РФ), однако согласие понадобилось для использования фотографий сотрудников на сайте компании.

Важный нюанс: когда согласие не нужно

Согласие субъекта не требуется, если:

• обработка необходима для исполнения договора (например, трудового или договора с клиентом);
• обработка необходима для исполнения обязанностей, возложенных законом (например, налоговый учёт, бухгалтерская отчётность);
• данные обезличены и не позволяют идентифицировать субъекта.

Однако в спорных ситуациях практичнее иметь согласие, чтобы подтвердить законность обработки.

Рекомендации и выводы

Организация обязана оформлять согласие субъекта персональных данных во всех случаях, когда нет законных оснований для обработки без согласия. Чтобы выстроить работу правильно:

1. Определите, какие именно данные и в каких целях обрабатываются.
2. Разграничьте случаи, когда согласие обязательно (маркетинг, сайт, биометрия) и когда оно не требуется (трудовые отношения, налоговый учёт).
3. Разработайте типовые формы согласий для разных категорий субъектов (сотрудники, клиенты, посетители сайта).
4. Храните согласия в архиве, чтобы предъявить их при проверке Роскомнадзора.

Компания ICTech поможет подготовить корректные формы согласий и полный пакет документов по 152-ФЗ, чтобы ваша организация соблюдала требования закона и могла спокойно проходить проверки без штрафов и предписаний.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге