Алексей Ветров
Эксперт по защите данных IC-TECH
Нет, получить одно универсальное согласие на все цели обработки персональных данных нельзя.
Закон № 152-ФЗ требует, чтобы согласие субъекта было конкретным, информированным и сознательным (ст. 9). Это означает, что в согласии должны быть чётко перечислены все цели обработки, а также указаны виды данных, действия с ними, срок и порядок отзыва согласия.
Если организация формулирует согласие в стиле «на все цели обработки», то оно считается некорректным и при проверке Роскомнадзор признаёт такое согласие недействительным. На практике для разных направлений деятельности (например, исполнение договора, рассылка рекламы, участие в акциях) лучше оформлять отдельные согласия либо грамотно прописывать каждую цель в одном документе, но по пунктам.
Закон № 152-ФЗ требует, чтобы согласие субъекта было конкретным, информированным и сознательным (ст. 9). Это означает, что в согласии должны быть чётко перечислены все цели обработки, а также указаны виды данных, действия с ними, срок и порядок отзыва согласия.
Если организация формулирует согласие в стиле «на все цели обработки», то оно считается некорректным и при проверке Роскомнадзор признаёт такое согласие недействительным. На практике для разных направлений деятельности (например, исполнение договора, рассылка рекламы, участие в акциях) лучше оформлять отдельные согласия либо грамотно прописывать каждую цель в одном документе, но по пунктам.
Обоснование по законодательству
- 152-ФЗ «О персональных данных»:
- Ст. 9 ч. 1 — согласие должно быть конкретным, информированным и сознательным.
- Ст. 9 ч. 4 — согласие должно содержать: цель обработки, перечень данных, действия с ними, срок действия согласия, порядок его отзыва.
- Разъяснения Роскомнадзора: согласие должно содержать детализированные цели обработки. Формулировки «иные цели» или «все возможные цели» признаются нарушающими закон.
Типичные ошибки организаций
- Используют шаблонное согласие «на обработку любых данных для любых целей», что не соответствует закону.
- Не разделяют цели — например, для исполнения договора и для маркетинга используют одно и то же согласие.
- Не прописывают срок действия согласия, ограничиваясь формулировкой «бессрочно» или «до отзыва».
Особенности применения на практике
- Для базовых процессов (заключение договора, кадровый учёт) согласие может вообще не требоваться, так как есть законные основания.
- Для дополнительных целей (маркетинг, рассылки, передача партнёрам) нужны отдельные согласия с конкретной формулировкой.
- Организации, которые правильно структурируют согласия, реже получают предписания при проверках Роскомнадзора.
Рекомендации и выводы
- Не используйте формулировки «одно согласие на всё». Это прямой путь к нарушению 152-ФЗ.
- Прописывайте все цели обработки конкретно и по пунктам.
- Для маркетинга и иных дополнительных целей оформляйте отдельные согласия.
- Указывайте срок действия согласия и порядок его отзыва.
Если вы хотите быть уверены, что ваши согласия корректно составлены, соответствуют требованиям Роскомнадзора и реально защищают бизнес от штрафов, компания ICTech подготовит для вас полный пакет документов по защите персональных данных в организации. Мы разработаем правильные формы согласий, политики и инструкции, чтобы все ваши процессы были в правовом поле, а клиенты и сотрудники доверяли вам.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
