Алексей Ветров
Эксперт по защите данных IC-TECH
Да, нужно. Если организация меняет цели обработки персональных данных, согласие, полученное ранее, становится недействительным, так как оно было выдано под конкретные, заранее определённые цели. Согласно закону, обработка ПДн допустима только в тех пределах, которые были согласованы с субъектом.
Пример:
- если клиент дал согласие на обработку данных для заключения договора и исполнения услуг, компания не может использовать его данные для маркетинговой рассылки без нового согласия;
- если сотрудник дал согласие на публикацию фото в корпоративном журнале, это не означает, что можно разместить то же фото на сайте компании — потребуется новое согласие.
Обоснование по законодательству
- Ст. 5 ФЗ-152, ч. 2 — обработка ПДн должна ограничиваться достижением конкретных, заранее определённых и законных целей.
- Ст. 9 ФЗ-152 — согласие должно быть конкретным, информированным и сознательным; если цели изменились, требуется новое согласие.
- Постановление Конституционного Суда РФ № 17-П от 09.07.2013 — подтвердило, что обработка должна осуществляться только в рамках целей, определённых при получении согласия.
Практика проверок Роскомнадзора
- Интернет-магазин собирал данные клиентов для оформления заказов и использовал их для рассылки рекламы без получения нового согласия. Проверка признала это нарушением и наложила штраф.
- В образовательной организации использовали фото студентов, полученные для оформления документов, для публикации на сайте без отдельного согласия. Роскомнадзор обязал собрать новые согласия.
Важный нюанс
Если меняются только технические детали обработки (например, внедрена новая система хранения данных), а цели остаются прежними — обновлять согласие не требуется. Но если добавляется новая цель (маркетинг, публикация, передача третьим лицам), согласие нужно брать заново.
Рекомендации и выводы
Да, при изменении целей обработки персональных данных необходимо получать новое согласие. Чтобы действовать корректно:
- Указывайте в согласии чёткие и конкретные цели обработки.
- При появлении новых целей — оформляйте отдельное согласие.
- Храните все версии согласий (старые и новые) вместе с документами субъекта.
- Включите порядок обновления согласий в комплект документов по 152-ФЗ.
Компания ICTech поможет вашей организации разработать формы согласий, в которых цели будут прописаны максимально чётко, и подготовить систему документооборота для обновления согласий при необходимости. Это обеспечит законность обработки ПДн и защитит от штрафов.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
