Обоснование по законодательству
- ФЗ-152, ст. 9 — согласие субъекта на обработку персональных данных должно быть конкретным, информированным и сознательным, а также оформляться в письменной или иной форме, позволяющей подтвердить факт получения.
- ФЗ-152, ст. 18.1 — оператор обязан утверждать документы, определяющие его политику и правила обработки ПДн. Формы согласий являются частью этих документов.
- Приказы Роскомнадзора с методическими рекомендациями указывают, что организация должна иметь утверждённые формы согласий и хранить их в актуальном виде.
Практика проверок
Роскомнадзор при проверках часто запрашивает формы согласий, используемых компанией. Если формы не утверждены приказом, проверяющие могут усомниться в их актуальности и законности применения. В организациях, где формы согласий утверждены внутренними приказами, претензий к процедурам не возникает.
Что важно учитывать компаниям
- Все формы согласий (для сотрудников, клиентов, детей, фото- и видеосъёмки и пр.) должны быть утверждены приказом руководителя.
- При изменении форм необходимо издавать новый приказ об утверждении обновлённой редакции.
- В приказе желательно указывать, с какой даты форма применяется.
Рекомендации и выводы
Да, утверждать формы согласий приказом — это правильная и безопасная практика. Это позволит компании при проверках подтвердить, что все формы согласий официально закреплены и соответствуют требованиям закона. Чтобы упростить работу, можно утвердить единый пакет согласий одним приказом, включив в него все используемые формы.
Компания ICTech поможет вашей организации выстроить полный документооборот по ПДн, включая приказы, акты и формы согласий. Это позволит свести к минимуму риски штрафов и претензий надзорных органов.
