Алексей Ветров
Эксперт по защите данных IC-TECH
Согласие на обработку персональных данных может быть оформлено в двух формах:
В письменной форме
Это основной и самый надёжный вариант. Письменное согласие требуется в случаях, прямо указанных в законе: обработка специальных категорий ПДн, обработка биометрических данных, трансграничная передача ПДн, публикация изображений, контактных данных сотрудников или клиентов,
обработка данных детей (с согласия родителей).
Письменное согласие оформляется на бумаге или в электронном виде с использованием усиленной квалифицированной электронной подписи (УКЭП).
В простой (устной или электронной) форме
Для всех остальных случаев согласие может быть дано любым способом, подтверждающим волю субъекта: проставление галочки на сайте, заполнение формы обратной связи, регистрация в личном кабинете или согласие по телефону (но нужно зафиксировать факт получения).
Главное условие — организация должна иметь доказательства того, что согласие было получено (логирование действий, запись звонка, хранение чекбоксов и дат).
В письменной форме
Это основной и самый надёжный вариант. Письменное согласие требуется в случаях, прямо указанных в законе: обработка специальных категорий ПДн, обработка биометрических данных, трансграничная передача ПДн, публикация изображений, контактных данных сотрудников или клиентов,
обработка данных детей (с согласия родителей).
Письменное согласие оформляется на бумаге или в электронном виде с использованием усиленной квалифицированной электронной подписи (УКЭП).
В простой (устной или электронной) форме
Для всех остальных случаев согласие может быть дано любым способом, подтверждающим волю субъекта: проставление галочки на сайте, заполнение формы обратной связи, регистрация в личном кабинете или согласие по телефону (но нужно зафиксировать факт получения).
Главное условие — организация должна иметь доказательства того, что согласие было получено (логирование действий, запись звонка, хранение чекбоксов и дат).
Обоснование по законодательству
- Ст. 9 ФЗ-152 — согласие субъекта на обработку ПДн может быть дано в любой форме, позволяющей подтвердить факт его получения, если иное не предусмотрено федеральным законом.
- Ст. 9, ч. 4 ФЗ-152 — в отдельных случаях согласие должно быть только письменным (специальные и биометрические данные, трансграничная передача).
- Постановление Конституционного Суда РФ № 17-П от 09.07.2013 — подчёркивает, что согласие должно быть конкретным, информированным и сознательным.
Практика проверок Роскомнадзора
- Интернет-магазин использовал галочку «Я согласен на обработку ПДн» при оформлении заказа. Проверка подтвердила, что это допустимо для обычных данных (ФИО, телефон, e-mail).
- В медицинской клинике брали согласие пациентов в устной форме. Роскомнадзор признал это нарушением — согласие должно быть письменным, так как речь идёт о специальных данных (состояние здоровья).
Важный нюанс
- Обычные данные (ФИО, телефон, e-mail): можно брать согласие в электронной форме.
- Специальные и биометрические данные, а также данные детей: только письменное согласие.
- Для сайта: достаточно чекбокса или формы, если речь идёт о простых данных, но важно фиксировать дату и IP пользователя.
Рекомендации и выводы
Форма согласия зависит от категории данных:
- Для обычных данных клиентов достаточно галочки на сайте или устного подтверждения (с фиксацией).
- Для сотрудников, детей, специальных и биометрических данных требуется письменное согласие.
- Все согласия нужно хранить и при необходимости предъявлять Роскомнадзору.
- Разработайте шаблоны согласий и порядок их хранения в составе пакета документов по 152-ФЗ.
Компания ICTech поможет вашей организации подготовить формы согласий (письменные и электронные), внедрить их на сайте и включить в пакет документов по 152-ФЗ. Это обеспечит законность обработки ПДн и готовность к проверкам.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
