Что Роскомнадзор считает надлежащим подтверждением согласия
Согласие должно быть не только получено, но и документально зафиксировано в форме, позволяющей доказать:
- кто именно его дал (идентификация субъекта);
- на какие цели и данные распространяется;
- когда и каким способом оно было получено;
- что субъект был информирован об условиях обработки.
Для подтверждения этого Роскомнадзор принимает разные виды доказательств, в зависимости от формы согласия — бумажной или электронной.
1. Бумажное согласие
Это самый надёжный вариант. При проверке предъявляются:
- оригиналы или копии подписанных согласий субъектов;
- журнал регистрации согласий, где фиксируется дата получения и номер документа;
- приказы или регламенты, устанавливающие порядок оформления согласий.
Подпись на бумажном документе должна быть живой (рукописной). Электронная скан-копия без оригинала может быть признана недостаточной, если нет иных подтверждений.
2. Электронное согласие
Для онлайн-форм, CRM-систем и приложений доказательствами считаются:
- лог-файлы или технические журналы, где указаны дата, время, IP-адрес и идентификатор пользователя, подтвердившего согласие (например, поставившего чекбокс);
- электронное письмо или SMS-подтверждение, если согласие давалось через рассылку;
- скриншоты формы и описание бизнес-процесса получения согласия (из регламента или политики);
- записи в базе данных с отметкой о согласии.
Важно, чтобы организация могла показать техническую фиксацию момента согласия, а не просто наличие чекбокса на сайте.
3. Для сотрудников организации
Для работников доказательствами служат:
- согласия, подписанные при приёме на работу;
- журнал регистрации кадровых согласий.
Если компания обрабатывает данные членов семьи, фотографии, биометрические данные или сведения о здоровье, должны быть оформлены отдельные согласия на эти категории.
4. Для клиентов и пользователей сайта
Роскомнадзор часто запрашивает подтверждение согласий, данных при:
- оформлении заявки на сайте;
- регистрации в личном кабинете;
- подписке на рассылку;
- участии в акциях и бонусных программах.
Для доказательства нужно иметь журнал регистрации онлайн-согласий, а также регламент, описывающий процесс их получения и хранения.
5. Для подрядчиков и партнёров
Если данные передаются третьим лицам, необходимо подтвердить, что субъект был об этом уведомлён и согласился на передачу. Подтверждение — копия согласия с пунктом о передаче данных или отдельное приложение к договору.
Обоснование по законодательству
- ФЗ-152 «О персональных данных», ст. 6, 9 — законные основания и порядок получения согласия.
- Постановление Правительства РФ № 687 от 15.09.2008 — требования к форме согласия.
- Письмо Роскомнадзора № 08-35621 от 27.07.2022 — разъяснения о доказательствах получения согласия.
- КоАП РФ, ст. 13.11 — ответственность за обработку без согласия субъекта.
Практика проверок
Роскомнадзор в своих актах указывает: если оператор не может предъявить документ или лог, подтверждающий факт согласия, это расценивается как отсутствие законного основания для обработки.
Например:
- компания собирала телефоны клиентов через форму без записи события в логах — признано нарушением;
- онлайн-магазин сохранял IP-адрес и дату отметки согласия — признано достаточным подтверждением.
Вывод
Подтверждение согласия — это не только бумага с подписью, но и возможность документально доказать факт его получения. При проверке Роскомнадзор оценивает, насколько оператор способен подтвердить, что субъект действительно осознанно дал разрешение.
Чтобы избежать рисков, компании стоит:
- Вести журналы регистрации согласий (бумажных и электронных).
- Настроить логирование событий при онлайн-согласиях.
- Хранить копии или скриншоты всех форм и текстов согласий.
- Описать порядок получения и хранения согласий в регламенте по ПДн.
Компания ICTech помогает операторам подготовить доказательную базу для проверок Роскомнадзора — от создания шаблонов согласий до разработки регламентов хранения.
