Нужна консультация?

Нужна консультация?
Позвоните нам

+7 (495) 161-97-84

Получить консультацию по Solar Dozor

Все операторы персональных данных обязаны обрабатывать ПДн согласно № 152-ФЗ и другим законодательным актам. Одно из требований — получить разрешение владельца сведений. Рассказываем, как сделать это правильно и законно, чтобы уберечь бизнес от санкций.

Что значит согласие на обработку персональных данных

Согласие субъекта ПДн дает право на законных основаниях работать с его личной информацией, если отсутствуют другие правовые основания для этого. Человек должен добровольно и сознательно разрешить оператору собирать, использовать, хранить и совершать иные действия со своими данными.

kalish-darya-yurist-po-rabote-s-personalnymi-dannymi.jpeg

Калиш Дарья

юрист по работе с персональными данными ГК «Солар»

Согласие на обработку персональных данных — подтверждение того, что владелец ПДн разрешает оператору собирать, обрабатывать и хранить информацию, когда невозможно использовать для этого иные правовые основания. Сейчас требования законодательства в отношении получения согласия стали несколько строже, что упростит процесс рассмотрения споров в судебных инстан.

С 1 сентября 2025 года в законе четко сформулировано, что согласие на обработку ПДн должно быть оформлено в виде отдельного документа.

Судебная практика и раньше исходила из того, что «навязывание» согласий не допускается. Примеры: решение АС г. Санкт-Петербурга и Ленинградской области от 30.07.2020 по делу № А56-25130/2020, постановление 13 ААС от 25.11.2020 № 13АП-21818/2020, 13АП-22245/2020 по делу № А56-25130/2020 и другие. Однако прямого запрета таких действий законодательство не содержало. Внесенные в закон о персональных данных нововведения призваны исключить случаи, когда согласие дается по умолчанию, например, при регистрации на сайте, подписании договора, заказе продукции. Новые нормы направлены на повышение прозрачности работы с ПДн и предоставление субъектам больших возможностей по управлению своими данными.

Что должно быть в согласии на обработку ПДн

Если законом не предусмотрено получение согласия строго в письменной форме, то специальных требований к содержанию такого согласия не предъявляется. Достаточно, чтобы из текста согласия субъект ПДн мог четко понять, какова дальнейшая «судьба» его личной информации — зачем оператор собирает сведения, что планирует с ними делать и прочее. Если в случаях, прямо предусмотренных законом, речь идет о получении письменного согласия то оператор должен соблюдать установленные требования к содержанию такого документа. Что в нем нужно указать:

  • ФИО, паспортные данные и адрес субъекта — владельца ПДн.
  • Персональную информацию лица, представляющего интересы субъекта ПДн в силу закона или по доверенности (если такое лицо есть).
  • Информацию об операторе: наименование или ФИО и адрес.
  • Цель обработки персональных данных.
  • Список данных, на обработку которых распространяется согласие.
  • Информацию о третьих лицах, которые вправе вести обработку персональных данных по поручению оператора.
  • Список разрешенных операций с ПДн, например: сбор, обработка, хранение, передача третьим лицам.
  • Срок действия согласия на обработку персональных данных.
  • Способ отзыва согласия.
  • Подпись субъекта ПДн.

Если оператор передает данные субъекта третьим лицам, например аналитическим центрам или партнерам, то должен указать это в согласии. В документе рекомендуется указать наименование организации, цели и условия передачи информации, перечень действий с ПДн либо дать ссылку на страницу с информацией о получателях ПДн (и обязательно поддерживать такую страницу в актуальном состоянии).

Ответственность за нарушение порядка обработки персональных данных

Иногда операторы сознательно или по незнанию игнорируют требования закона. Какие ошибки совершают компании:

  • Вставляют в общий договор пункт о согласии на обработку персональных данных.
  • Обрабатывают информацию, не уведомляя субъекта и не получая согласие на это, хотя оно требуется.
  • Неверно составляют согласие, из-за чего оно получается неинформативным и неконкретным.
  • Объединяют несколько видов согласий в один документ: например, согласие на обработку ПДн и на их распространение (такое согласие должно быть получено отдельно от других).

За эти нарушения предусмотрена административная ответственность в виде штрафов. Сумма зависит от типа оператора ПДн, характера и частоты нарушений.

Санкции при первом нарушении

Штрафы при повторном нарушении

Категория

Сумма

Категория

Сумма

Физлицо

10–15 тыс. руб.

Гражданин

15–30 тыс. руб.

Должностное лицо

50–100 тыс. руб.

Должностное лицо

100–200 тыс. руб.

Юрлицо

150–300 тыс. руб.

Юрлицо

300–500 тыс. руб.

Если законом установлено, что согласие должно было быть получено строго в письменной форме, то штрафы могут быть еще выше.

Помимо штрафов, операторы могут получить от Роскомнадзора предписание об устранении нарушений. Если требования не будут выполнены в обозначенный срок, контролирующий орган вправе наложить дополнительные санкции.

Каким может быть согласие на обработку персональных данных

Есть несколько типов согласий. К примеру, есть существенная разница в формулировках этих докуметов, если в одном случае речь идет только об обработке ПДн самим оператором и передаче их конкретным лицам (например, партнерам), а в другом — о распространении ПДн, т. е. их раскрытии неопределенному кругу лиц (например, публикация ПДн на сайте). Краткое описание этих вариантов:

  • Согласие на обработку ПДн и передачу их определенным третьим лицам. Это документ, которого достаточно, если компания собирает информацию только для внутреннего использования. Передавать данные в рамках такого согласия можно, но только ограниченному и заранее понятному для субъекта кругу лиц. Например, внутри компании или определенному партнеру.
  • Согласие на обработку персональных данных, разрешенных для распространения. Такой документ позволяет передавать ПДн неограниченному кругу лиц и публиковать в интернете. Он оформляется отдельно от любых других согласий на обработку ПДн по специальной, установленной Роскомнадзором форме. В документе должен быть перечень данных, которые можно распространять.

Первый вариант согласия покрывает многие задачи бизнеса, такие как кадровый и бухгалтерский учет, взаимодействие с контролирующими органами и банками, подрядчиками. Второй тип документа нужен, если компания размещает ПДн в интернете, использует для презентаций на мероприятии с неограниченным количеством участников и прочего.

В каких случаях согласие на обработку персональных данных не нужно

Есть законные основания не получать от субъекта разрешение на обработку персональных данных. Это возможно, если информация:

  • Заносится в государственные реестры или подлежит обязательному опубликованию.
  • Используется только для личных или семейных нужд, и это не нарушает права владельца сведений.
  • Нужна государственным органам, чтобы обеспечивать соблюдение законов, составлять международные договоры, совершать общественно важные действия.
  • Необходима для рассмотрения дел судами и исполнения судебных решений.
  • Нужна для осуществления деятельности журналистов при условии соблюдения требований законодательства о СМИ.

Кроме того,согласие не требуется, если обработка персональных данных нужна для исполнения договора, стороной которого является сам субъект или в интересах которого договор заключен, потому что эти данные нужны для выполнения обязательств по этому договору.

обработка ПДн без согласия

Также ПДн могут без согласия обрабатываться в рамках предоставления муниципальных и государственных услуг. Либо когда оператор выполняет обязанности, наложенные на него трудовым и иным отраслевым законодательством. В этом случае компания должна соблюдать принципы минимизации и целевого использования персональных данных.

Можно обрабатывать персональные данные без согласия, если есть угроза здоровью и жизни субъекта, а согласие невозможно получить. В таком случае не всегда получается получить разрешение. Пример: надо найти пропавшего человека или оказать срочную медицинскую помощь.

Требования к согласию с разрешением на распространение ПДн

В таком согласии должны быть ФИО, контактные и паспортные данные субъекта, сведения об операторе (физлице, ИП, компании), цели обработки и перечень личной информации, которая подлежит передаче. Также следует указать, по каким каналам и кому можно передавать ПДн. Обязательно должен быть прописан срок действия согласия на обработку персональных данных.

По настоянию субъекта ПДн в договор включают перечень данных, на которые будут распространяться особые условия и запреты. Например, человек может ограничить круг сведений, подлежащих передаче третьим лицам либо разрешить доступ только из внутренней сети оператора.

согласие на обработку персональных данных

Эти требования прописаны в приказе Роскомнадзора от 24.02.2021 № 18. Перед получением согласия от субъекта операторы должны ознакомиться с нормативами и в соответствии с ними подготовить форму документа.

Даже если оператор получил все необходимые согласия, то, если он организует передачу ПДн третьим лицам, он должен контролировать все внутренние каналы связи: корпоративные системы, электронную почту, мессенджеры, облака. Такие меры помогут защитить ПДн от случайного раскрытия, поскольку каждая компания несет ответственность перед людьми, чьи данные обрабатывает. В этом поможет DLP-система Solar Dozor. С помощью разных технологий она обнаруживает и блокирует подозрительные операции с данными либо уведомляет ИБ-специалистов.

защита персональных данных

Защищайте персональные данные клиентов от утечки и свой бизнес от санкций с помощью Solar Dozor.

Запросить демоверсию системы

Можно ли отказать в получении услуги, если субъект не дал согласия на обработку персональных данных

Согласие на обработку персональных данных клиент должен дать добровольно — оператор не вправе принуждать человека к этому (например, заставлять подписать документ). Как и отказать в услуге только потому, что субъект не разрешил использовать его личную информацию. Это прописано в законе № 2300-1 «О защите прав потребителей» от 07.02.1992.

содержание документа о согласии пдн

Отказ оператора обслуживать клиента будет законным, только если без персональных данных нельзя оказать услугу. В таком случае нужно уведомить потребителя о причинах, согласно которым невозможно заключить договор. Аналогичным образом оператор должен поступить, если договор уже есть, но его условия не получится соблюсти без предоставления ПДн.

Примеры законного отказа в услуге в связи с нежеланием клиента предоставить ПДн:

Услуга

Почему можно отказать

Открытие банковского счета или получение кредита

Обработка данных обязательна для идентификации клиента и выполнения требований законодательства.

Заключение договора связи, страхования или аренды

Персональные данные необходимы для заключения и исполнения договора с клиентом и его идентификации (например, абонента мобильного оператора).

Покупка товара в интернет-магазине или на маркетплейсе

Не имея персональных данных, сервис не сможет доставить заказ.

обработка пдн

Solar Dozor поможет соблюсти закон № 152-ФЗ и организовать в компании безопасную обработку персональных данных.
Вы будете узнавать обо всех нарушениях и в режиме реального времени их предотвращать.

Получить консультацию

Бескомпромиссная защита персональных данных

Если вы обрабатываете персональные данные, примите превентивные меры против утечек. Можно использовать DLP-систему Solar Dozor. Преимущества решения:

  • Высокая производительность, подтвержденная нагрузочными тестами.
  • Стабильный агент для рабочих станций.
  • Несколько технологий выявления персональных данных при их передаче по разным каналам.
  • Модуль UBA для анализа пользовательского поведения и выявления потенциальных инсайдеров.
  • Модуль Dozor Detective для автоматизации расследований внутренних инцидентов ИБ.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Информационные активы: повышение ценности и защита бизнеса

Информационные активы: повышение ценности и защита бизнеса

Узнать больше
Безопасная передача информации: ключевые меры защиты

Безопасная передача информации: ключевые меры защиты

Узнать больше
Обработка персональных данных: все, что необходимо знать о хранении и обработке персональных данных

Обработка персональных данных: все, что необходимо знать о хранении и обработке персональных данных

Узнать больше