Продолжаем серию публикаций про работу по 152-ФЗ "О персональных данных" и в этом материале речь пойдет про такой документ как Согласие на обработку персональных данных, а точнее о Согласиях.
Когда нужно брать согласие на обработку и передачу персональных данных
Ответ очень простой: всегда! Согласно Статьи 9 152-ФЗ согласие на обработку своих персональных данных должен давать любой субъект, который куда-то их добровольно передает. Поэтому сейчас нужно всегда и практически со всех брать эти документы. Вы однозначно заполняли эти документы хотя бы раз в совей жизни, например, при посещении врача.
В большинстве случаев с нас эти документы не брали, типа и так сойдет. Но с 30 мая 2025 года все стало серьезнее, поэтому запаситесь терпением, лишней пачкой бумаги и собирайте эти документы. Если вы работаете в бьюте-сфере, у вас есть база клиентов, вы ведете запись на сайте и т.д. - берите согласия.
В большинстве случаев с нас эти документы не брали, типа и так сойдет. Но с 30 мая 2025 года все стало серьезнее, поэтому запаситесь терпением, лишней пачкой бумаги и собирайте эти документы. Если вы работаете в бьюте-сфере, у вас есть база клиентов, вы ведете запись на сайте и т.д. - берите согласия.
Какие существуют виды согласий на обработку персональных данных
Возможно, вы удивитесь, но существуют различные согласия на обработку персональных данных. Итак, перечислим основные из них:
1. Согласие на обработку персональных данных
Это самое простая и привычная форма. Именно ее мы оформляем чаще всего. Согласно все той же Статье 9 Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Обратите внимание! Пишите те, цели, для которых вы собираете данные. Если с этими данными будут работать третьи лица, обязательно это укажите. Самое главное - данные в этом документе должны совпадать с тем, что вы указали в Уведомлении РКН.
Согласие за недееспособных гражданах, например, детей подписывают их законные представители.
2. Согласие на распространение персональных данных
Как ни странно, но это отдельный документ и касается он в первую очередь фотографий и видео. Например, у вас на сайте есть фотографии членов вашей команды или отзывы от клиентов. В этом случае вам нужно получить отдельное согласие на распространение. Данный документ должен соответствовать Приказу Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Почитать, что там должно быть можно на сайте РКН.
Здесь важно понимать, что просто фотография на сайте - не персональная данная (на момент публикации материала это так, что будет дальше - время покажет). Но как только там появилось имя и фамилия, т.е. получится идентифицировать человека - персональная данная. Поэтому если вы, например, косметолог и публикуете свои работы и не дай Бог отмечаете человека, то вы должны собирать еще и это Согласие. Если вы просто публикуете свои работы и человека не видно, вроде как можно ничего такого не брать. Но мы рекомендуем подписать и эту бумагу с клиентом.
Обратите внимание! Если вы работаете с контрагентами через Договор, например, ваше ИП и другое ИП, то Согласие на обработку персональных данных подписывать не нужно. Но если вы берете сведения, которые не учтены в Договоре, то тогда подписывайте. Если же вы хотите опубликовать отзыв о работе с какой-то компанией и давать вам его будет генеральный директор со свое фотографией, то однозначно берете Согласие на распространение.
3. Согласие на обработку персональных данных для сайта
Это еще один вид согласия, который должен быть у вас, если у вас есть сайт. Почему оно должно быть отдельным? Во-первых, потому что человек не может вам подписать документ лично. Во-вторых, потому что по средствам сайта мы еще собираем куки и метрические данные.
Для такого согласия нужно сделать отдельную страницу или прикрепить ссылку на .pdf документ, например, в разделе со всеми документами про персональные данные.
Обязательно нужно поставить активный (пустой) чек-бокс в каждой форме на сайте с активной ссылкой на этот документ. Еще нужно добавить ссылку в окно с информированием про использование куки. Доступ к Согласию должен быть с любой страницы сайта, поэтому размещайте все ссылки в подвале.
4. Согласие на трансграничную передачу данных
Еще один вид Согласия, который нужно оформлять, если вы вдруг каким-то образом решили передавать данные на иностранные ресурсы. Еще раз подчеркнем, что бизнес-общение через Телеграм, Whatsapp или Google является трансграничной передачей данных через серверы не локализованные на территории РФ. Т.е в этом случае никакие согласия вам не помогут - обрабатывать персональные данные там нельзя.
Но мы можем предположить, что ваши сотрудники работают в другой стране и вам нужно как-то передать эти данные, в этом случае, подписываете с ними Согласие, ставите нужные галочки в уведомлении и, скорее всего, можете жить спокойно. Или, возможно, у вас стоит иностранная CRM из дружественной страны ("белый список" РКН), в этом случае вы делаете все тоже самое.
Но мы можем предположить, что ваши сотрудники работают в другой стране и вам нужно как-то передать эти данные, в этом случае, подписываете с ними Согласие, ставите нужные галочки в уведомлении и, скорее всего, можете жить спокойно. Или, возможно, у вас стоит иностранная CRM из дружественной страны ("белый список" РКН), в этом случае вы делаете все тоже самое.
Срок действия согласия на обработку персональных данных
Если внимательно почитать Статью 9, то там вы не найдете прямых указаний по срокам хранения Согласий. Особенно это касается тех, разрешений, которые пользователи оформляют на сайте. Чаще всего, Согласия даются до того момента, пока его не отзовет сам субъект персональных данных.
Оптимальная формулировка: Настоящее Согласие действует бессрочно с даты его предоставления Оператору, и может быть отозвано в любое время путем подачи Оператору заявления в порядке, указанном в п. 5.3. настоящего Согласия.
Если вы хотите установить срок действия такого Согласия, то пропишите это. Но в этом случае вам нужно следить за тем, чтобы потом все документы с истекшим сроком уничтожались. Самое интересное, что вы как Оператор можете продолжать обрабатывать персональные данные, даже если субъект их отозвал, но при наличии оснований, указанных в п.2-11 ч.1 ст. 6, ч.2 ст. 10, ч.2 ст.11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Сюда относятся случаи судебных тяжб, сбора статистики, защиты жизни и т.д.
Важный момент! Согласия не являются частью Договора. Раньше вы могли вписать пункт про обработку персональных данных и многие так делала, но сейчас этот фокус не прокатит. Согласия оформляются отдельным документом.
Составить Согласия не так долго и не так сложно. Это гораздо быстрее и проще, чем потом объяснять РКН, что ты чего-то не знал и уж тем более это намного проще, чем потом платить штраф.
