Что изменилось с 1 марта 2021 г. В какой форме может быть оформлено согласие на обработку персональных данных: отдельный документ; включение в анкету, заявление, договор; подписание на сайте путем нажатия кнопки и введения полученного пароля. В каких случаях и какой форме необходимо получать согласие на распространение персданных.
Приводим образцы согласий работников, в т.ч. для ситуации, когда данные передаются сторонней организации при аутсорсинге бухгалтерского и кадрового учета. Показываем, что стоит включить в согласие, если оно оформляется на этапе проведения собеседований с кандидатами.
В какой форме можно дать согласие
В условиях глобализации мировой экономики и проникновения Интернета во все сферы человеческой жизни особое значение приобретает защита персональных данных. С одной стороны, доверяя государству и бизнесу свою персональную информацию, человек получает более удобный и качественный сервис, а также комфортную коммуникацию. С другой же стороны, повсеместное и избыточное оставление на каждом шагу персональной информации чревато рисками.
Правила ст. 9 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» 1 устанавливают, что любой субъект персональных данных самостоятельно принимает решение о предоставлении согласия на обработку персданных, действуя своей волей и в своем интересе. Например, регистрируя на сайте личный кабинет и заполняя персональные данные, соискатель помимо принятия условий пользовательского (лицензионного) соглашения о порядке использования сервисов также дает согласие на обработку своих персональных данных, нажимая соответствующую электронную кнопку в интерфейсе сайта («принять», «согласен» и т. п.).
Такой порядок выражения согласия на обработку персональных данных широко распространен на практике и не противоречит п. 2 ст. 160, ст. 161, 432, 434 и 438 ГК РФ при условии, что согласие помимо собственно нажатия электронной кнопки подтверждается волевыми действиями пользователя, например, введением одноразового пароля, отправленного пользователю в сообщении, перечислением символического платежа на расчетный счет и т. п. Письменное согласие требуется только в особых случаях, предусмотренных ст. 10 и ст. 10.1 Закона № 152‑ФЗ, в частности при обработке специальных категорий 2 и при распространении персональных данных.
В нашей практике недавно был случай, когда медицинская клиника в связи с распространением коронавируса в Москве перешла на дистанционный формат работы со своими клиентами. При такой модели работы надо было решить задачу получения письменного согласия от клиентов на обработку их специальных персональных данных (о состоянии здоровья). Выходом стало обновление текста оферты на сайте, в которой был описан алгоритм действий клиента по заполнению формы анкеты с указанием своих персональных данных, нажатие электронной кнопки об отправке и перечисление на счет клиники символического платежа. В оферте содержалось указание на то, что выполнение данных действий в т.ч. выражает согласие на обработку специальных персональных данных. Присоединяясь к оферте, клиент принимал на себя обязательство направить текст согласия по электронной почте в адрес клиники.
В данной ситуации клиника могла быть привлечена к ответственности за нарушение порядка получения согласия на обработку специальных персональных данных. Однако было очевидно, что с учетом неблагоприятной санитарно-эпидемиологической обстановки в стране она предприняла все разумные и зависящие от нее меры по выполнению установленных требований, что, по нашему мнению, исключало наличие ее вины.
Письменное согласие на бумаге с собственноручной подписью как отдельный документ – это идеальный вариант, который сложнее оспорить.
Хотя распространена и другая практика – включение текста согласия в другой документ, например анкету или договор. Этот вариант законом не запрещен, но судьи расценивают его по-разному. Ведь согласие на обработку персданных должно быть конкретным, информированным, сознательным и добровольным, а не даваться между делом под давлением обстоятельств.
Судебная практика. Постановление Тринадцатого арбитражного апелляционного суда от 25.02.2020 № 13АП-35983/2019
Включение в типовой договор условия о заранее данном согласии на обработку персональных данных может послужить основанием для привлечения предпринимателя к административной ответственности на основании ч. 2 ст. 14.8 КоАП РФ.