Как оформить согласие на обработку персональных данных

Что изменилось с 1 марта 2021 г. В какой форме может быть оформлено согласие на обработку персональных данных: отдельный документ; включение в анкету, заявление, договор; подписание на сайте путем нажатия кнопки и введения полученного пароля. В каких случаях и какой форме необходимо получать согласие на распространение персданных. Приводим образцы согласий работников, в т.ч. для ситуации, когда данные передаются сторонней организации при аутсорсинге бухгалтерского и кадрового учета. Показываем, что стоит включить в согласие, если оно оформляется на этапе проведения собеседований с кандидатами.

В условиях глобализации мировой экономики и проникновения Интернета во все сферы человеческой жизни особое значение приобретает защита персональных данных. С одной стороны, доверяя государству и бизнесу свою персональную информацию, человек получает более удобный и качественный сервис, а также комфортную коммуникацию. С другой же стороны, повсеместное и избыточное оставление на каждом шагу персональной информации чревато рисками.

Правила ст. 9 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» 1 устанавливают, что любой субъект персональных данных самостоятельно принимает решение о предоставлении согласия на обработку персданных, действуя своей волей и в своем интересе. Например, регистрируя на сайте личный кабинет и заполняя персональные данные, соискатель помимо принятия условий пользовательского (лицензионного) соглашения о порядке использования сервисов также дает согласие на обработку своих персональных данных, нажимая соответствующую электронную кнопку в интерфейсе сайта («принять», «согласен» и т. п.).

Такой порядок выражения согласия на обработку персональных данных широко распространен на практике и не противоречит п. 2 ст. 160, ст. 161, 432, 434 и 438 ГК РФ при условии, что согласие помимо собственно нажатия электронной кнопки подтверждается волевыми действиями пользователя, например, введением одноразового пароля, отправленного пользователю в сообщении, перечислением символического платежа на расчетный счет и т. п. Письменное согласие требуется только в особых случаях, предусмотренных ст. 10 и ст. 10.1 Закона № 152‑ФЗ, в частности при обработке специальных категорий 2 и при распространении персональных данных.

Пример 1

В нашей практике недавно был случай, когда медицинская клиника в связи с распространением коронавируса в Москве перешла на дистанционный формат работы со своими клиентами. При такой модели работы надо было решить задачу получения письменного согласия от клиентов на обработку их специальных персональных данных (о состоянии здоровья). Выходом стало обновление текста оферты на сайте, в которой был описан алгоритм действий клиента по заполнению формы анкеты с указанием своих персональных данных, нажатие электронной кнопки об отправке и перечисление на счет клиники символического платежа. В оферте содержалось указание на то, что выполнение данных действий в т.ч. выражает согласие на обработку специальных персональных данных. Присоединяясь к оферте, клиент принимал на себя обязательство направить текст согласия по электронной почте в адрес клиники.

В данной ситуации клиника могла быть привлечена к ответственности за нарушение порядка получения согласия на обработку специальных персональных данных. Однако было очевидно, что с учетом неблагоприятной санитарно-эпидемиологической обстановки в стране она предприняла все разумные и зависящие от нее меры по выполнению установленных требований, что, по нашему мнению, исключало наличие ее вины.

Письменное согласие на бумаге с собственноручной подписью как отдельный документ – это идеальный вариант, который сложнее оспорить.

Хотя распространена и другая практика – включение текста согласия в другой документ, например анкету или договор. Этот вариант законом не запрещен, но судьи расценивают его по-разному. Ведь согласие на обработку персданных должно быть конкретным, информированным, сознательным и добровольным, а не даваться между делом под давлением обстоятельств.

Судебная практика. Постановление Тринадцатого арбитражного апелляционного суда от 25.02.2020 № 13АП-35983/2019

Включение в типовой договор условия о заранее данном согласии на обработку персональных данных может послужить основанием для привлечения предпринимателя к административной ответственности на основании ч. 2 ст. 14.8 КоАП РФ.

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 840 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Рекомендовано для вас

Утечка персональных данных: самые большие штрафы и уголовная ответственность

Самые большие штрафы грозят за несанкционированную передачу персональных данных (ПД): доходит до 3% с годовой выручки организации и до 500 000 000 рублей! Поэтому мы стали разбираться, какие требования есть к обеспечению безопасности ПД в информационных системах, какие отягчающие и смягчающие размер штрафа обстоятельства учитываются. За какие категории ПД грозит повышенный штраф. В таблице систематизируем, кого, за что и на сколько могут оштрафовать по КоАП РФ. Объясняем, за что «светит» уже уголовная ответственность, по которой могут быть не только крупные штрафы, но и лишение права занимать определенные должности и даже лишение свободы. Разбираемся также со штрафами за неуведомление Роскомнадзора об инциденте с утечкой ПД (либо нарушение срока уведомления – это должно быть сделано в течение 24 и 72 часов), а также за хранение ПД россиян за рубежом.

Акт об уничтожении персональных данных или документов?

Во многих документах, которые мы привыкли выделять к уничтожению по акту, составленному по правилам Росархива, содержатся персональные данные. В марте 2023 года вступил в силу приказ Роскомнадзора, который потребовал документировать уничтожение персональных данных по своему акту (там должны фиксироваться иные сведения, его составлять очень трудоемко)! А штрафы за ошибки в работе с персданными большие. Помогаем вам их избежать. Вы поймете, когда надо оформлять уничтожение документов (в т.ч. содержащих персданные) по акту Росархива, а когда – по акту Роскомнадзора. А еще получите аргументацию для диалога с проверяющими, чтобы защитить себя. Отсутствие однозначных разъяснений от профильных ведомств (Росархива и Роскомнадзора) приводит к рискам, которые помогаем вам оценить и выбрать свой «маршрут следования».

Несанкционированный доступ к персональным данным, обрабатываемым без средств автоматизации

Многие бумажные документы содержат персональные данные (ПД). Какие штрафы грозят за разглашение ПД, обрабатываемых без средств автоматизации? Загадка: если проект документа создан на компьютере, потом его распечатали и подписали на бумаге, то можно считать, что документ обрабатывается без средств автоматизации? Объясняем, как провести грань между автоматической и «ручной» обработкой ПД. Какие требования предписывает выполнить постановление Правительства РФ для защиты ПД, обрабатываемых «вручную». Их полный список может вас напугать. Поэтому подсказываем, как «сильные мира сего» минимизируют его выполнение.

Документирование работы с персональными данными: как избежать штрафов по ст. 13.11 КоАП РФ

Какие могут быть проблемы с целями обработки персональных данных? Когда нужно оформлять письменные согласия на обработку и распространение персональных данных, как их составить грамотно? Когда нужна Политика обработки персданных и где она должна быть опубликована? Когда и какую информацию следует предоставить по запросу человека о его персональных данных? Когда оператор обязан уточнить, заблокировать или уничтожить персональные данные? Как должно производиться обезличивание персональных данных? Когда и о чем следует уведомлять Роскомнадзор? Объясняем, как выполнить перечисленные задачи грамотно и какие штрафы грозят за ошибки.

Кто и как отвечает в организации за работу с персональными данными

Показываем, как оформить приказ о назначении ответственного за организацию работы с персональными данными, как можно прописать его обязанности в должностной инструкции. Как оформить перечень работников, допущенных к работе с персональными данными (приказ и формулировки для должностных инструкций). Какое наказание могут понести эти категории лиц в случае нарушений: штрафы для работников доходят до 800 000 руб., а для организаций – до 18 000 000 руб.(систематизировали варианты нарушений и административную ответственность за них в виде таблиц). Как их планируют еще ужесточить! В Уголовном кодексе дело дойдет до лишения свободы. Объясняем, кто подпадает под дисциплинарную, административную и уголовную ответственность.

Акт об уничтожении персональных данных или документов?

Во многих документах, которые мы привыкли выделять к уничтожению по акту, составленному по правилам Росархива, содержатся персональные данные. В марте 2023 года вступил в силу приказ Роскомнадзора, который потребовал документировать уничтожение персональных данных по своему акту (там должны фиксироваться иные сведения, его составлять очень трудоемко)! А штрафы за ошибки в работе с персданными большие. Помогаем вам их избежать. Вы поймете, когда надо оформлять уничтожение документов (в т.ч. содержащих персданные) по акту Росархива, а когда – по акту Роскомнадзора. А еще получите аргументацию для диалога с проверяющими, чтобы защитить себя. Отсутствие однозначных разъяснений от профильных ведомств (Росархива и Роскомнадзора) приводит к рискам, которые помогаем вам оценить и выбрать свой «маршрут следования».

Документирование работы с персональными данными: как избежать штрафов по ст. 13.11 КоАП РФ

Какие могут быть проблемы с целями обработки персональных данных? Когда нужно оформлять письменные согласия на обработку и распространение персональных данных, как их составить грамотно? Когда нужна Политика обработки персданных и где она должна быть опубликована? Когда и какую информацию следует предоставить по запросу человека о его персональных данных? Когда оператор обязан уточнить, заблокировать или уничтожить персональные данные? Как должно производиться обезличивание персональных данных? Когда и о чем следует уведомлять Роскомнадзор? Объясняем, как выполнить перечисленные задачи грамотно и какие штрафы грозят за ошибки.

Обновление штрафов за нарушения в работе с персональными данными

С 30 мая 2025 г. вступили в силу самые крупные многомиллионные штрафы (в т.ч. % с годовой выручки) за нарушения в работе с персональными данными. В табличной форме показываем все виды нарушений в этой сфере и наказаний за них, которые действуют на данный момент в административном и уголовном кодексах. Комментируем самые примечательные моменты. Например, за что и в каких организациях оштрафуют только должностное лицо, а в каких только само юрлицо, каким организациям штраф уменьшат в 2 раза или взыщут как с ИП.