Согласие на обработку персональных данных – это документ или выражение в иной форме, позволяющее организации использовать сведения о человеке в пределах, определённых законом. Чаще всего такое согласие требуется при заключении договоров, регистрации на сайтах, приёме на работу, получении медицинских или образовательных услуг.
Под персональными данными понимается любая информация, позволяющая прямо или косвенно идентифицировать гражданина: ФИО, дата рождения, паспортные данные, адрес, номер телефона, IP-адрес, сведения о здоровье и т. д. Без получения согласия оператор не имеет права обрабатывать эти данные, за исключением случаев, прямо указанных в законодательстве (например, выполнение государственного или муниципального задания).
Форма согласия может быть письменной или электронной – при этом важно, чтобы она содержала: цель обработки, перечень конкретных данных, способы обработки, сроки хранения и порядок отзыва согласия. Наличие подписи (или электронной формы идентификации) обязательно, если речь идёт о бумажном носителе.
Нарушение порядка получения согласия или обработка данных без него может повлечь административную ответственность. На 2025 год размер штрафов для юридических лиц по ст. 13.11 КоАП РФ составляет до 100 000 рублей за каждый эпизод неправомерной обработки.
Для защиты своих прав гражданин может отозвать согласие в любое время. Для этого необходимо направить письменное заявление оператору. После получения заявления компания обязана прекратить обработку и уничтожить данные, если иное не предусмотрено законом.
Зачем требуется согласие на обработку персональных данных
Согласие необходимо для легитимного использования персональных данных в соответствии с Федеральным законом № 152-ФЗ «О персональных данных». Без такого согласия оператор не имеет права собирать, хранить, передавать или иным образом использовать данные субъекта. Это касается как частных компаний, так и государственных учреждений.
Получение согласия фиксирует факт добровольного предоставления данных и информированности субъекта об их использовании. Это позволяет избежать нарушений, связанных с незаконным распространением или утечкой информации. В случае конфликта наличие подписанного согласия служит доказательством соблюдения требований закона.
Согласие требуется при заключении договоров, приёмке на работу, оформлении банковских услуг, участии в маркетинговых кампаниях, регистрации в информационных системах и онлайн-сервисах. В каждом случае должна быть указана цель обработки, перечень собираемых данных и срок хранения.
Без согласия возможна только обработка в случаях, прямо предусмотренных законом – например, для исполнения судебного решения или для исполнения договора, где субъект является стороной. Во всех остальных ситуациях отсутствие согласия может быть признано нарушением, за которое предусмотрена административная ответственность по ст. 13.11 КоАП РФ.
Рекомендуется запрашивать согласие в письменной форме или в форме электронного документа с квалифицированной электронной подписью, особенно если речь идёт о чувствительных данных – например, медицинских сведениях или информации о частной жизни.
В каких случаях необходимо оформлять письменное согласие
Письменное согласие требуется в ситуациях, когда обработка персональных данных может повлиять на права и свободы субъекта или сопровождается передачей информации третьим лицам. Закон № 152-ФЗ прямо указывает на обязательность письменной формы в ряде случаев, особенно если данные относятся к специальным или биометрическим категориям.
Необходимо оформлять письменное согласие при:
- оформлении трудового договора, если предполагается передача данных третьим сторонам (например, в пенсионный фонд, страховую компанию);
- регистрации клиента в медицинском учреждении, когда требуется обработка сведений о состоянии здоровья;
- участии в программах лояльности, где информация передаётся партнёрам по договору оферты;
- использовании биометрических данных (например, отпечатков пальцев или фотографии для пропуска);
- предоставлении данных детям в образовательных организациях – согласие подписывают родители или законные представители;
- обработке данных клиентов в банке, включая кредитную историю, платежеспособность, страхование;
- подписке на платные сервисы, если предполагается автоматизированная обработка профиля;
- осуществлении видеонаблюдения в организациях, когда записи могут использоваться в целях контроля или дисциплинарных мер.
Согласие должно быть оформлено на бумаге с подписью субъекта или в электронной форме с усиленной квалифицированной электронной подписью. Оно обязано содержать точное указание целей обработки, перечень передаваемых данных и срок действия разрешения.
В случае отсутствия такого согласия при необходимости его оформления оператор рискует нарушить положения законодательства, что может повлечь за собой административную ответственность согласно статье 13.11 КоАП РФ.
Какие сведения должны быть указаны в согласии
ФИО субъекта персональных данных – указывается полностью в соответствии с документом, удостоверяющим личность. Без этой информации идентификация лица невозможна.
Наименование и адрес оператора, которому предоставляется согласие. Если обработку осуществляет третье лицо по поручению, необходимо указать его данные отдельно.
Цель обработки персональных данных должна быть конкретной и измеримой. Формулировки вроде «для обеспечения взаимодействия» недопустимы – следует указать, например, «для заключения и исполнения договора страхования».
Перечень обрабатываемых данных должен быть чётко определён. Примеры: паспортные данные, номер СНИЛС, контактный телефон, адрес электронной почты. Недопустимы обобщённые формулировки вроде «иные данные».
Действия с данными, которые будет осуществлять оператор: сбор, запись, систематизация, накопление, хранение, уточнение, использование, обезличивание, блокирование, уничтожение и т.д.
Срок действия согласия – конкретная дата или событие, по наступлении которого обработка прекращается. Если срок не указан, согласие действует бессрочно до момента его отзыва.
Информация о праве отзыва согласия с указанием формы и порядка подачи соответствующего заявления.
Подпись субъекта данных или иная форма подтверждения согласия – в зависимости от того, используется бумажная или электронная форма.
Кто имеет право запрашивать согласие и как это регулируется
Запрашивать согласие на обработку персональных данных вправе только те организации и лица, которые действуют в роли операторов персональных данных в соответствии с Федеральным законом № 152-ФЗ «О персональных данных». Это могут быть государственные органы, юридические лица, индивидуальные предприниматели, а также физические лица, если они осуществляют обработку данных в целях, не связанных с личными нуждами.
Статус оператора возникает с момента начала сбора, хранения, систематизации или использования персональной информации. При этом оператор обязан не только получить согласие, но и обеспечить соответствие всех операций требованиям законодательства, включая наличие документов, подтверждающих правомерность обработки.
Порядок запроса согласия регулируется статьями 6 и 9 указанного закона. В случаях, когда обработка данных не подпадает под безусловные основания, предусмотренные законом, необходимо оформлять согласие в письменной форме или в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.
Нельзя запрашивать согласие без указания конкретных целей обработки, перечня собираемых данных, сроков хранения, а также информации об операторе. Любое нарушение порядка получения согласия может повлечь административную ответственность, предусмотренную статьёй 13.11 КоАП РФ.
Контроль за соблюдением этих норм осуществляют Роскомнадзор и суды общей юрисдикции. Для минимизации рисков рекомендуется использовать типовые формы согласий, согласованные с юристами, и вести журнал их получения с указанием даты, способа оформления и сведений об операторе.
Как отозвать ранее выданное согласие
Согласие на обработку персональных данных можно отозвать в любой момент, направив оператору письменное заявление. Отзыв не требует объяснений и не влияет на законность обработки данных, осуществлённой до момента отзыва.
Заявление об отзыве должно содержать:
Ф.И.О. субъекта данных, дату и место составления, наименование оператора, формулировку об отзыве согласия на обработку персональных данных, дату и подпись.
Рекомендуется направлять заявление заказным письмом с уведомлением или лично под расписку, чтобы подтвердить факт получения операторами.
После получения отзыва оператор обязан прекратить обработку персональных данных, за исключением случаев, когда обработка необходима для исполнения обязательств по закону или договору.
Если оператор продолжает обрабатывать данные без правовых оснований после отзыва, субъект имеет право обратиться в Роскомнадзор или суд для защиты своих прав.
Ответственность за отсутствие согласия и возможные последствия
Обработка персональных данных без полученного согласия, когда оно требуется законом, влечёт юридическую ответственность для организации или лица, осуществляющего обработку.
Основные виды ответственности:
- Административная – штрафы от 10 000 до 75 000 рублей для физических лиц и до 300 000 рублей для юридических лиц (ст. 19.7 КоАП РФ).
- Гражданско-правовая – компенсация морального и материального вреда, включая упущенную выгоду, по иску субъекта персональных данных.
- Уголовная – при умышленной передаче, продаже или ином неправомерном использовании персональных данных (ст. 137 УК РФ).
Отсутствие согласия приводит к блокировке обработки данных, с возможностью приостановления деятельности до устранения нарушений. Контролирующие органы (Роскомнадзор) вправе инициировать внеплановые проверки.
Рекомендации для снижения рисков:
- Обеспечить документальное оформление согласий с указанием цели, объёма и сроков обработки.
- Хранить согласия в доступной для контроля форме минимум пять лет после окончания обработки.
- Обучить сотрудников правилам получения и фиксации согласия.
- Регулярно проводить внутренние аудиты и обновлять процедуры в соответствии с изменениями законодательства.
При выявлении нарушения следует немедленно прекратить обработку, уведомить контролирующий орган и субъектов данных, а также принять меры по минимизации последствий.
Вопрос-ответ:
Что значит согласие на обработку персональных данных?
Согласие на обработку персональных данных — это разрешение человека на сбор, хранение и использование его личной информации. Без такого разрешения компания или организация не имеют права работать с данными. Согласие помогает защитить права человека и контролировать, как его данные применяются.
Какие требования предъявляются к форме и содержанию согласия?
Согласие должно быть оформлено ясно и понятно, в письменном виде или в электронной форме. В нём необходимо указать, какие именно данные будут собираться, с какой целью, кто будет их использовать и как долго. Также нужно объяснить, что согласие можно отозвать. Формулировки должны быть конкретными, без расплывчатых фраз.
Что происходит, если согласие на обработку персональных данных не получено?
Если согласия нет, организация не имеет права использовать данные. Это может привести к юридическим последствиям для компании, включая штрафы и необходимость прекратить обработку. Для человека отсутствие согласия означает защиту от несанкционированного использования его информации.
Можно ли отозвать согласие после его предоставления и как это сделать?
Да, согласие можно отозвать в любой момент. Для этого достаточно обратиться к организации, которая обрабатывает данные, и сообщить о своём решении. Отзыв согласия означает, что дальнейшая обработка данных станет невозможной, за исключением случаев, предусмотренных законом.
Загрузка...
