При заключении договоров, в которых указываются личные сведения граждан, организации и ИП должны получать специальное согласие на обработку персональных данных. Неполучение такого согласия может грозить компании внушительными штрафами. Рассказываем, что из себя представляет согласие на обработку персональных данных, в каких случаях его нужно получать и как его правильно оформить.
Согласие на обработку персональных данных
Получать и использовать в своей деятельности личные сведения граждан организации и ИП могут только при наличии согласия на обработку персональных данных (ч.4 ст.9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).
Согласие на обработку персональных данных необходимо запрашивать у любого физлица, персональные данные которого компания планирует получать, хранить и иным образом использовать.
Под согласием на обработку персональных данных закон понимает документ, однозначно и безусловно подтверждающий, что физлицо не имеет возражений на использование его личной информации в тех или иных целях.
Согласие требуется как при обработке собственно персональных данных физлица (ФИО, дата и место рождения, адрес проживания, семейное положение, образование, профессия, социальное положение, доходы), так и любой другой личной информации (национальная принадлежность, политические взгляды, состояние здоровья, сведения о судимости и т.д.).
Кто должен получать согласие на обработку персональных данных
Получать согласие на обработку персональных данных обязаны любые организации и ИП, планирующие осуществлять сбор, запись, систематизацию, накопление, хранение, обновление, изменение, использование и передачу личных сведений о том или ином физлице.
Например, получать согласие должны банки, выдающие физлицу кредиты и займы, операторы мобильной связи и интернета, предоставляющие физлицу соответствующие услуги и любые другие компании, заключающие с физлицом любой договор, в котором будет фигурировать личная информация гражданина.
Кроме того, получать согласие обязаны государственные и муниципальные органы, предоставляющие гражданам разного рода услуги, а также работодатели, заключающие с соискателями трудовые и гражданско-правовые договоры.
Обязанность доказать факт получения согласия физлица на обработку его персональных данных всегда возлагается на ту компанию, которая обрабатывает эти данные. При возникновении спора физлицо, чьи персональные данные обрабатываются, не должно доказывать, что оно не предоставляло соответствующего согласия.
При этом в законодательстве установлен перечень ситуаций, при которых обработка персональных данных физлица может осуществляться без получения его согласия.
Когда не нужно получать согласие на обработку персональных данных
Согласие физлица не требуется в случаях, когда обработка его персональных данных (ч.2 ст.9 Федерального закона от 27.07.2006 №152-ФЗ):
- необходима для достижения целей, предусмотренных международным договором РФ или законом РФ;
- осуществляется в связи с участием физлица в судопроизводстве;
- осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
- необходима для исполнения судебного акта или акта должностного лица, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
- необходима для исполнения полномочий государственных органов или органов местного самоуправления;
- необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- необходима для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;
- необходима для осуществления прав и законных интересов третьих лиц, либо для достижения общественно значимых целей;
- необходима для осуществления профессиональной деятельности журналиста, СМИ, либо научной, литературной или иной творческой деятельности;
- осуществляется в целях обязательного раскрытия персональных данных в соответствии с федеральным законом.
Во всех других случаях обработка персональных данных требует обязательного согласия физлиц, данные которых планируется собирать и использовать в той или иной деятельности.
Как оформить согласие на обработку персональных данных
Согласие на обработку персональных данных можно сформировать в любой форме, которая позволяет подтвердить факт его получения, в том числе и в виде электронного документа. Согласие в форме электронного документа признается равнозначным содержащему собственноручную подпись физлица согласию в письменной форме на бумажном носителе.
Никакой обязательной и унифицированной формы для такого согласия законодательством не предусмотрено. Поэтому компания, планирующая обрабатывать персональные данные физлиц, может разработать свою форму согласия, в том числе и в электронном виде. При этом такая форма должна в обязательном порядке содержать (ч.4 ст.9 Федерального закона от 27.07.2006 №152-ФЗ):
- ФИО субъекта персональных данных, адрес проживания, паспортные данные, в том числе сведения о дате выдачи паспорта и выдавшем его органе;
- наименование организации или ФИО предпринимателя, которые планируют обрабатывать персональные данные с указанием их адресов;
- категории и перечень персональных данных, на обработку которых дается согласие;
- перечень действий с персональными данными, на совершение которых дается согласие с общим описанием используемых способов их обработки;
- цель обработки персональных данных;
- срок действия согласия, а также способ его отзыва;
- подпись субъекта персональных данных.
Согласие на распространение персональных данных оформляется отдельно от общего согласия на обработку персональных данных. Действующие требования к содержанию согласия на распространение персональных данных установлены приказом Роскомнадзора от 24.02.2021 №18. В таком согласии обязательно должны быть сведения о сайтах, посредством которых будет осуществляться распространение данных, а также перечень условий и запретов на распространение данных.
Получив от физлица согласие на обработку персональных данных, компания может обрабатывать его личные сведения лишь в том объеме и на тех условиях, которые оговорены в тексте согласия. При этом следует помнить, что физлицо в любой момент может отозвать согласие на обработку своих персданных. В этих случаях компания должна прекратить обработку данных и уничтожить имеющиеся в ее распоряжении персональные сведения физлица.
Персональные данные компания должна уничтожить в срок, не превышающий 30 дней с даты получения соответствующего отзыва (ч.5 ст.21 Федерального закона от 27.07.2006 №152-ФЗ).
Что будет за неполучение согласия на обработку персональных данных
Обработку персональных данных без согласия физлица квалифицируют в качестве административного правонарушения по ч.2 ст.13.11 КоАП РФ. Данное нарушение грозит наложением административного штрафа в следующих размерах:
- от 10 000 до 15 000 рублей – на граждан;
- от 100 000 до 300 000 рублей – на должностных лиц организаций и ИП;
- от 300 000 до 700 000 рублей – на организации.
Повторное нарушение повлечет наложение административного штрафа в повышенных размерах (ч.2.1 ст.13.11 КоАП РФ):
- от 15 000 до 30 000 рублей – на граждан;
- от 300 000 до 500 000 рублей – на должностных лиц организаций;
- от 500 000 до 1 млн рублей – на ИП;
- от 1 млн до 1,5 млн рублей – на организации.
В материале использованы фото: ((chaylek)/ Shutterstock / Fotodom.
