Каждый человек сообщает свои Ф.И.О., реквизиты паспорта, адрес, информацию о здоровье и т.п. множеству организаций. В большинстве случаев на обработку данных нужно согласие физлица. Разберемся, что это такое, в какой форме его можно дать, как происходит получение согласия.
1. Что такое согласие на обработку персональных данных и когда оно нужно
Согласие на обработку персональных данных — это ваше разрешение совершать с персональными данными любые действия. Например, собирать данные, хранить их, изменять, использовать, распространять, удалять (абз. 6 ст. 1, п. 1 ст. 5 Закона о защите персональных данных).
Примечание
Персональные данные — это любая информация, касающаяся физлица. В первую очередь, это данные паспорта: Ф.И.О., пол, дата и место рождения, идентификационный номер, адрес регистрации. К персональным данным также относится информация о родителях/детях, образовании, роде занятий, здоровье, национальности, религиозных убеждениях и др.( п. 1 ст. 8, п. 1 ст. 10 Закона N 418-З, абз. 12 ст. 1 Закона о защите персональных данных).
Ваше согласие должно быть (п. 1 ст. 5 Закона о защите персональных данных):
Ваши данные могут обрабатывать, в частности, при:
— приеме на работу и в процессе трудовой деятельности;
— обращении в медучреждения;
— заключении договора в банке, страховой компании;
— заказе товаров в интернет-магазине;
— регистрации на сайтах различных организаций.
Обратите внимание!
Объем данных, которые вас просят предоставить, должен соответствовать целям их обработки (п. 2, ч. 1 п. 4 ст. 4 Закона о защите персональных данных). Иными словами, от вас не могут потребовать больше данных, чем нужно в конкретном случае. Например, информация о состоянии вашего здоровья нужна медцентру для оказания медуслуг, но не нужна интернет-магазину для доставки вам товаров.
По общему правилу ваши персональные данные можно получать и обрабатывать с вашего согласия (ч. 1 п. 3 ст. 4 Закона о защите персональных данных). Исключение составляют случаи, прямо установленные законодательством.
Примечание
Подробнее о случаях, когда согласие на обработку персональных данных не нужно, см. в разделе 5.
2. В какой форме можно дать согласие
Согласие может быть дано в одной из следующих форм (п. 2 ст. 5 Закона о защите персональных данных):
1) в письменной форме, т.е. вы подпишете «бумажный» документ, в котором выражено ваше согласие на обработку персональных данных;
2) в форме электронного документа. Такой документ создают с помощью специальных программ. Подписать его можно только электронной цифровой подписью, если она у вас есть (ст. 16, 17 Закона об электронном документе и ЭЦП);
3) в другой электронной форме. Такое согласие вы можете дать (п. 3 ст. 5 Закона о защите персональных данных):
— путем введения кода, полученного в СМС-сообщении или в письме на электронную почту.
Пример
При регистрации на сайте интернет-магазина нужно заполнить анкету, указав в ней персональные данные: Ф.И.О., пол, дату рождения. Чтобы зарегистрироваться, пользователям сайта предлагается получить код по СМС и ввести его в специальное окошко. При этом на сайте указано, что введение кода является согласием на обработку персональных данных физлица. Ввод кода физлицом будет выражением его согласия на обработку данных;
— путем проставления соответствующей отметки на интернет-сайте.
Пример
На сайте интернет-магазина размещено согласие покупателя сообщить свой адрес для доставки товаров. Если вы проставите галочку в графе «Согласен», это будет считаться согласием, которое получено в электронной форме;
— другими способами. Главное, чтобы такой способ позволял установить факт получения согласия.
Типовой формы или бланка согласия законодательство не содержит. Полагаем, организации, которые хотят получить ваши данные, будут самостоятельно разрабатывать формы согласия. Следовательно, вам составлять согласие не придется, достаточно будет подписать или проставить отметку в предложенной организацией форме.
3. Какие права есть у физлица в связи с обработкой персональных данных
В отношении своих данных вы вправе:
1) в любое время отозвать свое согласие на обработку данных. При этом вы не должны объяснять причины отзыва согласия (п. 1 ст. 10 Закона о защите персональных данных);
2) получить информацию об обработке ваших данных. В частности, вы можете узнать, какие из ваших персональных данных обрабатывает организация, откуда они получены и с какой целью обрабатываются (ч. 1 п. 1 ст. 11 Закона о защите персональных данных);
3) требовать внести изменения в ваши данные, если они неточные, неполные или устарели (ч. 1 п. 4 ст. 11 Закона о защите персональных данных).
Примечание
Для внесения изменений в данные нужно предоставить документ, который подтверждает, что данные не верны. Вместо оригинала такого документа можно предоставить его заверенную копию (ч. 1 п. 4 ст. 11 Закона о защите персональных данных);
4) получить информацию о предоставлении ваших данных третьим лицам (ч. 1 п. 1 ст. 12 Закона о защите персональных данных).
Обратите внимание!
Вы вправе получить информацию о передаче ваших данных третьим лицам бесплатно один раз в календарном году (ч. 1 п. 1 ст. 12 Закона о защите персональных данных);
5) требовать прекратить обработку ваших данных и/или удалить их. Такое требование вы можете заявить, если для обработки ваших данных нет законных оснований (ч. 1 п. 1 ст. 13 Закона о защите персональных данных). В этом требовании вам могут отказать, если обработка данных производится на законном основании (п. 3 ст. 13 Закона о защите персональных данных).
Пример
Цветков М.М. сообщил свой адрес и Ф.И.О. интернет-магазину для доставки товара. После доставки Цветков М.М. вправе потребовать, чтобы магазин удалил его данные, ведь цель, для которой они были предоставлены, уже выполнена. В этом случае интернет-магазин обязан удалить персональные данные Цветкова М.М.
Чтобы воспользоваться указанными правами, вам нужно подать заявление в организацию, которая работает с вашими данными. Заявление можно подать в письменной форме или в форме электронного документа (п. 1 ст. 14 Закона о защите персональных данных).
В заявлении вам нужно (п. 2 ст. 14 Закона о защите персональных данных):
— указать ваши Ф.И.О., адрес, дату рождения и идентификационный номер.
Примечание
Если идентификационного номера нет, нужно указать номер документа, удостоверяющего личность, который вы указывали при даче согласия (абз. 4 п. 2 ст. 14 Закона о защите персональных данных);
— изложить суть ваших требований, например, указать, что вы отзываете свое согласие или требуете удалить ваши данные;
— проставить личную подпись или электронную цифровую подпись, если она у вас есть и вы подаете заявление в форме электронного документа (п. 2 ст. 14 Закона о защите персональных данных).
После получения заявления организация должна выполнить ваше требование и сообщить вам об этом или сообщить о причинах невыполнения требования. Срок ответа на заявление зависит от сути ваших требований (ч. 1 п. 2 ст. 10, п. 2, ч. 2 п. 4 ст. 11, п. 2 ст. 12, ч. 1 п. 2 ст. 13 Закона о защите персональных данных):
Суть требования |
Срок ответа |
Отзыв согласия |
15 дней после получения заявления |
Получение информации об обработке данных |
5 дней после получения заявления |
Внесение изменений в персональные данные |
15 дней после получения заявления |
Получение информации о предоставлении данных третьим лицам |
15 дней после получения заявления |
Прекращение обработки данных/их удаление |
15 дней после получения заявления |
Примечание
Организация обязана ответить на ваше заявление в той же форме, в которой оно было подано, если в самом заявлении вы не указали другой способ ответа (п. 3 ст. 14 Закона о защите персональных данных).
Решение организации вы вправе обжаловать. Для этого нужно подать жалобу в Национальный центр защиты персональных данных (далее — НЦЗПД). В свою очередь решение НЦЗПД можно обжаловать в суд (ст. 15 Закона о защите персональных данных, п. 1, ч. 1 п. 27 Положения от 28.10.2021 N 422).
4. Каков порядок получения согласия
До получения ваших данных организация, которая хочет их получить, обязана:
1. Предоставить вам необходимую информацию.
Организация должна сообщить вам (ч. 1 п. 5 ст. 5 Закона о защите персональных данных):
— свое название и местонахождение;
— с какой целью будут обрабатываться ваши данные. Например, магазин может собирать данные покупателей для изучения спроса, а медучреждение — для формирования статистики;
— перечень персональных данных, на обработку которых вы даете согласие.
Обратите внимание!
У вас не вправе потребовать больше данных, чем нужно для указанной цели (ч. 1 п. 4 ст. 4 Закона о защите персональных данных). Например, чтобы изучать спрос на товары, магазину не нужна информация о состоянии здоровья покупателей. В то же время медцентр может попросить вас предоставить данные о перенесенных заболеваниях и т.п., чтобы точно поставить диагноз;
— срок, на который вы даете согласие. Законодательством такой срок не определен. На практике он будет зависеть от цели, для которой обрабатываются данные.
Пример
Ромашкин А.А. заключил кредитный договор с банком сроком на 5 лет. Для исполнения этого договора банку нужны персональные данные Ромашкина А.А. Срок согласия, которое Ромашкин А.А. дал банку, равен сроку договора.
Интернет-магазин попросил у Ромашкина А.А. согласие на обработку его данных с целью организации доставки товара. Срок согласия — 3 месяца, т.к. магазин осуществляет доставку в трехмесячный срок;
— действия, которые организация будет совершать с вашими данными. Например, данные можно собирать, хранить, систематизировать, изменять, распространять, предоставлять, блокировать и т.п.
Пример
Магазин получает данные покупателей для организации рекламной СМС-рассылки. Он проинформирует покупателей, что их данные будут собираться и систематизироваться и уничтожаться. Это значит, что других действий магазин с данными совершать не будет, например, не передаст их другим организациям;
— общее описание способов обработки персональных данных в этой организации. Например, данные могут обрабатываться вручную или автоматизированно;
— информацию о лицах, которым организация поручила обработку ваших данных по договору, если такой договор заключен;
— другую информацию, если это необходимо.
Обратите внимание!
Указанную информацию вам должны предоставить в той же форме, в которой вы будете давать согласие на обработку персональных данных (абз. 1 ч. 1, ч. 2 п. 5 ст. 5 Закона о защите персональных данных). Например, если согласие будет дано путем проставления отметки на сайте, то информация или ссылка на нее должна быть размещена на этом же сайте.
2. Разъяснить вам ваши права.
Вам должны пояснить, какие у вас есть права и что нужно делать, чтобы их реализовать. Также вам обязаны разъяснить последствия дачи согласия на обработку данных или отказа в даче согласия (ч. 2 п. 5 ст. 5 Закона о защите персональных данных).
Примечание
Такое разъяснение должно быть изложено простым и понятным языком (ч. 2 п. 5 ст. 5 Закона о защите персональных данных).
Форма разъяснения должна соответствовать форме, в которой будет дано согласие (ч. 2 п. 5 ст. 5 Закона о защите персональных данных). Иными словами, если ваше согласие будет дано в виде документа на бумажном носителе, разъяснение должно быть изложено на бумаге. Если согласие будет оформлено в электронном виде, например, на сайте интернет-магазина, то и разъяснение должно быть размещено на этом сайте.
5. В каких случаях персональные данные можно обрабатывать без согласия физлица
Такие случаи прямо установлены законодательством. Ваше согласие не нужно, если ваши персональные данные используют при (ст. 6 Закона о защите персональных данных):
— оформлении трудовых отношений и в процессе работы у нанимателя;
— ведении персонифицированного учета застрахованных лиц;
— назначении и выплаты пенсий и пособий;
— начислении платы за жилищно-коммунальные услуги, в т.ч. при предоставлении льгот на оплату таких услуг;
— обращении к нотариусу за совершением нотариальных действий;
— рассмотрении уголовных и административных дел;
— исполнении судебных постановлений и других исполнительных документов;
— проведении выборов и референдумов;
— в научных целях и при сборе и обработке статистических данных;
— защите жизни, здоровья, жизненно важных интересов ваших или других лиц, если получение согласия невозможно;
— в других случаях, прямо предусмотренных законодательством. Например, при работе журналистов и СМИ, если такая работа направлена на защиту общественных интересов.
В любом случае объем данных, которые обрабатывают без вашего согласия, должен соответствовать целям их обработки (п. 2, ч. 1 п. 4 ст. 4 Закона о защите персональных данных). Иными словами, без вашего согласия можно обрабатывать только те данные, которые необходимы в конкретном случае.
Пример
При трудоустройстве на должность инженера наниматель затребовал у Ромашкина А.А. информацию о его образовании. Наличие образования обязательно для работы инженером, поэтому на получение этих данных согласие Ромашкина А.А. не нужно.
Одновременно у Ромашкина А.А. затребовали данные о его детях для вручения новогодних подарков. Для работы инженером такие данные не являются необходимыми, следовательно, для их получения нужно согласие Ромашкина А.А.