Вы на портале
Персональные данные

Порядок получения согласия на обработку персональных данных

При получении согласия на обработку персональных данных операторы часто допускают ошибки, которые приводят к негативным последствиям: жалобам, конфликтам, замечаниям проверяющих органов.

Проанализируем порядок получения согласия на обработку персональных данных.

Лосев Владимир
Лосев Владимир

Юрист-лицензиат, к.ю.н., доцент, профессор кафедры государственно-правовых дисциплин факультета права Белорусского государственного экономического университета, лектор Национального центра защиты персональных данных Республики Беларусь

4522 Shape 1 copy 6Created with Avocode.

Содержание:


Общие требования к согласию на обработку персональных данных

В ст. 4 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон № 99) сформулированы общие требования к обработке персональных данных (принципы обработки), в том числе определено, что «обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, преду­смотренных этим Законом и иными законодательными актами. В случае обработки персональных данных без согласия субъекта персональных данных цели обработки персональных данных устанавливаются Законом № 99 и иными законодательными актами».

Буквальное восприятие этой нормы создает впечатление, что основным правовым основанием обработки персональных данных является согласие на то субъекта. И что полученное «с запасом» согласие позволяет совершать с персональными данными любые действия и в любых целях, записанных в согласии, текст которого разрабатывает организация.

Однако это не так. Читать приведенную норму нужно с конца. Действительно, согласие является одним из ключевых правовых оснований обработки, отражающим принадлежность персональных данных гражданину и возможность распоряжаться ими по своему усмотрению.

Вместе с тем в Постатейном комментарии к Закону Республики Беларусь «О защите персональных данных» (далее — Комментарий к Закону № 99), размещенном на сайте Национального центра защиты персональных данных (cpd.by), отмечено: «Хотя согласие и является базовым правовым основанием для обработки, его наличие не является универсальным или обязательным условием для обработки персональных данных. Обработка персональных данных осуществляется без согласия субъекта персональных данных в случаях, предусмотренных ст. 6 и 8 Закона № 99. В этой связи получение согласия при наличии иных оснований рассматривается как избыточная обработка персональных данных».

Кроме того, согласие — это достаточно «хрупкое» основание обработки персональных данных. Ведь субъект может отказаться дать согласие или, дав согласие, вскоре его отозвать. В случае избыточного согласия, когда, например, правовым основанием обработки было в действительности выполнение организацией обязанностей (полномочий), предусмотренных законодательными актами, отзыв такого согласия создаст организации проблемы — невозможность выполнить свои обязанности (полномочия).

Также в п. 4 ст. 4 Закона № 99 определено: «Обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки». В п. 5 ст. 4 Закона № 99 указано: «Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки».

Понятие согласия на обработку персональных данных и способы его получения

Согласие субъекта персональных данных, как определено в п. 1 ст. 5 Закона № 99, представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.

Каждый из этих признаков согласия — его свобода, однозначность, информированность — являются одновременно обязательными. При отсутствии (несоблюдении) хотя бы одного из них согласие нельзя считать полученным законно. Соответственно, и последующие действия с персональными данными, основанием которых было получение согласия, также будут признаваться незаконными.

В п. 2 ст. 5 Закона № 99 предусмотрены формы (способы получения) согласия: в письменной форме, в виде электронного документа или в иной электронной форме. Другие варианты получения согласия Закон № 99 не предусматривает. 

С учетом ограниченного объема статьи далее речь будет идти только о получении согласия в письменной форме.

Пример ошибки при определении способа получения согласия в Политике в отношении обработки персональных данных (далее — Политика):

«Передавая организации персональные данные, субъект персональных данных подтверждает свое согласие на обработку соответствующей информации на условиях, изложенных в настоящей Политике».

Справочно.
Согласие (при отсутствии иных правовых оснований обработки персональных данных) должно быть получено отдельно, а не путем передачи (предоставления) субъектом своих персональных данных.

Приведенное положение не соответствует ст. 4 и 5 Закона № 99.

Цели обработки должны соответствовать критерию конкретности

В Рекомендациях по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных (размещены на сайте Национального центра защиты персональных данных Республики Беларусь) сказано: «Не допускается указание абстрактных или общих целей, которые не определяют пределов обработки и не позволяют субъекту персональных данных понять, для чего будут обрабатываться его персональные данные.

В частности, не соответствуют критерию конкретности следующие формулировки:

— «для совершенствования деятельности организации»;

— «для разработки новых услуг»;

— «в исследовательских целях» (за исключением случаев, когда речь идет об обработке обезличенных персональных данных);

— «для обеспечения реализации Устава»;

— «для обеспечения соблюдения законодательства» (в отношении обработки персональных данных, связанных с реализацией задач и функций оператора);

— «для формирования справочных материалов для внутреннего информационного обеспечения деятельности»;

— «для достижения общественно значимых целей».

В Комментарии к Закону № 99 указано (и это полностью применимо к текстам согласий): «Требование о прозрачном характере обработки персональных данных достигается путем соотношения в Политике целей обработки, категорий субъектов персональных данных, чьи данные подвергаются обработке, перечня обрабатываемых персональных данных. Иной подход (например, часто выявляемое при осуществлении контроля «механическое» перечисление целей обработки без их соотношения с перечнем персональных данных) не позволит субъекту персональных данных уяснить, какие его персональные данные и для каких целей обрабатываются, что делает Политику документом, который лишен для субъекта персональных данных практической пользы». 

Справочно.
В  Политике неприемлемо указывать слишком общие цели обработки либо их открытый перечень, неконкретные сроки, неисчерпывающий перечень обрабатываемых персональных данных и т.п.

Форма согласия

Форму согласия каждый оператор разрабатывает самостоятельно. 

Как указано в Комментарии к Закону № 99, «унифицированной формы для оформления согласия законодательно не предусмотрено. В качестве ориентира можно использовать образец согласия на обработку персональных данных, размещенный на официальном интернет-сайте Центра».

Порядок получения согласия на обработку персональных данных

Этот порядок можно определить в локальном правовом акте — Положении об обработке персональных данных. В таком случае он будет для работников обязательным, а не рекомендуемым, что позволит избежать ошибок и конфликтных ситуаций при получении согласия, а также отказов в даче согласия.

Кроме того, необходимо:

— сформулировать и дать работникам конкретную инструкцию (пошаговую), как законно получить согласие;

— обучить работников процедуре получения согласия;

— собрать (или смоделировать) возможные вопросы и возражения, которые будут возникать у субъектов при предложении дать согласие;

— сформулировать ответы на типичные вопросы субъектов;

— научить работников грамотно отвечать субъектам, дополнительно разъяснять им права и т.д.

Выводы
Чтобы избежать нарушений Закона № 99, при формулировании текстов согласия на обработку персональных данных и получении согласия организации необходимо:
1) проанализировать бизнес- и иные процессы, при осуществлении которых в организации происходит обработка персональных данных;
2) определить категории субъектов, чьи персональные данные обрабатываются в организации;
3) определить цели обработки и конкретно их сформулировать в Реестре обработки персональных данных;
4) сформулировать в Реестре применительно к каждой цели обработки:
— перечень действий, которые совершаются для достижения этой конкретной цели;
— объем персональных данных (их перечень) для достижения этой цели;
— правовое основание обработки персональных данных в соответствии именно с этой целью (предусмотренное соответствующим абзацем ст. 6 или ст. 8 Закона № 99). При его отсутствии следует указать, что для достижения этой цели необходимо получение согласия. Ответственное составление Реестра позволит избежать случаев избыточного получения согласия;
5) после определения в Реестре целей обработки персональных данных и необходимых требований к ним отразить их в Политике организации в отношении обработки персональных данных;
6) определить, какую именно информацию из отраженной в Реестре и Политике необходимо предоставить субъекту перед предложением дать согласие на обработку персональных данных (для выполнения требований п. 1 ст. 5 (информированное согласие) и п. 5 ст. 5 (перечень такой информации) Закона № 99);
7) составить тексты согласий для различных категорий субъектов;
8) организовать процедуру получения согласия на обработку персональных данных и обучить этому работников.

4522 Shape 1 copy 6Created with Avocode.
Последнее
по теме