При получении согласия на обработку персональных данных операторы часто допускают ошибки, которые приводят к негативным последствиям: жалобам, конфликтам, замечаниям проверяющих органов.
Проанализируем порядок получения согласия на обработку персональных данных.
Содержание:
В ст. 4 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон № 99) сформулированы общие требования к обработке персональных данных (принципы обработки), в том числе определено, что «обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных этим Законом и иными законодательными актами. В случае обработки персональных данных без согласия субъекта персональных данных цели обработки персональных данных устанавливаются Законом № 99 и иными законодательными актами».
Буквальное восприятие этой нормы создает впечатление, что основным правовым основанием обработки персональных данных является согласие на то субъекта. И что полученное «с запасом» согласие позволяет совершать с персональными данными любые действия и в любых целях, записанных в согласии, текст которого разрабатывает организация.
Однако это не так. Читать приведенную норму нужно с конца. Действительно, согласие является одним из ключевых правовых оснований обработки, отражающим принадлежность персональных данных гражданину и возможность распоряжаться ими по своему усмотрению.
Вместе с тем в Постатейном комментарии к Закону Республики Беларусь «О защите персональных данных» (далее — Комментарий к Закону № 99), размещенном на сайте Национального центра защиты персональных данных (cpd.by), отмечено: «Хотя согласие и является базовым правовым основанием для обработки, его наличие не является универсальным или обязательным условием для обработки персональных данных. Обработка персональных данных осуществляется без согласия субъекта персональных данных в случаях, предусмотренных ст. 6 и 8 Закона № 99. В этой связи получение согласия при наличии иных оснований рассматривается как избыточная обработка персональных данных».
Кроме того, согласие — это достаточно «хрупкое» основание обработки персональных данных. Ведь субъект может отказаться дать согласие или, дав согласие, вскоре его отозвать. В случае избыточного согласия, когда, например, правовым основанием обработки было в действительности выполнение организацией обязанностей (полномочий), предусмотренных законодательными актами, отзыв такого согласия создаст организации проблемы — невозможность выполнить свои обязанности (полномочия).
Также в п. 4 ст. 4 Закона № 99 определено: «Обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки». В п. 5 ст. 4 Закона № 99 указано: «Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки».
Согласие субъекта персональных данных, как определено в п. 1 ст. 5 Закона № 99, представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
Каждый из этих признаков согласия — его свобода, однозначность, информированность — являются одновременно обязательными. При отсутствии (несоблюдении) хотя бы одного из них согласие нельзя считать полученным законно. Соответственно, и последующие действия с персональными данными, основанием которых было получение согласия, также будут признаваться незаконными.
В п. 2 ст. 5 Закона № 99 предусмотрены формы (способы получения) согласия: в письменной форме, в виде электронного документа или в иной электронной форме. Другие варианты получения согласия Закон № 99 не предусматривает.
С учетом ограниченного объема статьи далее речь будет идти только о получении согласия в письменной форме.
Пример ошибки при определении способа получения согласия в Политике в отношении обработки персональных данных (далее — Политика):
«Передавая организации персональные данные, субъект персональных данных подтверждает свое согласие на обработку соответствующей информации на условиях, изложенных в настоящей Политике».
Справочно.
Согласие (при отсутствии иных правовых оснований обработки персональных данных) должно быть получено отдельно, а не путем передачи (предоставления) субъектом своих персональных данных.
Приведенное положение не соответствует ст. 4 и 5 Закона № 99.
В Рекомендациях по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных (размещены на сайте Национального центра защиты персональных данных Республики Беларусь) сказано: «Не допускается указание абстрактных или общих целей, которые не определяют пределов обработки и не позволяют субъекту персональных данных понять, для чего будут обрабатываться его персональные данные.
В частности, не соответствуют критерию конкретности следующие формулировки:
— «для совершенствования деятельности организации»;
— «для разработки новых услуг»;
— «в исследовательских целях» (за исключением случаев, когда речь идет об обработке обезличенных персональных данных);
— «для обеспечения реализации Устава»;
— «для обеспечения соблюдения законодательства» (в отношении обработки персональных данных, связанных с реализацией задач и функций оператора);
— «для формирования справочных материалов для внутреннего информационного обеспечения деятельности»;
— «для достижения общественно значимых целей».
В Комментарии к Закону № 99 указано (и это полностью применимо к текстам согласий): «Требование о прозрачном характере обработки персональных данных достигается путем соотношения в Политике целей обработки, категорий субъектов персональных данных, чьи данные подвергаются обработке, перечня обрабатываемых персональных данных. Иной подход (например, часто выявляемое при осуществлении контроля «механическое» перечисление целей обработки без их соотношения с перечнем персональных данных) не позволит субъекту персональных данных уяснить, какие его персональные данные и для каких целей обрабатываются, что делает Политику документом, который лишен для субъекта персональных данных практической пользы».
Справочно.
В Политике неприемлемо указывать слишком общие цели обработки либо их открытый перечень, неконкретные сроки, неисчерпывающий перечень обрабатываемых персональных данных и т.п.
Форму согласия каждый оператор разрабатывает самостоятельно.
Как указано в Комментарии к Закону № 99, «унифицированной формы для оформления согласия законодательно не предусмотрено. В качестве ориентира можно использовать образец согласия на обработку персональных данных, размещенный на официальном интернет-сайте Центра».
Этот порядок можно определить в локальном правовом акте — Положении об обработке персональных данных. В таком случае он будет для работников обязательным, а не рекомендуемым, что позволит избежать ошибок и конфликтных ситуаций при получении согласия, а также отказов в даче согласия.
Кроме того, необходимо:
— сформулировать и дать работникам конкретную инструкцию (пошаговую), как законно получить согласие;
— обучить работников процедуре получения согласия;
— собрать (или смоделировать) возможные вопросы и возражения, которые будут возникать у субъектов при предложении дать согласие;
— сформулировать ответы на типичные вопросы субъектов;
— научить работников грамотно отвечать субъектам, дополнительно разъяснять им права и т.д.
Выводы
Чтобы избежать нарушений Закона № 99, при формулировании текстов согласия на обработку персональных данных и получении согласия организации необходимо:
1) проанализировать бизнес- и иные процессы, при осуществлении которых в организации происходит обработка персональных данных;
2) определить категории субъектов, чьи персональные данные обрабатываются в организации;
3) определить цели обработки и конкретно их сформулировать в Реестре обработки персональных данных;
4) сформулировать в Реестре применительно к каждой цели обработки:
— перечень действий, которые совершаются для достижения этой конкретной цели;
— объем персональных данных (их перечень) для достижения этой цели;
— правовое основание обработки персональных данных в соответствии именно с этой целью (предусмотренное соответствующим абзацем ст. 6 или ст. 8 Закона № 99). При его отсутствии следует указать, что для достижения этой цели необходимо получение согласия. Ответственное составление Реестра позволит избежать случаев избыточного получения согласия;
5) после определения в Реестре целей обработки персональных данных и необходимых требований к ним отразить их в Политике организации в отношении обработки персональных данных;
6) определить, какую именно информацию из отраженной в Реестре и Политике необходимо предоставить субъекту перед предложением дать согласие на обработку персональных данных (для выполнения требований п. 1 ст. 5 (информированное согласие) и п. 5 ст. 5 (перечень такой информации) Закона № 99);
7) составить тексты согласий для различных категорий субъектов;
8) организовать процедуру получения согласия на обработку персональных данных и обучить этому работников.
Заключение трудового договора
Труд отдельных категорий работников
Трудовые книжки
Изменение трудового договора
Рабочее время
Дисциплинарная и материальная ответственность
Оплата труда
Прекращение трудового договора
Трудовые и социальные отпуска
Трудовые отношения
Гарантии и компенсации
Надзор и контроль за соблюдением законодательства о труде
СервисыПерсональные данныеТрудовые спорыПсихология управленияКомментарии и разъяснения госоргановВидеоОхрана трудаВоинский учетОтчетностьКадровое делопроизводство
