Содержание:
Распространенные ошибки в текстах согласий на обработку персональных данных
Анализ текстов согласий позволил обобщить и выделить следующие типичные ошибки:
1) получение согласия на достижение тех целей обработки персональных данных, на которые согласие не требовалось (когда имелись иные правовые основания обработки без согласия);
2) формулирование неопределенных целей обработки, не соответствующих критерию конкретности;
3) открытый, а не исчерпывающий (определенный) перечень целей;
4) получение одного согласия на разные не связанные между собой цели;
5) получение одного согласия на все возможные действия с персональными данными без привязки к конкретной цели;
6) излишний перечень действий, на совершение которых получается согласие (что является в том числе следствием предыдущего нарушения);
7) не определяется перечень обрабатываемых персональных данных применительно к каждой цели обработки;
8) избыточный объем (перечень) персональных данных по отношению к заявленным целям их обработки (как следствие предыдущего нарушения);
9) ошибочное отнесение к биометрическим персональным данным любого изображения человека;
10) неправильное определение (или даже отсутствие) срока, на который получается согласие, и др.
Получение согласия в случае, когда это не требуется
Приведем пример такой ошибки: в согласии, которое получала организация, определены цели обработки персональных данных, которые предусмотрены законодательными актами. Другие цели в согласии не названы.
Но на обработку персональных данных в этих целях согласие получать не нужно. Названные цели — это обязанности организации, предусмотренные законодательными актами.
В приведенном примере это предусмотренное абз. 20 ст. 6 Закона № 99-З основание: «в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами».
Еще пример распространенной ошибки: согласие получается в целях «совершения действий, необходимых для заключения и исполнения договора, заключаемого/заключенного с оператором, либо в связи с этим договором»; в целях «использования персональных данных в процессе деловой переписки в рамках исполнения договорных отношений».
Обработка персональных данных для реализации этих целей осуществляется без согласия субъекта по правовому основанию, предусмотренному абз. 15 ст. 6 Закона № 99-З: «при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором».
Некорректная формулировка целей обработки персональных данных
В Постатейном комментарии к Закону Республики Беларусь «О защите персональных данных» (далее — Комментарий к Закону № 99-З), размещенном на сайте Национального центра защиты персональных данных cpd.by, указано: «Цели должны носить конкретный характер, что позволяет определить перечень персональных данных, достаточный для их достижения. В этой связи указание абстрактных, чрезмерно укрупненных целей, не дающих возможности уяснить механизм обработки персональных данных, будет препятствовать признанию согласия информированным (например, улучшение деятельности организации, реализация законных прав оператора, реализация устава и др.)».
Цели обработки персональных данных должны быть четко определенными (без открытого их перечня), чтобы позволять субъекту понять, в каких пределах и для чего именно его персональные данные будут обрабатываться.
В Комментарии к Закону № 99-З обращается внимание на следующее: «Не допускается получать общее согласие на достижение всех целей. Если оператор заинтересован в получении согласия на несколько самостоятельных целей обработки, то он может сделать это в одном документе, но обязан получать отдельное согласие на каждую цель (например, на передачу персональных данных конкретной организации, на получение рекламной рассылки). При этом субъекту должна быть предоставлена возможность согласиться с одной целью и не соглашаться с другой (другими)».
Примеры нарушения конкретности формулирования целей:
— «осуществление функций, полномочий и обязанностей, возложенных на организацию в соответствии с законодательством, решениями уполномоченного органа, Уставом»;
— «осуществление иных прав и обязанностей организации, предусмотренных Уставом, коллективным договором и иными локальными правовыми актами организации, либо достижение общественно значимых целей»;
— «иные цели, не противоречащие законодательству».
Избыточное указание в тексте согласия перечня действий с персональными данными
Часто встречающимся нарушением является избыточное указание в тексте согласия перечня действий, в совершении которых нет необходимости для достижения конкретной цели. Как правило, это предоставление и распространение персональных данных. Причем встречается действие «распространение» и в текстах согласия на обработку специальных персональных данных о привлечении к ответственности, что недопустимо.
Причина нарушения — получение одного согласия на все возможные действия с персональными данными и механическое копирование определения понятия «обработка персональных данных» из ст. 1 Закона № 99-З без определения исчерпывающего перечня действий для достижения конкретной цели обработки.
Нередко встречается неконкретное определение лиц, которым будут в соответствии с согласием предоставляться персональные данные. Например, «третьим лицам», «партнерам банка», «лицам, с которыми оператор состоит в договорных отношениях». Это не позволяет субъекту понять, кому еще попадут его персональные данные на основании подписанного им согласия и как они будут использоваться.
Справочно.
Недопустимо получать согласие на обработку всех специальных персональных данных, когда путем копирования из ст. 1 Закона № 99-З в текст согласия переносится определение этого понятия, включая персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья, половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
Что касается объема обрабатываемых персональных данных, то в Комментарии к Закону № 99-З сказано: «Указываются конкретные персональные данные, которые необходимы и достаточны для реализации цели обработки персональных данных. Недопустимо указание персональных данных "с запасом". Оператору следует по возможности минимизировать объем персональных данных, руководствуясь принципом недопущения избыточности обработки».
Излишним является получение согласия на обработку, например, паспортных данных, идентификационного номера субъекта, когда в этом нет необходимости. Нельзя указывать в согласии открытый перечень персональных данных. Все это вызывает обоснованные вопросы субъектов и приводит к конфликтам.
Типичные нарушения при определении срока, на который дается согласие
Обычная ошибка: «Настоящее согласие действует до момента отзыва согласия, если иное не предусмотрено законодательством». Встречается и такое: «Я ознакомлен с тем, что согласие действует с даты подписания до достижения целей обработки персональных данных» (при этом в тексте не указано, на какой срок дается согласие). Такие формулировки не соответствуют требованию прозрачности обработки персональных данных. Срок, на который дается согласие, должен быть конкретным, определять временные пределы обработки персональных данных.
Срок согласия может быть определен:
- датой (например, «до 31 декабря 2024 г.»);
- периодом («на срок три года»);
- критерием, используемым для определения такого срока («до прекращения трудовых отношений, обучения»).
Обеспечение информированного согласия на обработку персональных данных
Типичным является нарушение требования об информированном согласии. Нередко субъекту просто предлагается подписать согласие, и какая-либо информация перед этим ему вообще не предоставляется, а если и предоставляется, то субъект информируется только о своих правах.
В п. 6 ст. 4 Закона № 99-З указано: «Обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом № 99-З, предоставляется соответствующая информация, касающаяся обработки его персональных данных».
В п. 5 ст. 5 Закона № 99-З определен перечень информации, которая должна быть предоставлена оператором субъекту до получения его согласия на обработку персональных данных:
- наименование и место нахождения оператора, получающего согласие;
- цели обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие;
- срок, на который дается согласие;
- сведения об уполномоченных лицах, если обработка персональных данных будет осуществляться такими лицами;
- перечень действий с персональными данными, на совершение которых дается согласие субъекта;
- общее описание используемых оператором способов обработки персональных данных;
- иная информация, необходимая для обеспечения прозрачности процесса обработки персональных данных.
До получения согласия оператор обязан простым и ясным языком разъяснить субъекту:
- его права, связанные с обработкой персональных данных;
- механизм реализации таких прав;
- последствия дачи согласия;
- последствия отказа в даче такого согласия.
Рекомендации
Анализ типичных ошибок при получении согласия на обработку персональных данных показывает, что их причиной является недостаточное изучение ответственными лицами положений Закона № 99-З.
Для того, чтобы избежать ошибок, рекомендуется:
1) внимательно изучить положения Закона № 99-З, касающиеся получения согласия на обработку персональных данных;
2) разработать на основании положений Закона № 99-З алгоритм действий (ЛПА) по получению согласия на обработку персональных данных работников и строго его придерживаться;
3) следить за изменениями законодательства в сфере персональных данных и своевременно приводить ЛПА в соответствие с принятыми изменениями.
