Разберемся «по понятиям»
В соответствии с п. 1 ст. 5 Закона согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных (далее — ПД). При этом каждая из указанных характеристик согласия имеет значение:
— свободное — согласие должно быть дано субъектом ПД добровольно. Запрещается принуждение к даче согласия, в том числе неявное;
Справочно.
Особое внимание следует уделить свободе дачи согласия в контексте трудовых отношений, которые по своей природе связаны с властью одной стороны и подчинением другой стороны. Согласие, данное под страхом лишения премии, непродления контракта и т.д., явно нельзя назвать свободным.
Пример
Субъект ПД обращается в страховую организацию для заключения договора страхования. Страховщик просит субъекта данных заполнить форму согласия, в которой указано: «Вы имеете право не согласиться на обработку Ваших персональных данных. В этом случае ООО "Страхование" не сможет организовать для Вас оказание медицинской помощи». Даже если субъект ПД подпишет такую форму, это согласие будет являться недействительным, поскольку с самого начала оно не соответствует критерию свободы — нельзя принуждать субъекта ПД к даче согласия.
— однозначное — любое действие, с которым связана дача согласия, должно совершаться исключительно для того, чтобы дать согласие. Если субъект может предпринять такое действие для какой-либо другой цели, такое действие нельзя связывать с дачей согласия;
Пример
Организация (оператор ПД) подбирает кадры с помощью сайта, на котором публикуются вакансии, а соискатели отправляют свои резюме. В описании вакансии организация указывает: «Отправляя Ваше резюме по электронной почте job@company.by, Вы соглашаетесь на обработку Ваших персональных данных». Такое согласие будет являться недействительным, поскольку не соблюдается критерий однозначности: отправление резюме кандидатом может свидетельствовать о нескольких вещах. Так, кандидат действительно мог и направлять свое резюме, и давать согласие на обработку ПД. Однако отправка резюме также может означать лишь отправку резюме — и ничего больше. В подобной ситуации оператор ПД не сможет сказать наверняка, действительно ли субъект, отправляя резюме, давал также согласие на обработку его ПД. Поэтому у оператора нет оснований считать такое согласие предоставленным.
Рекомендация.
Используйте однозначные способы получения согласия. Например, получив от соискателя резюме по электронной почте, направьте ему ответное сообщение, в котором будет содержаться ссылка на вашу форму согласия и следующий текст: «Пожалуйста, пришлите сообщение с цифрой "1" или текстом "Я согласен", если Вы согласны на обработку Ваших персональных данных». Получив такое сообщение от соискателя, вы будете уверены, что его согласие у вас в кармане: ни о чем другом такое действие свидетельствовать не может.
Критерии свободы и однозначности согласия, применяемые вместе, обозначают необходимость получать отдельное согласие на обработку персональных данных для каждой цели, если в основе этой цели лежит именно согласие (а не одно из исключений, предусмотренных ст. 6 Закона). Получить согласие «оптом», увы, не получится;
Рекомендация.
Если вы используете один бланк для получения согласия на несколько обработок персональных данных (для нескольких целей), вы можете оставить одно поле для подписи внизу страницы, разместив пустые «окошки» напротив каждой цели обработки данных. В этой ситуации субъект ПД отметит те из целей, на которые он дает свое согласие. Такое согласие будет и добровольным, и однозначным.
Пример
Субъект ПД получил форму согласия, в которой указано: «Поставив свою подпись, Вы подтверждаете, что дали согласие на обработку Ваших персональных данных для следующих целей: предложение Вам товаров и услуг посредством e-mail-рассылки; уведомление Вас о прибытии товара на пункт самовывоза; составление Вашего "профиля покупателя" для анализа Ваших предпочтений и предоставления Вам персональных скидок». Такая форма согласия не дает возможность субъекту ПД выбрать, для каких именно целей он дает свое согласие: внизу страницы лишь одно место для подписи. То есть, если субъект не согласен на обработку его ПД для e-mail-рассылки, он вынужден или давать согласие на все три цели, или отказываться давать согласие в принципе. Такое согласие нельзя назвать ни добровольным, ни однозначным.
— информированное — п. 5 ст. 5 Закона определяет, какие сведения оператор обязан предоставить субъекту ПД до получения от него согласия. Согласие, полученное без предоставления субъекту таких сведений, считается недействительным. Следует учесть, что разные цели обработки персональных данных могут предусматривать разные сроки хранения таких данных, разные перечни персональных данных, разный набор уполномоченных лиц. Таким образом, предоставлять такую информацию следует отдельно для каждой цели обработки персональных данных.
Пример
Субъект ПД получил форму согласия, в которой указано: «Поставив свою подпись, Вы подтверждаете, что дали согласие на обработку Ваших персональных данных для следующих целей: предложение Вам товаров и услуг посредством e-mail-рассылки; уведомление Вас о прибытии товара на пункт самовывоза по SMS. Перечень обрабатываемых Ваших персональных данных: имя, e-mail, номер телефона, номер заказа, сведения о прибытии заказа на пункт самовывоза, сведения о приобретенных за последние 12 месяцев товарах». Очевидно, что для e-mail-рассылки компания использует только e-mail, имя (возможно) и историю покупок за последние 12 месяцев, а номер телефона, номер заказа и сведения о прибытии товаров в пункт самовывоза используются для другой цели — рассылки SMS-уведомлений о готовности заказа. В форме согласия эти сведения необходимо указывать отдельно.
Рекомендация.
При составлении формы согласия необходимо указывать данные (п. 5 ст. 5 Закона) отдельно для каждой цели, если эти данные отличаются (например, для цели 1 компания обрабатывает 5 категорий ПД, а для цели 2 — всего 3 категории ПД). Однако сведения, одинаковые для всех целей (например, наименование и место нахождения оператора, срок обработки ПД), можно указать единожды, сделав отметку, что эта информация в равной степени относится к каждой цели обработки ПД.
Обработку согласием (не) испортишь?
Столь жесткие требования к согласию, естественно, делают многие из получаемых сейчас согласий недействительными: где-то «хромает» добровольность, а у кого-то проблемы с информированием субъектов. К сожалению, не все из таких «пороков» согласия можно устранить, что автоматически делает согласие очень «требовательным» основанием для обработки персональных данных. Кроме того, использование согласия для обработки ПД может существенно навредить тому бизнес-процессу, в рамках которого берется согласие, поскольку в соответствии с п. 8 ст. 5 и ч. 1 п. 1 ст. 10 Закона субъект ПД вправе в любое время без объяснения причин отозвать ранее данное согласие. После того, как согласие отозвано, использовать ПД для соответствующей цели уже нельзя. Такой «поворот дел» может привести к патовой ситуации, когда соответствующий бизнес-процесс должен быть остановлен из-за невозможности использовать ПД. Вы уверены, что хотите рисковать своими бизнес-процессами?
Справочно.
Право субъекта данных отозвать согласие в любое время без объяснения причин (и обязанность оператора удовлетворить этот запрос), а также высокие требования к самому согласию (свобода, информированность и однозначность) делают согласие самым рискованным для компании основанием для обработки данных.
Пример
Медицинский центр берет согласие у субъекта ПД на обработку его ПД для проведения диагностического анализа. Вместе с получением согласия медицинский центр заключает договор с этим субъектом на оказание ему соответствующих услуг. Субъект данных подписывает форму согласия, сдает кровь, а вечером на электронную почту медицинского центра поступает заявление субъекта об отзыве согласия на обработку его ПД.
Компания оказалась в патовой ситуации: продолжить обрабатывать ПД клиента она уже не вправе. Но и обязанность центра исполнить свои обязательства по договору оказания медицинских услуг никто не отменял. Все оттого, что ключевой бизнес-процесс по выполнению заказа клиента был «завязан» на обработке ПД на основе согласия. Увы, подобный конфуз может произойти и в других бизнес-процессах.
Пример
В помещениях конструкторского бюро установлена система видеонаблюдения для обеспечения безопасности работников бюро. Все работники бюро подписали соответствующую форму согласия на обработку их ПД в контексте видеонаблюдения. В какой-то момент один из работников отзывает согласие на обработку его ПД системой видеонаблюдения. Что же делать бюро? Уговаривать работника не отзывать согласие? Это сразу поставит под вопрос его добровольность (свободу). Выключать систему видеонаблюдения во все дни, когда этот работник приходит в помещения бюро? Это лишает смысла дальнейшее функционирование такой системы. Согласие, которое казалось таким надежным, подвело в самый неудачный момент.
Если вы не хотите оказаться правовом тупике из-за недействительного либо не вовремя отозванного согласия, выбирайте правовое основание для обработки ПД «с конца», рассматривая сначала те случаи, которые позволяют обрабатывать ПД без согласия субъекта (все они перечислены в ст. 6 Закона), и обращаясь к согласию лишь как к крайней мере, «последнему пристанищу». Так, медицинский центр мог использовать ПД клиента без получения согласия на основе абз. 15 ч. 1 ст. 6 Закона: согласие не требуется при получении ПД оператором (медицинским центром) на основании договора, заключенного с субъектом ПД (клиентом), в целях совершения действий, установленных этим договором (оказания медицинских услуг, в частности, выполнения диагностических анализов). А конструкторское бюро могло включить условия об обязанности бюро обеспечивать безопасность работников и их имущества в трудовой договор с работником — и также основываться на абз. 15 ч. 1 ст. 6 Закона, поскольку этот абзац не ограничивает круг договоров, для исполнения которых оператор обрабатывает ПД. В обоих случаях компании избавили бы себя как от необходимости получать согласие (тратить время и бумагу, подыскивать место для хранения подписанных форм согласий, следить за сроком их действия и продлевать при необходимости и т.д.), так и от последствий их внезапного отзыва.
Рекомендация.
Выбирая правовое основание для обработки ПД (согласие или одно из исключений, предусмотренных в ст. 6 Закона), идите «с конца», рассматривая возможность использовать для обработки ПД одно из оснований, описанных в ст. 6 Закона. Используйте согласие лишь в тех случаях, когда невозможно применить ни одно из оснований из ст. 6 Закона.
«Годен до _________ (указать)», или Иные вопросы согласия
Используя согласие в качестве основания для обработки ПД, помните о том, что всякое согласие дается на определенный срок (абз. 5 ч. 1 п. 5 ст. 5 Закона). Получив согласие, оператор должен следить за его действительностью и продлевать срок его действия (по сути — получать согласие на ту же обработку заново). Таким образом, оператору необходимо вести учет полученных согласий.
Рекомендация.
Хотя оператор может быть заинтересован в хранении данных в течение максимально долгого срока, содержание компанией такого «кладбища данных» нарушает п. 8 ст. 4 Закона: ПД должны храниться в форме, позволяющей идентифицировать субъекта ПД (то есть не в анонимизированной форме), не дольше, чем этого требуют заявленные цели обработки ПД. Если вы обрабатываете данные согласно абз. 15 ч. 1 ст. 6 Закона (для исполнения договора), хранить их для этой цели дольше, чем действует сам договор, — значит нарушать п. 8 ст. 4 Закона.
Можно ли в форме согласия указать, что субъект ПД дает согласие на обработку его ПД бессрочно? Представляется логичным, что нет. Согласно п. 8 ст. 4 Закона ПД должны храниться в форме, позволяющей идентифицировать субъекта ПД (то есть не в анонимизированной форме) не дольше, чем этого требуют заявленные цели обработки ПД. Таким образом, даже заручившись бессрочным согласием субъекта, оператор не сможет продолжать хранить ПД после того, как цель обработки данных достигнута, поскольку это нарушение требования Закона. Однако Закон не запрещает оператору определить срок не в абсолютной величине (годы, месяцы, дни), а в привязке к некоему событию.
Пример
Оператор собирает и обрабатывает ПД субъекта для цели «рассмотрение кандидатуры субъекта на занятие определенной вакансии», для чего испрашивает согласие субъекта ПД (ни одно из исключений, предусмотренных в ст. 6 Закона, здесь не применимо). В форме согласия оператор указывает, что согласие дается на срок рассмотрения кандидатуры соискателя + 1 неделя (для дачи ответа соискателю и возможного пересмотра решения). Хранить данные дольше этого срока компании нет необходимости: либо соискателя принимают на работу и его ПД будут обрабатываться уже для иной цели на ином основании (например, для заключения трудового договора на основании абз. 15 ч. 1 ст. 6 Закона), либо ему отказывают в принятии на работу и с того момента, как оператор принял такое решение и сообщил о нем соискателю, данные оператору становятся не нужны. Такой подход полностью соответствует п. 8 ст. 4 Закона. Если же оператор хочет включить соискателя в свой кадровый резерв и хранить данные о нем дольше, это будет дополнительная цель использования ПД, для которой следует заручиться отдельным согласием. Срок такого согласия нужно установить отдельно с учетом того, как долго данные в кадровом резерве сохраняют актуальность (например, данные кандидатов, помещенные в кадровый резерв, для одной компании могут не иметь ценности уже через год, а для другой — быть актуальными еще и через 3 года).
