Согласие на обработку персональных данных дает право на использование третьими лицами сведений из паспорта, адреса, даты рождения и даже фамилии, имени и отчества гражданина. Эту информацию охраняет законодательство. Для того чтобы работать с такой информацией, у таких лиц нужно брать согласие на обработку персональных данных (ПД), а на распространение ПД оформлять отдельный документ. С 1 сентября 2022 года требования закона о персональных данных в этой части изменились. В статье расскажем, как правильно оформить согласие гражданина на действия с его ПД.
Из чего должно состоять согласие на обработку персональных данных.
Перед подготовкой бланка, необходимо учесть, что в законе от 27.07.2006 № 152-ФЗ «О защите персональных данных» вся обработка личной информации граждан привязана к целям, которые бывают двух видов:
- Исполнение требований законодательства. Например, работодатель обязан включать данные сотрудника в кадровую отчётность;
- Выполнение оператором обязательств перед физическим лицом в рамках своей предпринимательской деятельности. Например, интернет-магазин собирает личные данные покупателей, чтобы оформить покупку и организовать доставку товара клиенту.
Оператор не имеет право собирать персональные данные, которые не относятся к конкретным целям или избыточны по отношению к ним. Например, интернет-магазин может запрашивать Ф.И.О. покупателя, телефон, адрес доставки, паспортные и платёжные данные для оформления доставки. А вот адрес страницы в социальных сетях клиента и сведения о составе его семьи будут уже избыточными.
Есть еще одно правило: одна цель — одно согласие. Это следует из пункта 4 части 4 ст. 9 закона № 152-ФЗ. Это говорит о том, что необходимо оформлять такое количество бланков согласий, какое у оператора целей обработки. Их можно включить в один документ, но для каждой цели отдельно прописать перечень ПД, действия с ними и получить на них подпись субъекта ПД, либо другое выражение его доброй воли — хоть галочку или крестик. Из документа должно быть понятно, что субъект согласился с каждой целью.
Цели в одном согласии должны быть совместимы между собой. Если оператор просит разрешение клиента на обработку ПД для выполнения обязательств перед ним по договору, туда же включать разрешение на рассылку рекламных материалов для продвижения компании на рынке не стоит.
Согласие на обработку персональных данных должно содержать следующую информацию:
- Ф.И.О., адрес субъекта персональных данных, номер основного документа, удостоверяющего личность, сведения о дате выдачи и выдавшем органе.
- Ф.И.О., адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи и выдавшем органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя (при получении согласия от представителя).
- Наименование или Ф.И.О. и адрес оператора, получающего согласие субъекта ПД.
- Цель обработки персональных данных.
- Перечень данных, на обработку которых дается согласие.
- Наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу.
- Перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД.
- Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.
- Подпись субъекта ПД.
Утверждённого бланка согласия на обработку ПД не существует. Каждый оператор разрабатывает и использует свою форму. Лучше не скачивать образцы из интернета, так как они не адаптированы под деятельность конкретной компании и могут не учитывать все её цели. Также есть риск, что они не актуальны.
