Согласие на обработку персональных данных
Согласие на обработку персональных данных — это документ (действие, волеизъявление), предоставляемый субъектом персональных данных (физическим лицом) оператору — лицу, организации или государственному органу, который планирует осуществлять сбор, хранение, использование, передачу, удаление и иные действия с личными сведениями этого лица. Согласие является основным правовым основанием для обработки персональных данных в большинстве случаев, за исключением ситуаций, прямо предусмотренных законом (например, обработка для исполнения договора, в публичных интересах, в правоохранительных целях или для защиты жизни). В Российской Федерации порядок и форма предоставления согласия регулируются Федеральным законом № 152-ФЗ «О персональных данных». Отсутствие законного основания для обработки, в том числе полученного с нарушениями требований к согласию, влечёт административную, уголовную и гражданско-правовую ответственность.
Правовая природа и назначение
Согласие на обработку персональных данных представляет собой свободное, конкретное, информированное и однозначное волеизъявление субъекта. Оно может быть дано как в письменной форме (включая электронную подпись), так и в форме электронного документа, а в случаях, прямо установленных законом, — в форме совершения конклюдентных действий (например, проставление галочки в интерфейсе сайта). Основное назначение согласия — обеспечить соблюдение конституционного права на неприкосновенность частной жизни, личную и семейную тайну, давая возможность человеку самостоятельно контролировать, какие сведения о нём и для каких целей используются.
Принципы обработки на основе согласия
Обработка персональных данных на основании согласия должна соответствовать следующим принципам:
- Добровольность. Субъект даёт согласие без какого-либо принуждения, обмана или введения в заблуждение. Оно не может быть обязательным условием для предоставления услуги или заключения договора, если только обработка не является необходимой для исполнения договора (например, получение адреса доставки для интернет-магазина).
- Конкретность. Согласие должно быть дано для одной или нескольких чётко определённых целей (например, «для оформления заказа» или «для направления рекламных сообщений»). Недопустимо «согласие на всё» или «на любые цели».
- Информированность. Субъекту до предоставления согласия должны быть разъяснены все существенные аспекты обработки: состав данных, цели, способы, перечень лиц, которым данные могут быть переданы, сроки обработки и хранения, а также последствия отказа.
- Однозначность. Волеизъявление субъекта должно быть недвусмысленным. Молчание или бездействие (за исключением прямо указанных в законе случаев, например, при трансграничной передаче) не считается согласием.
Виды согласия
Законодательство РФ выделяет несколько видов согласия в зависимости от категории персональных данных и конкретных обстоятельств обработки.
По составу данных
- Согласие на обработку общедоступных персональных данных. Относится к сведениям, доступ к которым предоставлен самим субъектом неограниченному кругу лиц (например, размещение адреса электронной почты на публичной странице). Такое согласие обычно даётся в упрощённой форме.
- Согласие на обработку специальных категорий персональных данных. Касается сведений о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Обработка таких данных возможна только при наличии письменного согласия субъекта, за исключением ограниченного числа специальных оснований (например, в связи с трудовыми отношениями, для целей социальной защиты, в медицине для проведения лечения при невозможности получения согласия).
- Согласие на обработку биометрических персональных данных. Относится к физиологическим и биологическим характеристикам человека, используемым для его идентификации (например, отпечатки пальцев, рисунок сетчатки глаза, запись голоса, фотография для идентификации (приравнивается к биометрии в определённых контекстах)). Такое согласие также требует письменной формы, за исключением случаев, установленных федеральными законами (например, в единой биометрической системе для предоставления государственных и муниципальных услуг).
По способу дачи
- Письменное согласие. Оформляется на бумажном носителе или в форме электронного документа, подписанного электронной подписью. Обязательно для обработки специальных категорий и биометрических данных.
- Согласие в форме электронного документа. Даётся путём заполнения формы на сайте, проставления галочки в чек-боксе, отправки SMS-сообщения. Закон допускает такую форму, если она позволяет достоверно установить личность субъекта и его свободное волеизъявление. При этом оператор обязан обеспечить фиксацию факта дачи согласия.
- Согласие в формах, установленных законом. Например, для участия в политической деятельности (как член политической партии) или для проведения публичных мероприятий.
- Молчаливое согласие (Presumed consent). В российской практике такое предполагаемое согласие не является общим правилом и применяется лишь в отдельных случаях, прямо указанных в законе (например, при обработке персональных данных, сделанных общедоступными самим субъектом, — отсутствие отзыва считается согласием на их использование в рамках первоначально заявленных целей).
Содержание согласия
В соответствии со статьёй 9 Федерального закона № 152-ФЗ, в согласии на обработку персональных данных должны быть указаны:
- Фамилия, имя, отчество (при наличии), адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.
- Наименование или фамилия, имя, отчество (при наличии) и адрес оператора, получающего согласие.
- Цель обработки персональных данных.
- Перечень персональных данных, на обработку которых даётся согласие.
- Наименование или фамилия, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу.
- Перечень действий с персональными данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки.
- Срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральным законом.
- Подпись субъекта персональных данных (для письменной формы).
Закон предусматривает, что если согласие даётся в отношении недееспособного или ограниченно дееспособного лица, его даёт законный представитель (родитель, опекун). В этом случае в согласии дополнительно указываются данные представителя.
Порядок отзыва и последствия
Субъект персональных данных вправе в любой момент отозвать своё согласие на обработку. Отзыв оформляется в той же форме, что и согласие (письменно, электронно), или иным способом, позволяющим однозначно идентифицировать волю субъекта (например, направление отказа по электронной почте). Оператор обязан прекратить обработку и уничтожить персональные данные в течение 30 дней с момента получения отзыва. Если уничтожение невозможно без нарушения требований иных законов (например, данные необходимы для налогового учёта, для целей бухгалтерии или для исполнения договорных обязательств), оператор обязан уведомить субъекта о невозможности уничтожения, указав основания.
Последствия отзыва:
- Для субъекта: он лишается возможности получения услуги или товара, для которых требовалась обработка данных (например, компания прекратит доставку заказов, банк закроет счёт, если обработка данных была необходима для его открытия).
- Для оператора: он обязан прекратить обработку и уничтожить данные, а также сообщить об этом субъекту (если уничтожение возможно). В случае неправомерного продолжения обработки после получения отзыва наступает ответственность: административный штраф (до 75 000 рублей на должностных лиц, до 300 000 рублей на юридических лиц) и возможность возмещения морального вреда субъекту.
Особенности в электронной коммерции и интернете
В условиях цифровой экономики получение согласия при использовании веб-сайтов и мобильных приложений является критически важным. Операторы обязаны:
- Явно запрашивать согласие. Недопустимо «молчаливое» согласие, когда галочка уже стоит, а субъект её просто снимает (opt-out по умолчанию). Необходим механизм «opt-in» — активного подтверждения.
- Предоставлять прозрачную политику обработки данных. Пользователь должен до предоставления согласия ознакомиться с текстом политики конфиденциальности и cookie-файлов.
- Разделять согласия на разные виды. Например, для функциональных cookies (необходимы для работы сайта) согласие не требуется, для рекламных и аналитических — требуется. Пользователь может дать согласие только на одни из них.
- Обеспечивать простой отзыв. Механизм отзыва должен быть доступен в личном кабинете пользователя или по специальной ссылке. Сложность отзыва (например, необходимость писать почтовое письмо с уведомлением) может быть признана нарушением.
- Соблюдать требования к возрасту. Согласие на обработку данных несовершеннолетних (до 14 лет) должно быть дано их законными представителями. С 14 до 18 лет несовершеннолетний может дать согласие самостоятельно, но оператор обязан уведомить об этом родителей (опекунов).
Ответственность за нарушение
Нарушение порядка получения согласия на обработку персональных данных влечёт за собой административную ответственность по Кодексу РФ об административных правонарушениях (КоАП РФ), а в отдельных случаях — уголовную (ст. 137 УК РФ «Нарушение неприкосновенности частной жизни»).
Основные виды административных наказаний:
- Для должностных лиц: от 5 000 до 75 000 рублей.
- Для юридических лиц: от 30 000 до 300 000 рублей.
- За повторное нарушение или обработку без согласия специальных категорий данных: до 500 000 рублей для юридических лиц.
- Возможно приостановление деятельности оператора на срок до 90 суток.
- Субъект персональных данных вправе требовать возмещения морального вреда и убытков, причинённых незаконной обработкой.
Критика и правовые коллизии
Практика применения согласия на обработку персональных данных в России сталкивается с рядом критических замечаний:
- «Согласие как формальность». Нередко согласие включается в текст договора или пользовательского соглашения, и отказ от него полностью блокирует доступ к услуге, даже если данные не нужны для её предоставления (например, согласие на рекламу при покупке билета). Юристы указывают, что это нарушает принцип добровольности.
- Сложность отзыва. Многие компании делают процедуру отзыва согласия неочевидной или затянутой, хотя закон обязывает к мгновенной обработке. Это приводит к спорам и жалобам в Роскомнадзор.
- Фрагментарность регулирования. Существуют отраслевые законы (например, для телекоммуникаций, медицинской деятельности, банковского сектора), которые содержат дополнительные требования к согласию, иногда противоречащие общему закону.
- Неоднозначность биометрического согласия. Попытки приравнять обычные фотографии к биометрическим данным (и требовать письменного согласия) не всегда находят единообразное толкование в судебной практике, что создаёт правовую неопределённость для сайтов с пользовательскими фотографиями.
Интересные факты
- Термин «персональные данные» вошёл в российское законодательство в 1995 году с принятием основного закона «Об информации, информатизации и защите информации», а более детальное регулирование с согласия началось с закона № 152-ФЗ в 2006 году.
- В 2015 году вступили в силу «законы Яровой» (ФЗ № 374-ФЗ и № 375-ФЗ), которые обязали операторов уведомлять Роскомнадзор о начале обработки и хранить определённые виды данных (в том числе голосовую информацию) в течение срока, установленного правительством. Это не затронуло требования к самому согласию, но увеличило ответственность операторов.
- Одним из самых громких дел о нарушении требований к согласию в России стал штраф для компании «Яндекс» в 2022 году: за нарушение порядка получения согласия с пользователями при загрузке контента (в частности, голосовой информации) на сумму более 4 миллионов рублей.
- В 2023 году Роскомнадзор начал массово штрафовать операторов за размещение cookie-файлов без предварительного согласия пользователей, что привело к кардинальным изменениям в интерфейсах многих веб-сайтов.
Источники
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (статьи 6-11, 9, 15, 21, 24, 25).
- Кодекс Российской Федерации об административных правонарушениях (статья 13.11 «Нарушение законодательства Российской Федерации в области персональных данных»).
- Уголовный кодекс Российской Федерации (статья 137 «Нарушение неприкосновенности частной жизни»).
- Федеральный закон от 07.02.1992 № 2300-1 «О защите прав потребителей» (статья 16.1 «Обязанности продавца (исполнителя) по получению согласия потребителя при предоставлении услуг»).
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
- Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных (письма, информационные бюллетени).
- Практика судов общей юрисдикции и арбитражных судов по делам о защите прав субъектов персональных данных (обзоры Верховного Суда РФ).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →