Открыть сервис

Согласие субъекта персональных данных

Согласие субъекта персональных данных — это конкретное, информированное и сознательное волеизъявление физического лица (субъекта персональных данных), предоставляемое в свободной форме, посредством которого он разрешает обработку своих персональных данных оператору или уполномоченному лицу. Данный институт является одним из ключевых правовых оснований обработки персональных данных в соответствии с российским законодательством, в частности, с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Правовая природа и значение

Согласие субъекта персональных данных выступает в качестве механизма реализации конституционного права на неприкосновенность частной жизни, личную и семейную тайну (статья 23 Конституции РФ). Оно позволяет субъекту самостоятельно определять судьбу своих данных: кому, в каких целях и каким образом их передавать. Без согласия обработка персональных данных, за исключением прямо предусмотренных законом случаев (например, обработка для исполнения договора, для защиты жизни, при осуществлении правосудия), является незаконной и влечёт административную, а в отдельных случаях и уголовную ответственность.

В системе правовых оснований, перечисленных в статье 6 Федерального закона № 152-ФЗ, согласие занимает особое место. Оно необходимо в ситуациях, когда обработка не может быть обоснована иными законными интересами оператора или публичными целями. Например, для обработки специальных категорий персональных данных (раса, национальность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь), а также биометрических персональных данных, согласие, как правило, является единственным допустимым основанием.

Форма и содержание согласия

Законодательство предъявляет строгие требования к форме и содержанию согласия. Оно должно быть конкретным, информированным и сознательным.

Форма

По общему правилу, согласие должно быть предоставлено в письменной форме. Однако закон допускает иные формы, если это не противоречит его требованиям. На практике распространены следующие формы:

  • Письменная форма на бумажном носителе: Классический вариант, часто используемый при заключении договоров, приёме на работу, в медицинских учреждениях.
  • Электронная форма: Согласие, подписанное электронной подписью (простой, усиленной неквалифицированной или квалифицированной) в соответствии с Федеральным законом «Об электронной подписи».
  • Конклюдентные действия: В ряде случаев, например, при использовании веб-сайтов или мобильных приложений, согласие может быть выражено путём совершения определённых действий — проставления отметки в чек-боксе («галочки»), отправки формы, нажатия кнопки. Однако такой способ должен быть явным и однозначно свидетельствовать о волеизъявлении субъекта. Закон требует, чтобы согласие было «конкретным», то есть не может быть подразумеваемым или молчаливым.
  • Устная форма: Допускается в случаях, когда обработка данных осуществляется без использования средств автоматизации, например, при устном опросе, но при этом факт предоставления согласия должен быть подтверждён иным способом (например, отметкой в журнале).

Содержание

В соответствии с частью 4 статьи 9 Федерального закона № 152-ФЗ, в согласии субъекта персональных данных в обязательном порядке должны быть указаны:

  1. Фамилия, имя, отчество (при наличии), адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.
  2. Фамилия, имя, отчество (при наличии) и адрес оператора, получающего согласие субъекта персональных данных.
  3. Цель обработки персональных данных. Цель должна быть сформулирована конкретно, а не общими фразами (например, не «для маркетинга», а «для направления рекламных предложений по электронной почте»).
  4. Перечень персональных данных, на обработку которых даётся согласие. Должен быть полным и точным.
  5. Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу.
  6. Перечень действий с персональными данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки персональных данных (сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение).
  7. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.
  8. Подпись субъекта персональных данных.

Особые виды согласия

Согласие на обработку специальных категорий персональных данных

Обработка данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается только при наличии письменного согласия субъекта (за исключением случаев, прямо предусмотренных законом). Такое согласие должно быть оформлено в строгом соответствии с требованиями статьи 10 Федерального закона № 152-ФЗ.

Согласие на обработку биометрических персональных данных

Биометрические данные (физиологические и биологические характеристики человека, по которым можно установить его личность — отпечатки пальцев, изображение лица, радужная оболочка глаза, голос и т.д.) также требуют письменного согласия субъекта. Исключение составляют случаи, установленные законодательством РФ (например, в рамках государственной дактилоскопической регистрации, при осуществлении правосудия, в сфере транспортной безопасности).

Согласие на распространение персональных данных

В 2021 году в Федеральный закон № 152-ФЗ были внесены изменения, выделившие в отдельную категорию согласие на распространение персональных данных. Распространение — это действия, направленные на раскрытие персональных данных неопределённому кругу лиц (например, публикация в интернете, в открытых источниках). Такое согласие должно быть оформлено отдельно и содержать конкретный перечень данных, разрешённых к распространению, а также условия и запреты на их обработку (например, запрет на передачу данных третьим лицам).

Отзыв согласия

Субъект персональных данных имеет право отозвать своё согласие в любой момент. Отзыв оформляется в той же форме, что и само согласие (или в иной, если это предусмотрено законом). При получении отзыва оператор обязан прекратить обработку персональных данных и уничтожить их в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено договором или законом. Отзыв согласия не влечёт за собой прекращения обработки данных, если она осуществляется на иных законных основаниях (например, для исполнения договора).

Ответственность за нарушение требований к согласию

Нарушение установленного порядка получения согласия субъекта персональных данных является административным правонарушением. В соответствии со статьёй 13.11 Кодекса РФ об административных правонарушениях (КоАП РФ), обработка персональных данных без согласия субъекта в случаях, когда такое согласие требуется, влечёт наложение административного штрафа:

  • на граждан — от 10 000 до 15 000 рублей;
  • на должностных лиц — от 20 000 до 40 000 рублей;
  • на юридических лиц — от 100 000 до 300 000 рублей.

За повторное нарушение (в течение года) размеры штрафов значительно возрастают, вплоть до 500 000 рублей для юридических лиц. В особо тяжких случаях, связанных с нарушением прав субъектов, возможно привлечение к уголовной ответственности (статья 137 УК РФ «Нарушение неприкосновенности частной жизни»).

Практические аспекты

На практике одним из наиболее сложных вопросов является получение согласия в цифровой среде. Операторы обязаны обеспечить, чтобы пользователь мог дать согласие явно и осознанно, а не случайно. Использование предустановленных отметок («галочек по умолчанию») или скрытых подписей в длинных пользовательских соглашениях признаётся недопустимым. Роскомнадзор (федеральный орган, уполномоченный в сфере персональных данных) регулярно проводит проверки и выносит предписания об устранении нарушений, связанных с порядком получения согласия.

Также важным аспектом является срок действия согласия. Закон не устанавливает максимального срока, но он должен быть определён в самом согласии. Если срок не указан, согласие считается действующим до его отзыва субъектом. Оператор должен обеспечить возможность отзыва согласия простым и доступным способом.

Источники

  1. Конституция Российской Федерации (статья 23).
  2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (статьи 6, 9, 10, 11).
  3. Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
  4. Уголовный кодекс Российской Федерации (статья 137).
  5. Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по вопросам обработки персональных данных.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →