Согласие на обработку персональных данных нужно рассматривать не как формальную подпись под общим текстом, а как подтверждение того, что человек понимает, кто, зачем и в каких пределах будет использовать его данные. Для организации это один из ключевых документов, который помогает подтвердить законное основание обработки.
По пункту 3 статьи 4 Закона Республики Беларусь «О защите персональных данных» обработка персональных данных по общему правилу осуществляется с согласия субъекта персональных данных, если Закон или другие законодательные акты не предусматривают иное основание.
Что должно быть понятно из согласия
Согласие должно быть свободным и информированным. Это означает, что субъект персональных данных должен понимать, на какую обработку он соглашается, для какой цели собираются данные и кому он дает такое разрешение.
На практике в согласии важно указать как минимум:
- кто является оператором или получателем согласия;
- чьи персональные данные будут обрабатываться;
- для какой конкретной цели данные собираются и используются;
- на какой срок дается согласие;
- какие действия с данными предполагаются, если это требуется для выбранной формы;
- как субъект может отозвать согласие.
Цель обработки лучше формулировать конкретно. Общие фразы вроде «для любых целей организации» создают риск, потому что из них не ясно, какую именно обработку человек разрешил. Если данные нужны, например, для заключения договора, проверки клиента, предоставления услуги или ведения кредитной истории, цель стоит описать именно так.
Форма согласия
В ряде ситуаций законодательство и отраслевые акты прямо ориентируют на письменное согласие. Например, в регулировании почтовой связи отдельно упоминается право операторов почтовой связи обрабатывать персональные данные без письменного согласия физических лиц в определенных случаях. Такая конструкция показывает, что письменная форма остается базовым и наиболее доказуемым вариантом, если нет специального исключения.
Письменная форма не всегда означает только бумажный документ. В регулировании цифровых банковских технологий указано, что документы и информация, включая согласие на обработку данных, считаются совершенными или предоставленными в письменной форме, если они сформированы в порядке, отвечающем требованиям к письменной форме сделок, а также соблюдены требования к защите информации и обработке персональных данных.
Поэтому электронная форма возможна, но она должна позволять подтвердить волеизъявление субъекта, содержание согласия, дату его предоставления и соблюдение требований к защите информации.
Срок действия согласия
Согласие не должно быть бессодержательным по сроку. В нем обычно указывают период, на который человек разрешает обработку. Срок может определяться календарной датой, периодом действия отношений, сроком хранения документов или другим понятным критерием.
В отдельных сферах срок прямо связан с характером операции. Например, в правилах о формировании кредитных историй и предоставлении кредитных отчетов согласие на предоставление кредитного отчета действует в течение трех месяцев с даты его оформления, а если заключена кредитная сделка - в течение всего срока ее действия.
Если организация берет согласие для собственной процедуры, срок лучше соотнести с реальной целью обработки. Когда цель достигнута или срок истек, нужно отдельно оценить, сохраняется ли законное основание продолжать хранение или использование данных.
Право отозвать согласие
Пункт 1 статьи 10 Закона «О защите персональных данных» закрепляет право субъекта персональных данных отозвать свое согласие в любое время без объяснения причин.
Для оператора это означает, что в согласии и внутренних процедурах нужно предусмотреть понятный способ отзыва: куда направить заявление, в какой форме это сделать и кто отвечает за обработку такого обращения. После отзыва согласия оператор должен проверить, есть ли другое законное основание для дальнейшей обработки. Если такого основания нет, обработку нужно прекратить в установленном порядке.
Когда согласие не требуется
Согласие не является единственным основанием обработки персональных данных. Статья 6 Закона «О защите персональных данных» предусматривает случаи, когда согласие субъекта на обработку персональных данных не требуется.
Для специальных персональных данных действует более строгий режим. К таким данным относятся, в частности, сведения о расовой или национальной принадлежности, политических взглядах, религиозных убеждениях, здоровье, половой жизни, биометрические данные и другие чувствительные сведения. Статья 8 Закона устанавливает особенности их обработки и также содержит случаи, когда согласие может не требоваться.
Применять исключения нужно аккуратно. Если организация считает, что согласие не нужно, ей стоит зафиксировать конкретное законное основание обработки, а не просто не брать согласие по внутреннему усмотрению.
Что можно взять за ориентир из нотариальных правил
Полезный пример детализации согласия есть в Инструкции о порядке совершения нотариальных действий. Для заявления о согласии на обработку персональных данных в связи с нотариальным действием указываются:
- фамилия, собственное имя и отчество лица, которое дает согласие;
- фамилии, имена и отчества лиц, инициирующих обработку;
- дата совершения действия;
- вид нотариального действия, при котором осуществляется обработка;
- срок, на который дается согласие;
- иная обязательная по законодательству информация.
Такой перечень не обязательно автоматически подходит для любой организации, но он показывает логику оформления: согласие должно идентифицировать субъекта, оператора, цель или контекст обработки, дату и срок.
Практический чек-лист для организации
Перед использованием формы согласия стоит проверить несколько вещей.
Сначала нужно определить, действительно ли обработка основана на согласии. Если есть специальное основание без согласия, его следует отдельно зафиксировать. Если такого основания нет, согласие должно быть оформлено до начала соответствующей обработки.
Затем нужно проверить содержание формы: указаны ли оператор, субъект, цель, срок, способ отзыва и иные сведения, обязательные для конкретной сферы. Если данные передаются третьим лицам или используются в цифровом сервисе, это также должно быть отражено в той мере, в какой требуется для информированного согласия.
Наконец, важно хранить доказательство получения согласия. Для бумажной формы это подписанный документ, для электронной - технически подтверждаемая фиксация волеизъявления и содержания текста, с которым согласился субъект.
Нормативная база
- Закон Республики Беларусь «О защите персональных данных», в том числе пункт 3 статьи 4, статья 6, статья 8 и пункт 1 статьи 10.
- Законодательство о почтовой связи в части случаев обработки персональных данных без письменного согласия.
- Правила о формировании кредитных историй и предоставлении кредитных отчетов в части срока действия согласия на предоставление кредитного отчета.
- Инструкция о порядке совершения нотариальных действий в части содержания заявления о согласии на обработку персональных данных.
- Регулирование цифровых банковских технологий в части признания электронных документов и согласий совершенными в письменной форме.
Этот материал носит информационный характер и не является юридической консультацией.