Закон о согласии на обработку персональных данных: Федеральный закон от 27 июля 2006 г. N 152-ФЗ

Федеральный закон от 30 декабря 2020 г. N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»»

Принят Государственной Думой 23 декабря 2020 года

Одобрен Советом Федерации 25 декабря 2020 года

Статья 1

Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; 2010, N 31, ст. 4173, 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82; 2019, N 52, ст. 7798; 2020, N 17, ст. 2701) следующие изменения:

1) статью 3 дополнить пунктом 1¹ следующего содержания:

«1¹) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;»;

2) пункт 10 части 1 статьи 6 признать утратившим силу;

3) статью 9 дополнить частью 9 следующего содержания:

«9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.»;

4) пункт 2 части 2 статьи 10 изложить в следующей редакции:

«2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10¹ настоящего Федерального закона;»;

5) дополнить статьей 10¹ следующего содержания:

«Статья 10¹. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

1) непосредственно;

2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

10. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

15. Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.»;

6) пункт 3 части 4 статьи 18 изложить в следующей редакции:

«3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10¹ настоящего Федерального закона;»;

7) пункт 4 части 2 статьи 22 изложить в следующей редакции:

«4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10¹ настоящего Федерального закона;».

Статья 2

1. Настоящий Федеральный закон вступает в силу с 1 марта 2021 года, за исключением абзаца десятого пункта 5 статьи 1 настоящего Федерального закона.

2. Абзац десятый пункта 5 статьи 1 настоящего Федерального закона вступает в силу с 1 июля 2021 года.

Президент Российской Федерации В. Путин

Как оформить согласие на обработку персональных данных в 2022 году — Контур.Экстерн

26 сентября 2022

Согласие на обработку персональных данных — письменный или цифровой документ, который подтверждает добровольное решение гражданина передать оператору свою личную информацию для определенных целей. По Закону № 152-ФЗ оператор должен его получать в большинстве случаев. Разбираемся, когда требуется разрешение на обработку ПД, и какие к нему есть требования в 2022 году.

Содержание

• Что говорит закон
• В каких случаях согласие на обработку не требуется
• Как оформить документ
• Как оформить разрешение на распространение ПД

Согласие на обработку персональных данных в 2022 году должно быть конкретным, предметным, информированным, сознательным и однозначным (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Это означает, что в нем есть:

• конкретная цель обработки — например, для оформления трудовых отношений;
• перечень ПД — например, ФИО, дата рождения, сведения об образовании, месте работы, адресе;
• список действий с персональными данными — к примеру, сбор, хранение;
• место и способы обработки ПД — адрес оператора, автоматизированная или неавтоматизированная обработка;
• срок действия согласия;
• наименование, ФИО, адрес лица, которое обрабатывает ПД, если оператор поручает это другому лицу;
• ясно выраженное согласие гражданина — подпись, галочка или другая отметка.

По умолчанию любые действия с личной информацией без согласия субъекта или законных оснований не допускаются (ст. 6, 9 152-ФЗ). При этом на распространение ПД документ оформляют отдельно (ст. 10.1 152-ФЗ).

Согласие получают конкретно для каждой цели. То есть у оператора будет несколько документов. Это следует из части 4 ст.

9 152-ФЗ, где цель указана в единственном числе, а также из требования не хранить в одной базе данных сведения для несовместимых целей (ч. 3 ст. 5 152-ФЗ).

Работать с персональными данными можно только на законных основаниях (ст. 5 152-ФЗ). Обработка без разрешения субъекта допускается в случаях, предусмотренных международными договорами или нормативными правовыми актами (ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 152-ФЗ). Например:

• личная информация обрабатывается при участии физлица в судебном процессе;
• гражданин регистрируется на портале Госуслуг;
• сведения нужны для исполнения условий договора с субъектом ПД;
• специальные персональные данные, например, о состоянии здоровья обрабатываются в соответствии с трудовым, социальным или пенсионным законодательством.

Гражданин имеет право отозвать выданное согласие на обработку ПД в любой момент. В этом случае действия с его личной информацией можно продолжать только при наличии указанных выше правовых оснований. Обязанность доказать законность обработки: предоставить согласие гражданина или отдельную норму права, возложена на оператора (ч. 2 ст. 9 152-ФЗ).

Работодателям стоит помнить, что обработка биометрических персональных данных работников в рамках трудовых отношений возможна только с письменного согласия сотрудника (ст. 11 152-ФЗ). Для специальных и общедоступных ПД оно не нужно. Это значит, что ФИО, сведения об образовании обрабатываются свободно. А вот видеонаблюдение за работником возможно только с его письменного разрешения.

Закон разрешает получить согласие физического лица на обработку его ПД в любом виде. Главное подтвердить, что оно есть и дано именно субъектом персональных данных либо его представителем (ч. 1 ст. 9 152-ФЗ). То есть теоретически согласие можно оформить даже в виде записи на диктофон, если по ней точно идентифицируется личность гражданина.

Если по Закону согласие должно быть оформлено именно в письменном виде — например, на обработку биометрических данных, то электронный документ с электронной подписью (ЭП) признается равнозначным бумажному оригиналу с личной подписью субъекта (ч.  4 ст. 9 152-ФЗ). Главное, чтобы ЭП соответствовала требованиям (Приказ ФСБ России от 27.12.2011 № 796).

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Попробовать

Утвержденного бланка согласия на обработку ПД нет. Общие требования к его содержанию приведены в статье 9 152-ФЗ. 

В интернете доступно много образцов согласия, например, на сайте Управления Роскомнадзора Сибирского ФО. Пользоваться ими нужно аккуратно, с учетом изменений в Законе 152-ФЗ:

• одна цель обработки — одно согласие;
• разрешение на распространение ПД оформляется отдельно.

Лицо, которое обрабатывает ПД по поручению оператора, согласие субъекта не получает (ч. 4 ст. 6 152-ФЗ).

В некоторых случаях оператор раскрывает персональные данные неопределенному кругу лиц. Например, публикует на сайте отзыв клиента, содержащий ФИО, email и другую личную информацию. Или помогает заказчику получить кредит и отправляет от его имени заявку в разные банки и МФО.

Это называется распространением персональных данных, на которое нужно получать отдельное согласие субъекта ПД (ч. 1 ст. 10.1 152-ФЗ). Требования к содержанию такого разрешения определены Роскомнадзором (Приказ от 24.02.2021 № 18).

Сдать всю отчетность через интернет — с подсказками и проверкой на ошибки

Попробовать

 

Согласие на распространение может быть оформлено двумя способами (ч. 6 ст. 10.1 152-ФЗ):

• передано субъектом непосредственно оператору;
• заполнено с использованием информационной системы Роскомнадзора.

В первом случае оператор может получить шаблон документа на сайте Роскомнадзора. Для подготовки разрешения, адаптированного под конкретную деятельность, понадобится подтвержденная учетная запись на портале Госуслуг организации, ИП или физического лица.

На портале Роскомнадзора через ЕСИА формируется запрос. В результате оператор получает доступ к форме согласия на распространение ПД, которую он заполняет с учетом своей специфики. Готовый шаблон можно отправить на проверку в Роскомнадзор и получить его рекомендации.

Форму согласия на распространение ПД можно подготовить с использованием информационного ресурса Роскомнадзора.

Если оператор решит разработать свой бланк, то он должен указать в нем обязательные пункты по Приказу от 24.02.2021 № 18. По каждой категории и перечню ПД у субъекта должна быть возможность выбора одной из трех категорий:

• разрешено;
• запрещено;
• разрешено с условиями — указать условия.

Молчание или бездействие гражданина ни при каких обстоятельствах не считаются согласием на обработку ПД, разрешенных для распространения (ч. 8 ст. 10.1 152-ФЗ).

Оператор обязан в течение трех рабочих дней с даты получения разрешения на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц (ч.

 10 ст. 10.1 152-ФЗ). Например, разместить ее на своем сайте.

Эта мера нужна для защиты права субъекта ПД на конфиденциальность. Лица, получающие доступ к его личной информации, должны соблюдать условия и запреты, перечисленные в согласии на распространение.

Главное на почту

Подписаться

Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компаний СКБ Контур.

GDPR — нужно ли мне согласие на обработку персональных данных?

конфиденциальность, онлайн-соглашения, пользовательские данные, ведение записей, регулирование, GDPR, США, Великобритания, Азия

Если вы обрабатываете личные данные граждан ЕС или Великобритании, для этого вам потребуется какое-то обоснование или правовая основа. В соответствии с GDPR согласие является возможным вариантом; однако действительное согласие может быть трудно получить.

Что означает согласие?

В соответствии с GDPR, чтобы согласие было действительным, оно должно быть свободно предоставленным, конкретным, информированным и отзывным. Отдельные лица (т. е. ваша аудитория, пользователи вашего веб-сайта и клиенты или потенциальные клиенты) должны иметь реальный выбор и контроль над своими личными данными и тем, как они используются.

Дополнительное примечание: GDPR прямо требует явного согласия, если вы обрабатываете какие-либо специальные категории данных или если ваша обработка включает трансграничную передачу данных на основе согласия. См. https://www.cooley.com/services/practice/privacy-and-data-protection/gdpr для получения дополнительной информации.

Как получить согласие?

Ниже приведен контрольный список того, что необходимо включить, чтобы убедиться, что ваш механизм согласия соответствует новым требованиям:

• Флажки: для согласия требуется положительное действие согласия, поэтому предварительно не отмеченные поля не допускаются; вы должны использовать не отмеченные флажками окна согласия или аналогичные действия, которые требуют определенных действий со стороны пользователя
• Нет предварительного условия обслуживания: согласие не может быть предварительным условием подписки на получение услуги (за исключением случаев, когда это абсолютно необходимо для этой услуги) и не может быть объединено с согласием на другие условия
• Конкретное: согласие должно конкретно относиться к тому, для чего вы используете данные. Строго говоря, это означает получение отдельных согласий на каждый тип обработки
.
• Информативно: людям необходимо знать, кто является «контролером» их личных данных, что будет происходить с их данными и их правами в отношении них. Им также необходимо сообщить, что они имеют право (легко) отозвать согласие в любое время

Получив согласие, могу ли я делать с личными данными все, что захочу?

Вы можете обрабатывать данные только в тех целях, которые вы указали пользователю и на которые он дал свое согласие. Итак, если вы определили все цели, для которых вы обрабатываете данные, тогда да: вам просто нужно убедиться, что перечислены все виды использования и получено согласие для каждого из различных типов обработки.

Предупреждение: у физических лиц должна быть возможность отозвать согласие в любое время. На практике это означает, что вам нужно не только сообщить людям, что у них есть это право и как это сделать (достаточно просто указать адрес электронной почты/контактные данные), но вы также должны иметь возможность действовать в соответствии с этим и реализовывать любые такие запросы.

Что насчет сотрудников?

Согласие не может быть использовано для обработки персональных данных в контексте трудоустройства из-за дисбаланса полномочий в отношениях между работодателем и работником. Дополнительную информацию см. в GDPR — A Guide for Employers.

Как насчет детей?

GDPR включает дополнительные правила и средства защиты для детей: предполагается, что ребенок в возрасте до 16 лет не может дать согласие сам. Таким образом, если вы предлагаете онлайн-услуги ребенку, потребуется согласие лица, несущего «родительскую ответственность». Каждая страна ЕС и Великобритания могут установить собственный возраст до 16 лет, если он не ниже 13 лет. Поэтому вам необходимо ознакомиться с правилами на ваших ключевых рынках, а также с любыми дополнительными правилами и кодексами поведения, которые могут иметь отношение к вам в этом контексте (например, реклама).

Заключение

Хотя согласие может быть очевидным или, возможно, самым простым вариантом для оправдания вашей обработки персональных данных ЕС, дополнительные требования, которые необходимо выполнить в соответствии с GDPR, могут означать, что это не лучший вариант для вас или вашего бизнеса. Помните, что согласие является лишь одним из законных оснований для обработки персональных данных, существуют альтернативы, поэтому, если в вашей бизнес-модели сложно получить действительное согласие, вы можете рассмотреть другие варианты.

Последнее рассмотрение: 15 января 2022 г.

ст. 6 GDPR – Законность обработки

Перейти к содержимому

1. ¹ Обработка является законной только в том случае, если и в той мере, в какой применяется хотя бы одно из следующего:
   1. субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;
   2. обработка необходима для выполнения договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора;
   обработка
   3. необходима для соблюдения юридического обязательства, которому подчиняется контролер;
   4. обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица;
   5. обработка необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера;
   6. обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной, за исключением случаев, когда такие интересы преобладают над интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных, в частности, когда субъект данных — ребенок.

   ² Пункт (f) первого подпараграфа не распространяется на обработку, осуществляемую органами государственной власти при выполнении ими своих задач.

2. Государства-члены могут сохранить или ввести более конкретные положения для адаптации применения правил настоящего Регламента в отношении обработки для соответствия пунктам (с) и (е) параграфа 1 путем более точного определения конкретных требований к обработке и других мер. для обеспечения законной и справедливой обработки, в том числе для других конкретных ситуаций обработки, как это предусмотрено в Главе IX.
3. ¹ Основа для обработки, указанной в пунктах (c) и (e) параграфа 1, устанавливается:
   1. Право Союза; или
   2. Закон государства-члена, которому подчиняется контролер.

   ² Цель обработки должна быть определена на этом правовом основании или, что касается обработки, указанной в пункте (e) параграфа 1, должна быть необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера. ³ Эта правовая основа может содержать специальные положения для адаптации применения правил настоящего Регламента, среди прочего: общие условия, регулирующие законность обработки данных контролером; виды данных, подлежащих обработке; заинтересованные субъекты данных; организации и цели, для которых персональные данные могут быть раскрыты; ограничение цели; сроки хранения; а также операции и процедуры обработки, включая меры по обеспечению законной и справедливой обработки, например, для других конкретных ситуаций обработки, как это предусмотрено в Главе IX. ⁴ Закон Союза или государства-члена должен отвечать общественным интересам и быть соразмерным преследуемой законной цели.

4. Если обработка для цели, отличной от той, для которой были собраны персональные данные, не основана на согласии субъекта данных или на законе Союза или государства-члена, который представляет собой необходимую и соразмерную меру в демократическом обществе для защиты упомянутых целей в Статье 23(1), контролер должен, чтобы убедиться, что обработка для другой цели совместима с целью, для которой персональные данные были первоначально собраны, принимает во внимание, среди прочего:
   1. любая связь между целями, для которых были собраны персональные данные, и целями предполагаемой дальнейшей обработки;
   2. контекст, в котором были собраны персональные данные, в частности, в отношении отношений между субъектами данных и контролером;
   3. характер персональных данных, в частности, обрабатываются ли особые категории персональных данных в соответствии со статьей 9 или обрабатываются ли персональные данные, связанные с уголовными судимостями и правонарушениями, в соответствии со статьей 10;
   4. возможные последствия предполагаемой дальнейшей обработки для субъектов данных;
   5. наличие соответствующих мер безопасности, которые могут включать шифрование или псевдонимизацию.