Cогласие на обработку персональных данных

В наше время секретность и защита персональной информации стали одним из ключевых аспектов ведения бизнеса. С учетом строгих законодательных требований и нормативов по обработке персональных данных, компаниям необходимо проявлять высокую ответственность и внимательность к данному вопросу. В данной статье мы рассмотрим важность согласия на обработку персональных данных, на что обратить внимание при получении согласия и способы правильного взаимодействия с клиентами в этой области.

Всегда ли нужно согласие на обработку персональных данных

Компании могут обрабатывать персональные данные без согласия физических лиц только в разрешенных случаях.

В основном персональные данные можно обрабатывать только с согласия физического лица. Например, к таким случаям относится обработка специальных персональных данных. К специальным персональным данным относятся данные, связанные с  расой, национальностью, политическими и религиозными взглядами, привлечения к ответственности перед законом, биометрические и генетические персональные данные. 

Обработка персональных данных без согласия лица

1. В определенных случаях на обработку специальных персональных данных не нужно согласие физического лица. В частности, без согласия физического лица — субъекта персональных данных их обрабатывают в случаях:

• Когда физическое лицо само сделало свои персональные данные общедоступными. Например, разместило в своих социальных сетях, в резюме на рекрутинговом сайте.
• Когда оформляют прием на работу соискателя, а также в процессе работы в определенных случаях.
• Для разных юридических целей, исполнения судебных постановлений, ведения судебных процессов.
• Когда государственным органам необходимы такие данные.

2. Государством установлены разрешенные случаи, когда не нужно получать согласие на обработку других персональных данных, которые не относятся к специальным. Эти случаи в частности, связаны с ведением судебных процессов, нотариальной деятельности, заключением договора с субъектом персональных данных, а также когда обработка персональных данных входит в обязанности государственных органов и компаний.

Почему важно получать согласие на обработку персональных данных

Важно получить согласие физического лица на обработку его персональных данных по нескольким причинам: 

1. Защита прав и свобод граждан
   Согласие позволяет физическому лицу контролировать, какие его персональные данные как будут использоваться, что обеспечивает защиту его прав.  
2. Законодательные требования
   В ряде стран законы о защите данных требуют получения согласия на обработку персональных данных, что помогает избежать юридических последствий для компании. В Беларуси предусматривается штраф до 50 базовых величин (до 2000 белорусских рублей, это примерно 560 евро) за нарушение прави физических лиц при обработке персональных данных.
3. Прозрачность и доверие
   Получение согласия создает атмосферу доверия между оператором и субъектом данных, так как последнему известно, как и зачем будут использоваться его данные.  
4. Условия обработки
   Согласие устанавливает четкие условия обработки данных, включая цели, сроки и способы использования, что способствует большей ясности в вопросах защиты персональных данных. 
   
   Таким образом, получение согласия является важной частью соблюдения норм законодательства и принципов этичного обращения с персональными данными.

Какие требования установлены к согласию на обработку персональных данных

Согласие — это одно из важных оснований для обработки персональных данных. При помощи согласия физические лица распоряжаются своими персональными данными.
При получении согласия важно следить за тем, чтобы оно было:

1. Свободным.
   Это значит, что не нужно формировать у физического лица мнение, что его согласие будет вынужденным, что это согласие без выбора. Физическому лицу нужно предоставить выбор: давать согласие или нет.
   Когда оператору требуется получить согласие на несколько целей обработки персональных данных, согласие получают отдельно по каждой цели. Так рекомендует делать контролирующий орган — Национальный центр защиты персональных данных.
   Если персональные данные не относятся к информации, которая необходима для доступа к услугам и возможностям сайта (cookie walls), то доступ к таким услугам и возможностям не нужно ставить в зависимость от дачи согласия. В этом случае независимо от дачи согласия лицо должно получить возможность пользоваться услугами и возможностями сайта. 
2. Однозначным.
   Нужно обеспечить физическому лицу возможность дать однозначное согласие в виде осознанного действия. Действие должно быть утвердительным: проставить галочку, нажать на кнопку, и подобное. При этом физическому лицу нужно предоставить выбор: дать согласие либо не давать согласия. Для этого можно предоставить лицу возможность в виде этих 2 вариантов и попросить сделать выбор.
3. Информированным.
   Это требование к согласию обозначает, что до того, как получить согласие, нужно предоставить лицу определенную информацию (можно в самом согласии):

• Название и адрес оператора.
• Цели, для которых будут обрабатываться персональные данные.
• Список персональных данных, на обработку которых требуется получить согласие.
• Срок действия данного согласия. 
• Информация о лицах, уполномоченных на обработку персональных данных в случае, если это будут делать третьи лица.
• Перечень действий с персональными данными, на которые требуется согласие, а также общее описание методов обработки, применяемых оператором.
• Другая информация, необходимая для обеспечения прозрачности процесса обработки персональных данных.
• Лицу также нужно разъяснить лицу его права, которые связаны с обработкой персональных данных, как он может реализовать свои права и последствия его согласия на обработку персональных данных или отказа.

На обработку каких персональных данных не нужно запрашивать согласие

Не нужно запрашивать у лица согласие на обработку избыточных персональных данных. Это персональные данные, которые не требуются для той цели обработки, для которой запрашиваются. Например, для цели покупки подписки на обновления онлайн-сервиса не требуются персональные данные о доходах физического лица, о его членах семьи. Персональные данные, на обработку которых запрашивается согласие физического лица, должны соответствовать цели обработки персональных данных.

Как должно выглядеть согласие на обработку персональных данных

Оператор должен обеспечить физическому лицу дать согласие на обработку персональных данных в одной из форм:

1. Письменной.
   В этом случае физическому лицу предлагают разработанный с учетом специфики ситуации бланк согласия.
2. В форме электронного документа.
   В этом случае у физического лица должна быть возможность подписать согласие с помощью электронной цифровой подписи с использованием личного ключа, выданного в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь — ГосСУОК.
3. Другого утвердительного действия в электронной форме.
   Таким действием может быть, например, проставление кода, который приходит на электронную почту, мессенджер или в виде смс, проставление на сайте компании отметки о согласии. Перечень других утвердительных действий в электронной форме не определен. Поэтому таким способом можно получить согласие в любой форме, которая будет подтверждать, что требования к согласию выполнены и оно свободное, однозначное и информированное, не требует обработки избыточных персональных данных и содержит цели, для которых нужны персональные данные.

Может ли физическое лицо отозвать свое согласие на обработку персональных данных

Физическое лицо имеет возможность отозвать свое согласие на обработку персональных данных. Причины для отзыва согласия лицо не обязано сообщать. 
Можно разработать и предлагать форму заявления об отзыве согласия на обработку персональных данных, но это не обязательно. 
Заявление физического лица на отзыв согласия подают на бумаге или в виде электронного документа. Когда согласие взято через сайт, нужно обеспечить возможность отозвать согласие таким же образом — через сайт. 
Заявление на отзыв согласия рассматривают в течение 15 дней. Если нет других оснований для обработки персональных данных, то в этот срок нужно:

• Прекратить обработку персональных данных.
• Удалить персональные данные.
• Уведомить физическое лицо об удалении персональных данных. Если технически невозможно удалить персональные данные, их нужно блокировать, и сообщить об этом физическому лицу.

Чем мы можем быть полезны при разработке и анализе формы согласия физического лица на обработку его персональных данных

Наши юристы и специалисты по информационной безопасности — опытные специалисты в сфере внутреннего контроля за обработкой персональных данных и защиты информации о персональных данных.

Мы можем: 

• Проконсультировать вас по вопросам составления документов по обработке персональных данных, в том числе, согласия.
• Проанализировать на соответствие требованиям визуальное отображение согласия на вашем онлайн-сервисе, приложении.
• Проконсультировать по вопросам приведения в соответствие согласий после проверки Национальным центром защиты персональных данных.
• Проконсультировать по вопросам целей и оснований обработки персональных данных в каждом конкретном случае и оформления согласий.
• Проконсультировать по вопросам отзыва согласий.
• Разработать формы документов по защите персональных данных.
• Представить ваши интересы в государственных органах.

Свяжитесь с нами 

Если у Вас возникли вопросы или споры в отношении персональных данных— мы будем рады Вам помочь! Наш многолетний опыт в области банковского права поможет Вам в разрешении и урегулировании любых спорных ситуаций в этой области.

• +37529366-44-77 (WhatsApp, Viber, Telegram);
• info@ambylegal.by.