Почему правильное получение согласия на обработку персональных данных — ключевой элемент законности и доверия?
В современном мире, где информация о каждом из нас становится всё более доступной, вопросы защиты персональных данных приобретают первостепенное значение. В Республике Беларусь законодательство в этой сфере, в частности Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон о защите персональных данных), устанавливает строгие правила и требования к операторам, обрабатывающим такую информацию. Центральное место среди этих требований занимает надлежащее получение согласия субъекта на обработку персональных данных. Именно здесь, на этапе получения этого ключевого документа, организации допускают множество типичных ошибок, которые впоследствии могут привести к серьезным юридическим последствиям, включая административную ответственность, штрафы и потерю доверия со стороны клиентов и сотрудников.
Что такое согласие субъекта на обработку персональных данных?
Согласие субъекта персональных данных – это свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных (пункт 1 статьи 5 Закона о защите персональных данных).
Это определение содержит три ключевых элемента, каждый из которых имеет решающее значение для признания согласия законным и действительным:
1. Свободное выражение воли. Согласие должно быть дано добровольно, без какого-либо принуждения, давления или условий, ставящих оказание услуги или выполнение обязательств в зависимость от предоставления согласия. На практике, к сожалению, организации до сих пор допускают такое нарушение, например, ставя факт оказания услуги от наличия согласия на обработку персональных данных.
2. Однозначное выражение воли. Согласие должно быть четким и недвусмысленным. Оно должно явно указывать на согласие субъекта на обработку его данных. Молчание или бездействие, по общему правилу, не могут рассматриваться как согласие.
3. Информированное выражение воли. Субъект персональных данных должен быть полностью осведомлен о целях, объеме, сроках обработки его данных, а также о своих правах и механизмах их реализации. До получения согласия оператор обязан предоставить субъекту всю информацию, предусмотренную частью 1 пункта 5 статьи 5 Закона о защите персональных данных, включая сведения об операторе, целях обработки, перечне персональных данных, действиях с ними, сроке, на который дается согласие, и уполномоченных лицах. Эта информация должна быть предоставлена в той же форме, в которой дается согласие.
Согласие является одним из основных правовых оснований для обработки персональных данных, но не единственным. Закон о защите персональных данных, а также иные законодательные акты, предусматривают случаи, когда обработка данных может осуществляться без согласия (статья 6, пункт 2 статьи 8 Закона о защите персональных данных). Оператор обязан доказать факт и законность получения согласия (пункт 7 статьи 5 Закона о защите персональных данных), что подчеркивает важность правильного оформления и фиксации этого процесса.
Когда согласие на обработку персональных данных не требуется?
Важным аспектом, который часто вызывает заблуждения и ведет к ошибкам, является понимание случаев, когда согласие на обработку персональных данных не требуется. Ошибочно полагать, что обработка персональных данных во всех случаях осуществляется только с согласия их субъекта. Это ведет к избыточному получению согласий, что само по себе является нарушением законодательства. Закон о защите персональных данных (статья 6 и пункт 2 статьи 8) четко определяет перечень ситуаций, когда оператор вправе обрабатывать персональные данные без получения согласия субъекта.
Примеры таких ситуаций:
- При оформлении трудовых (служебных) отношений и в процессе трудовой (служебной) деятельности. Наниматель вправе обрабатывать персональные данные работников без их согласия в объеме, необходимом для выполнения трудовых обязанностей, ведения кадрового учета и соблюдения законодательства о труде (абзац 8 статьи 6 Закона о защите персональных данных). Это означает, что для оформления на работу, заключения трудового договора (контракта) согласие не требуется. Однако важно помнить, что эта норма не распространяется на случаи подбора кандидатов на работу (соискателей).
- Для целей ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах. Например, для составления и предоставления форм ПУ-1, ПУ-2, ПУ-3 для целей государственного социального страхования (абзац 7 статьи 6 Закона о защите персональных данных).
- При получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных. Обработка допустима в целях совершения действий, установленных этим договором (абзац 15 статьи 6 Закона о защите персональных данных). Это касается как стадии исполнения договора, так и преддоговорных отношений.
- При обработке персональных данных, указанных в документе, адресованном оператору и подписанном субъектом персональных данных. Обработка осуществляется в соответствии с содержанием такого документа (абзац 16 статьи 6 Закона о защите персональных данных). Например, если гражданин сообщает о себе персональные данные в собственноручно подписанном заявлении или жалобе.
- В случаях, когда обработка персональных данных является необходимой для выполнения предусмотренных законодательными актами обязанностей (полномочий). Это широкая категория, охватывающая случаи, когда обязанность обработки данных установлена Конституцией, законами, декретами и указами Президента (абзац 20 статьи 6 Закона о защите персональных данных). Например, ведение воинского учета организацией в соответствии с Законом о воинской обязанности и воинской службе.
Малоизвестный, но важный факт: получение согласия субъекта персональных данных в случаях, когда оно не требуется Законом, является избыточной обработкой и противоречит общим требованиям статьи 4 Закона о защите персональных данных. Это может повлечь административную ответственность. Организациям рекомендуется сначала определить все цели обработки персональных данных, а затем для каждой цели найти правовое основание для работы с данными без согласия. Только в тех случаях, когда такое основание отсутствует, следует получать согласие субъекта, причем на конкретные цели, а не «на все сразу».
Таким образом, тщательный анализ каждой ситуации и наличие четкого понимания правовых оснований для обработки данных позволяют избежать ненужного получения согласия и, как следствие, избыточной обработки.
Какие типичные ошибки допускаются при получении согласия в письменной форме (при личном общении)?
Получение согласия на обработку персональных данных в письменной форме, особенно при личном общении с субъектом, остается распространенной практикой. Однако и здесь организации часто допускают ошибки, которые могут привести к недействительности такого согласия и нарушению законодательства.
1. Отсутствие отдельного документа о согласии. Распространенная ошибка заключается во включении согласия на обработку персональных данных в состав других документов, например, в договор об оказании медицинских услуг, приложение к нему, или медицинскую карту. Закон о защите персональных данных (пункт 2 статьи 5) прямо указывает, что согласие в письменной форме оформляется только в виде отдельного документа. Это обеспечивает четкое выделение волеизъявления субъекта именно по вопросу обработки его данных и позволяет избежать смешения с другими договорными отношениями. Например, частная стоматология, размещающая отзывы довольных пациентов в социальных сетях, должна получить отдельное письменное согласие на такие действия, поскольку это выходит за рамки медицинских услуг.
2. Неполнота или некорректность предоставляемой информации. До получения письменного согласия оператор обязан предоставить субъекту всю необходимую информацию, предусмотренную частью 1 пункта 5 статьи 5 Закона о защите персональных данных. Это включает сведения об операторе, целях обработки персональных данных, перечне персональных данных, действиях с ними, сроке, на который дается согласие, и уполномоченных лицах. Типичные ошибки включают отсутствие указания на срок согласия, неполный перечень обрабатываемых данных или уполномоченных лиц, которым данные могут быть переданы.
3. Неразъяснение прав и последствий. Оператор обязан отдельно от иной предоставляемой информации разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных (статьи 10-13, 15 Закона о защите персональных данных), механизм их реализации, а также последствия дачи согласия или отказа в даче такого согласия (часть 2 пункта 5 статьи 5 Закона о защите персональных данных). На практике эти разъяснения часто даются формально или не в полном объеме, что подрывает принцип информированного согласия. Субъект должен четко понимать, куда он может обратиться с заявлением об отзыве согласия, с жалобой, и какие действия будут совершаться с его данными. Он также должен понимать, что отказ в даче согласия не должен лишать его услуги или покупки, которую он хотел бы получить.
4. Хранение согласий в ненадлежащем месте. Согласия на обработку персональных данных не следует хранить в личном деле работников, вместе с запросом или договором. Это связано с тем, что согласия имеют разные сроки хранения и подлежат уничтожению по истечении определенного времени (например, 1 год после окончания срока действия согласия). НЦЗПД рекомендует вести учет всех согласий и хранить их отдельно, что облегчает контроль за сроками хранения и уничтожением данных. Нарушение порядка хранения может стать основанием для административной ответственности (пункт 10 части 1 статьи 47 ТК).
Устранение этих ошибок требует тщательной проработки шаблонов документов, обучения персонала, ответственного за работу с персональными данными, и внедрения четких внутренних регламентов.
В чем особенности получения согласия в электронной форме на сайте организации?
Получение согласия на обработку персональных данных в электронной форме, особенно на сайте организации, является повсеместной практикой в эпоху цифровизации. Это удобно и оперативно, однако сопряжено со своими специфическими рисками и ошибками, которые могут подорвать законность такого согласия.
1. Недостаточность одной лишь «галочки». По общему правилу, согласие в электронной форме может быть получено посредством проставления субъектом «галочки» в соответствующем чекбоксе на сайте оператора (абзац 3 пункта 3 статьи 5 Закона о защите персональных данных). Однако этого недостаточно для установления факта дачи согласия конкретным субъектом персональных данных. Информационный ресурс должен фиксировать сведения о том, кто именно поставил «галочку» (например, фамилия, имя, номер телефона субъекта, информация из его регистрационной формы, IP-адрес, дата и время). Без такой фиксации оператору будет крайне сложно доказать законность получения согласия (пункт 7 статьи 5 Закона о защите персональных данных).
2. Неполное или неясное информирование до получения согласия. До того, как субъект поставит «галочку», оператор обязан предоставить ему всю информацию, предусмотренную частью 1 пункта 5 статьи 5 Закона о защите персональных данных (об операторе, целях, перечне данных, действиях, сроке согласия, уполномоченных лицах). Эта информация должна быть легкодоступна и понятна, например, в виде ссылки на Политику конфиденциальности или отдельный всплывающий блок с кратким, но емким содержанием. Если пользователь вынужден искать информацию в глубине сайта, это нарушает принцип информированного согласия.
3. Отсутствие разъяснения прав и последствий в электронной форме. Оператор обязан разъяснить субъекту персональных данных его права и механизм их реализации, а также последствия дачи согласия или отказа в даче такого согласия. Эта информация также должна быть предоставлена субъекту персональных данных в электронной форме, то есть в той же форме, в которой дается согласие (часть 2 пункта 5 статьи 5 Закона о защите персональных данных). Если эти разъяснения отсутствуют или даются в неочевидном виде, согласие может быть признано недействительным. Субъект должен ясно понимать, что отказ в даче согласия на обработку его персональных данных не должен лишать его возможности получить услугу или совершить покупку, которую он хотел бы.
4. Отсутствие порядка работы с электронными формами согласий. Оператор должен установить порядок работы с электронными формами согласий и их хранения. Должна быть предусмотрена возможность извлечения из информационного ресурса сведений о согласии: когда оно было получено, кто его давал, и т.д. Отзыв согласия, данного в электронной форме, также должен быть предусмотрен и реализован (пункт 1 статьи 10 Закона о защите персональных данных).
Устранение этих ошибок требует не только юридической проработки, но и технической реализации, а также постоянного мониторинга и актуализации функционала сайта.
Какие риски и ответственность возникают при ошибочном получении согласия?
Ошибки при получении согласия на обработку персональных данных влекут за собой серьезные юридические риски и различные виды ответственности для оператора и его должностных лиц. Эти последствия могут быть значительными и нанести ущерб как финансовому положению организации, так и ее репутации.
1. Административная ответственность. Кодекс Республики Беларусь об административных правонарушениях (КоАП РБ) предусматривает ответственность за нарушение законодательства о защите персональных данных. В частности, за умышленные незаконные сбор, обработку, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, предусмотрен штраф в размере до 50 базовых величин. Для лица, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, штраф может составлять до 100 базовых величин (часть 2 статьи 23.7 КоАП РБ). Получение избыточного согласия, то есть согласия, когда оно не требуется, также является незаконным и может повлечь административную ответственность.
2. Уголовная ответственность. За более серьезные нарушения предусмотрена уголовная ответственность. Например, статья 203-1 Уголовного кодекса Республики Беларусь устанавливает ответственность за умышленный незаконный сбор, обработку, хранение или предоставление персональных данных. Статья 203-2 УК предусматривает ответственность за нарушение правил защиты персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий. Санкции по данным статьям могут включать штрафы, лишение права занимать определенные должности, исправительные работы, арест, ограничение свободы и даже лишение свободы. Например, блогер был привлечен к уголовной ответственности по части 2 статьи 203-1 УК за незаконное распространение фотографий работников торговых сетей, что было признано существенным вредом для субъектов персональных данных.
3. Гражданско-правовая ответственность. Субъект персональных данных, чьи права были нарушены, вправе требовать возмещения причиненного ему имущественного и морального вреда (пункт 2 статьи 19 Закона о защите персональных данных). Моральный вред, причиненный вследствие нарушения прав, подлежит возмещению. Это означает, что организация может быть обязана выплатить компенсацию за физические и нравственные страдания, причиненные неправомерной обработкой данных.
4. Репутационные риски. Помимо юридических и финансовых последствий, нарушения в сфере персональных данных могут нанести непоправимый ущерб деловой репутации организации. Утечки данных, скандалы, связанные с неправомерным использованием информации, или публичные разбирательства с НЦЗПД могут привести к потере доверия клиентов и партнеров, оттоку кадров и снижению конкурентоспособности на рынке.
Важно помнить, что для привлечения к административной ответственности по статье 23.7 КоАП заявления потерпевшего не требуется, что означает проактивную позицию НЦЗПД в выявлении и пресечении нарушений. Таким образом, правильное получение согласия — это не просто формальность, а критически важный элемент системы управления рисками организации.
Малоизвестный, но важный факт: «Согласие на все цели сразу» — путь к нарушению!
В стремлении упростить процесс получения согласия на обработку персональных данных, многие организации допускают распространенную, но серьезную ошибку: они пытаются получить от субъекта данных единое согласие «на все возможные действия со всеми возможными персональными данными» или «на все цели сразу». Это является грубым нарушением Закона о защите персональных данных, который требует, чтобы согласие было конкретным и информированным.
Избыточное согласие – это согласие на обработку персональных данных, которое охватывает слишком широкий перечень целей или категорий данных, не соответствующих принципам целевого использования и минимизации, и не является конкретным и информированным.
Малоизвестный, но важный факт: НЦЗПД однозначно указывает, что «недопустимо давать согласие на все цели сразу (без конкретики, без оснований). Такие согласия будут незаконными, а их наличие — нарушением положений Закона № 99-З. Необходимо придерживаться принципа "одна цель — одно согласие"». Это означает, что для каждой конкретной цели обработки (например, для рассылки рекламных сообщений, для анализа потребительского поведения, для предоставления данных третьим лицам) должно быть получено отдельное, четко сформулированное согласие. Если организация хочет использовать данные для нескольких различных целей, она должна получить несколько отдельных согласий, каждое из которых будет привязано к своей конкретной цели. Наличие «избыточного согласия» является незаконным и может повлечь административную ответственность лица, его получившего (часть 2 статьи 23.7 КоАП).
Этот нюанс часто упускается из виду, поскольку на первый взгляд кажется удобным для бизнеса. Однако такой подход противоречит фундаментальным принципам Закона о защите персональных данных, таким как принцип целевого использования и принцип минимизации данных. Поэтому операторам следует пересмотреть свои формы согласия и обеспечить их соответствие принципу «одна цель — одно согласие», что позволит избежать серьезных нарушений и обеспечит законность всех процессов обработки персональных данных.
Заключение: почему правильное согласие — залог долгосрочных и доверительных отношений?
В современном правовом поле Республики Беларусь, где защита персональных данных является приоритетом, надлежащее получение согласия субъекта на обработку персональных данных перестало быть простой формальностью. Это ключевой элемент, определяющий законность всех последующих действий с информацией о физическом лице и формирующий фундамент доверительных отношений. Как показал наш детальный анализ, ошибки при получении согласия субъекта на обработку персональных данных – будь то в письменной форме при личном общении или в электронной форме на сайте организации – могут привести к серьезным административным и даже уголовным последствиям, а также нанести непоправимый ущерб деловой репутации.
Понимание того, когда согласие действительно необходимо, а когда обработка может осуществляться на иных законных основаниях, является критически важным. Принцип «одна цель – одно согласие» и требование информированности субъекта данных о всех аспектах обработки, включая последствия его выбора, должны стать неотъемлемой частью каждого процесса. Правильная фиксация факта получения согласия и надлежащее хранение этих данных – это не просто юридическая обязанность, а надежная защита оператора в случае возникновения спорных ситуаций.
