Типичные ошибки при получении согласия на обработку персональных данных

Распространенные ошибки в текстах согласий

Анализ текстов согласий на обработку персональных данных позволил обобщить и выделить следующие типичные ошибки:

1. получение согласия на достижение тех целей обработки персональных данных, на которые согласие не требовалось (когда имелись иные правовые основания обработки без согласия);
2. формулирование неопределенных целей обработки, не соответствующих критерию конкретности;
3. открытый, а не исчерпывающий (определенный) перечень целей;
4. получение одного согласия на все возможные действия с персональными данными без привязки к конкретной цели;
5. получение одного согласия на разные не связанные между собой цели;
6. излишний перечень действий, на совершение которых получается согласие (что является в т. ч. следствием предыдущего нарушения);
7. не определяется перечень обрабатываемых персональных данных применительно к каждой цели обработки;
8. избыточный объем (перечень) персональных данных по отношению к заявленным целям их обработки (как следствие предыдущего нарушения);
9. ошибочное отнесение к биометрическим персональным данным любого изображения человека;
10. неправильное определение (или даже отсутствие) срока, на который получается согласие, и др.

Получение согласия в случае, когда оно не требуется

Приведем пример такой ошибки: в согласии, которое получало учреждение, были определены цели обработки персональных данных, которые предусмотрены законодательными актами. Другие цели в согласии не названы. Но на обработку персональных данных в этих целях согласие получать не нужно, данные цели — это обязанности учреждения, предусмотренные законодательными актами. Обработка персональных данных в этом случае осуществляется без согласия — на основании абз. 20 ст. 6 Закона: «обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами».

Еще примеры распространенных ошибок: согласие получается в целях «совершения действий, необходимых для заключения и исполнения договора, заключаемого (заключенного) с оператором, либо в связи с этим договором»; «использования персональных данных в процессе деловой переписки в рамках исполнения договорных отношений».

Обработка персональных данных для реализации этих целей осуществляется без согласия субъекта — по основанию, предусмотренному абз. 15 ст. 6 Закона: «при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором».

Некорректная формулировка целей обработки персональных данных

В постатейном комментарии к Закону (далее — комментарий к Закону), размещенном на сайте Национального центра защиты персональных данных cpd.by, указано: «Цели должны носить конкретный характер, что позволяет определить перечень персональных данных, достаточный для их достижения. В связи с этим указание абстрактных, чрезмерно укрупненных целей, не дающих возможности уяснить механизм обработки персональных данных, будет препятствовать признанию согласия информированным (например, улучшение деятельности учреждения, реализация законных прав оператора, реализация устава и др.)».

Цели обработки персональных данных должны быть четко определенными (их перечень не должен быть открытым), чтобы позволять субъекту понять, в каких пределах и для чего именно его персональные данные будут обрабатываться.

В комментарии к Закону обращается внимание на следующее: «Не допускается получать общее согласие на достижение всех целей. Если оператор заинтересован в получении согласия на несколько самостоятельных целей обработки, то он может сделать это в одном документе, но обязан получать отдельное согласие на каждую цель (например, на передачу персональных данных конкретного учреждения, на получение рекламной рассылки). При этом субъекту должна быть предоставлена возможность согласиться с одной целью и не соглашаться с другой (другими)».

Примеры нарушения конкретности формулирования целей:

• «осуществление функций, полномочий и обязанностей, возложенных на учреждение в соответствии с законодательством, решениями уполномоченного органа, уставом»;
• «осуществление иных прав и обязанностей учреждения, предусмотренных уставом, коллективным договором и иными локальными правовыми актами учреждения, либо достижение общественно значимых целей»;
• «иные цели, не противоречащие законодательству».

Избыточное указание в согласии действий с персональными данными

Часто встречающимся нарушением является избыточное указание в тексте согласия действий, в совершении которых для достижения конкретной цели нет необходимости. 

Как правило, это предоставление и распространение персональных данных. Причем «распространение» встречается и в текстах согласий на обработку специальных персональных данных о привлечении к ответственности, что недопустимо.

Причина нарушения — получение одного согласия на все возможные действия с персональными данными и механическое копирование определения понятия «обработка персональных данных» из ст. 1 Закона без определения исчерпывающего перечня действий для достижения конкретной цели обработки.

Нередко встречается неконкретное определение лиц, которым будут в соответствии с согласием предоставляться персональные данные. Например, «третьим лицам», «партнерам банка», «лицам, с которыми оператор состоит в договорных отношениях». Это не позволяет субъекту понять, к кому еще попадут его персональные данные на основании подписанного им согласия и как они будут использоваться.

Справочно: недопустимо получать согласие на обработку всех специальных персональных данных, когда путем копирования из ст. 1 Закона в текст согласия переносится определение этого понятия, включая персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья, половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.

Что касается объема обрабатываемых персональных данных, то в комментарии к Закону сказано: «Указываются конкретные персональные данные, которые необходимы и достаточны для реализации цели обработки персональных данных. Недопустимо указание персональных данных "с запасом". Оператору следует по возможности минимизировать объем персональных данных, руководствуясь принципом недопущения избыточности обработки».

Излишним является получение согласия на обработку, например, паспортных данных, идентификационного номера субъекта, когда в этом нет необходимости. Нельзя указывать в согласии открытый перечень персональных данных. Все это вызывает обоснованные вопросы у субъектов и приводит к конфликтам.

Типичные нарушения при определении срока, на который дается согласие

Обычная ошибка: «Настоящее согласие действует до момента отзыва согласия, если иное не предусмотрено законодательством». Встречается и такое: «Я ознакомлен с тем, что согласие действует с даты подписания до достижения целей обработки персональных данных» (при этом в тексте не указано, на какой срок дается согласие). Такие формулировки не соответствуют требованию прозрачности обработки персональных данных. Срок, на который дается согласие, должен быть конкретным, определять временны́е пределы обработки персональных данных.

Срок согласия может быть определен:

• датой (например, «до 31 декабря 2024 г.»);
• периодом («на срок три года»);
• критерием, используемым для определения такого срока («до прекращения трудовых отношений, обучения»).

Обеспечение информированного согласия

Типичным является нарушение требования об информированном согласии. Нередко субъекту просто предлагается подписать согласие, и какая-либо информация перед этим ему вообще не предоставляется, а если и предоставляется, то субъект информируется только о своих правах.

В п. 6 ст. 4 Закона указано: «Обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных настоящим Законом, предоставляется соответствующая информация, касающаяся обработки его персональных данных».

В п. 5 ст. 5 Закона определен перечень информации, которая должна быть предоставлена оператором субъекту до получения его согласия на обработку персональных данных:

• наименование и место нахождения оператора, получающего согласие;
• цели обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• срок, на который дается согласие;
• сведения об уполномоченных лицах, если обработка персональных данных будет осуществляться такими лицами;
• перечень действий с персональными данными, на совершение которых дается согласие субъекта;
• общее описание используемых оператором способов обработки персональных данных;
• иная информация, необходимая для обес­печения прозрачности процесса обработки персональных данных.

До получения согласия оператор обязан простым и ясным языком разъяснить субъекту:

• его права, связанные с обработкой персональных данных;
• механизм реализации таких прав;
• последствия дачи согласия;
• последствия отказа в даче такого согласия.

Рекомендации

Анализ типичных ошибок при получении согласия на обработку персональных данных показывает, что их причиной является недостаточное изучение ответственными лицами положений Закона.

Для того чтобы избежать ошибок, рекомендуется:

1. внимательно изучить положения Закона, касающиеся получения согласия на обработку персональных данных;
2. разработать на основании положений Закона локальный алгоритм получения согласия на обработку персональных данных работников и строго его придерживаться;
3. следить за изменениями законодательства в сфере персональных данных и своевременно приводить локальные документы в соответствие с принятыми изменениями.