Как оформить согласие на распространение персональных данных

09.03.2023 11:41

Операторы, которые планируют размещать персональные данные субъектов в интернете, сначала должны получить их согласие на это. О том, как составить такое согласие, рассказываем в статье.

Оператор распространяет персональные данные, когда раскрывает их неопределенному кругу лиц — например, публикует сведения о субъекте на своем официальном сайте. В такой ситуации оформляют согласие на обработку персональных данных, разрешенных для распространения.

Согласие на распространение персданных необходимо оформлять отдельно от других согласий (ч. 1 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон № 152-ФЗ). Это требование связано с самим характером действия: распространение предполагает фактически неограниченный доступ к персональным данным неопределенного круга лиц. Поскольку последствия распространения персональных данных сложно контролировать, Закон № 152-ФЗ установил два правила доказывания. Согласно правилам, не только оператор, но и каждое лицо, которое распространило или другим способом обработало персональные данные, доказывает законность своих действий, если:

  • субъект не предоставил согласие оператору и самостоятельно раскрыл свои персональные данные неопределенному кругу лиц (ч. 2 ст. 10.1 Закона № 152-ФЗ);
  • персональные данные оказались раскрытыми неопределенному кругу лиц из-за правонарушения, преступления или обстоятельств непреодолимой силы (ч. 3 ст. 10.1 Закона № 152-ФЗ).

Если не представить нужные доказательства, виновное лицо могут привлечь к ответственности.

Каким критериям должно соответствовать согласие

Согласие на распространение персональных данных должно отвечать общим критериям, то есть быть конкретным, информированным, предметным, однозначным, сознательным и свободным (ч. 1 ст. 9 Закона № 152-ФЗ).

Эти критерии детализируют ч. 4 и 8 ст. 10.1 Закона № 152-ФЗ. В них установлены две презумпции:

  • оператор обрабатывает персданные, но не вправе распространять их, если из согласия не следует, что субъект согласился на распространение;
  • молчание или бездействие не считается согласием субъекта на распространение его персональных данных.

Фактически речь идет о четком соблюдении условий и конкретности согласия. Оно соответствует закону только в том случае, когда можно установить явное намерение субъекта на распространение его персональных данных.

Куда и как подать согласие

Исходя из толкования ст. 8, ч. 9 ст. 9 и ст. 10.1 Закона № 152-ФЗ, согласие на распространение персональных данных субъект дает в письменном виде одним из двух способов (ч. 6 ст. 10.1 Закона № 152-ФЗ):

1.  Непосредственно оператору. В таком случае используют форму согласия, которую оператор разработал самостоятельно с учетом требований законодательства о персональных данных.

Роскомнадзор разработал для операторов сервис, который позволяет им автоматически сформировать бланк согласия на распространение персданных. Если оператор корректно заполнит эту форму, то она будет учитывать специфику его деятельности. При желании оператор вправе направить форму в Роскомнадзор, чтобы последний дополнительно проверил ее и рекомендовал, как улучшить.

2.  С использованием информационной системы Роскомнадзора. Как это сделать, читайте в правилах, утвержденных Приказом Роскомнадзора от 21.06.2021 № 106.

Содержание согласия

Требования к содержанию согласия на распространение персданных утвердил Приказ Роскомнадзора от 24.02.2021 № 18. Оператор не вправе произвольно его менять.

В согласие должны быть включены следующие сведения:

1)   ФИО субъекта.

2)   Контактная информация — номер телефона, e-mail или почтовый адрес.

3)   Сведения об операторе:

для юрлица — наименование, адрес из ЕГРЮЛ, ИНН, ОГРН — если субъект его знает);

  • для физлица — ФИО, место жительства или пребывания;
  • для ИП — ФИО, ИНН, ОГРН — если субъект его знает).

4)  Сведения об информационных ресурсах оператора, через которые он планирует предоставлять доступ к персональным данным неограниченному кругу лиц и совершать иные действия с персданными субъекта:

  • адрес информационного ресурса — наименование протокола (http или https), сервер (www), домен, имя каталога на сервере;
  • имя файла веб-страницы.

5)    Цель обработки персональных данных.

6)    Категории и перечень персональных данных, на обработку которых дается согласие субъекта:

  • персональные данные — ФИО, дата и место рождения, адрес, семейное положение, образование, профессия, доходы и т. д.;
  • специальные категории персональных данных — расовая и национальная принадлежности, политические взгляды, состояние здоровья, сведения о судимости и т. д.;
  • биометрические персональные данные — фотографии, видео- и аудиозаписи и т. д.

7)    Срок действия согласия.

Субъект вправе дополнительно указать в согласии:

  • категории и перечень персданных, для обработки которых он устанавливает условия и запреты;
  • перечень устанавливаемых условий и запретов;
  • условия, при которых полученные персданные могут передаваться оператором только по его внутренней сети с доступом для строго определенных сотрудников, либо при помощи информационно-телекоммуникационных сетей, либо без передачи полученных персданных.

Какие условия и запреты субъект вправе установить

В согласии субъект может установить:

  • запрет на передачу (кроме предоставления доступа) персональных данных неограниченному кругу лиц;
  • запрет на обработку (кроме получения доступа) персональных данных неограниченным кругом лиц;
  • условия обработки (кроме получения доступа) сведений неограниченным кругом лиц (ч. 9 ст. 10.1 Закона № 152-ФЗ). В таком случае субъект запрещает отдельные действия по обработке — например, хранение или запись.

Если субъект не установил запреты и условия, об этом необходимо сделать отметку в согласии.

Оператор обязан обрабатывать персональные данные без передачи и возможности осуществления иных действий неограниченному кругу лиц:

  • если из согласия не следует, что субъект не установил запреты и условия на обработку персональных данных;
  • в согласии не указаны категории и перечень персональных данных, для обработки которых субъект устанавливает условия и запреты (ч. 5 ст. 10.1 Закона № 152-ФЗ).

Условия и запреты не распространяются на случаи, когда персональные данные обрабатывают в государственных, общественных и иных публичных интересах (ч. 11 ст. 10.1 Закона № 152-ФЗ).

Оператор обязан опубликовать информацию об условиях обработки, а также о запретах и условиях на обработку неограниченным кругом лиц в течение трех рабочих дней с момента получения согласия субъекта (ч. 10 ст. 10.1 Закона № 152-ФЗ). Это необходимо для уведомления третьих лиц об установленных условиях и запретах. При этом место для публикации закон не определил. Оператор вправе публиковать информацию там же, где и персональные данные, чтобы эти сведения точно заметили заинтересованные лица.

В каких случаях оператор обязан прекратить распространение персданных

В любой момент субъект вправе потребовать прекратить передачу у любого лица, которое обрабатывает его персональные данные (ч. 14 ст. 10.1 Закона № 152-ФЗ). Согласие на распространение его персональных данных перестает действовать с момента, когда этому лицу поступило такое требование (ч. 13 ст. 10.1 Закона № 152-ФЗ).

В требовании указывают следующие сведения (ч. 12 ст. 10.1 Закона № 152-ФЗ):

  • ФИО субъекта;
  • его контактную информацию — номер телефона, адрес электронной почты или почтовый адрес;
  • перечень персональных данных, обработку которых необходимо прекратить.

Лицо, которое обрабатывает персональные данные субъекта, прекращает их передачу в течение трех рабочих дней с момента получения требования (ч. 14 ст. 10.1 Закона № 152-ФЗ).

Для защиты своих интересов субъект вправе обратиться с аналогичным требованием в суд (ч. 14 ст. 10.1 Закона № 152-ФЗ). При этом лицо, которое обрабатывает персональные данные, обязано прекратить передачу в срок, указанный во вступившем в законную силу решении суда, либо в течение трех рабочих дней с момента вступления решения в силу.

Чем отличаются персданные, разрешенные для распространения, от персданных из общедоступных источников

Персональные данные, включенные в общедоступные источники, и персданные, разрешенные для распространения — это разные понятия. Но правовой режим обработки последних охватывает случаи размещения персональных данных в общедоступных источниках.

Последствие распространения персданных, как и размещения их в общедоступных источниках, — доступ к ним неограниченного круга лиц. Несмотря на это, Закон № 152-ФЗ выделяет включение персональных данных в общедоступные источники в качестве самостоятельного правового режима их обработки.

Что относится к общедоступным источникам

Общедоступные источники

Источники, которые не являются общедоступными (открытые источники)

Справочники, адресные книги (ст. 8 Закона № 152-ФЗ)

Социальные сети и интернет-порталы с объявлениями (Определение ВС РФ от 29.01.2018 № 305-КГ17-21291 по делу № А40-5250/2017)

Сайт саморегулируемой организации арбитражных управляющих (письмо Минэкономразвития РФ от 23.11.2010 № Д06-4282)

Сайты органов власти, политических партий (апелляционное определение Тверского областного суда от 20.11.2018 по делу № 33-4669/2018)

Реестр договоров, которые заключили заказчики по результатам закупки (письмо Минфина РФ от 20.03.2015 № 02-02-09/15487)

ЕГРЮЛ (постановления Президиума Нижегородского областного суда от 06.07.2016 по делу № 44г-49/2016, АС Уральского округа от 02.08.2018 по делу № А07-29011/2017)

Доска почета, информационный стенд

  

Если субъект разместил свои персональные данные в открытых источниках, а оператор обрабатывает их, чтобы привлечь субъекта в качестве клиента, то он в любом случае должен получить согласие на обработку его персональных данных (постановление АС Московского округа от 09.11.2017 № Ф05-16382/2017 по делу № А40-5250/2017).

Как обрабатывать персданные из общедоступных источников

Оператор вправе включить какие-либо сведения в общедоступные источники только после того, как получил письменное согласие субъекта (ч. 1 ст. 8 Закона № 152-ФЗ). При этом форма согласия должна соответствовать ч. 4 ст. 9 Закона № 152-ФЗ.

Перечень сведений, который можно включить в общедоступные источники персональных данных, не ограничен (ч. 1 ст. 8 Закона № 152-ФЗ). Например, ним относятся:

  • ФИО;
  • дата и место рождения;
  • адрес;
  • сведения о профессии;
  • телефонный номер.

Оператор обязан исключить персональные данные из общедоступных источников по требованию субъекта или по решению суда либо иных уполномоченных органов (ч. 2 ст. 8 Закона № 152-ФЗ). При этом закон не оговаривает, в какой срок он должен это сделать. Можно предположить, что в такой ситуации оператор блокирует персональные данные незамедлительно с момента обращения субъекта (ч. 1 ст. 21 Закона № 152-ФЗ).