Типичные ошибки при получении согласия на обработку персональных данных

Ошибки при формулировании текстов согласия на обработку персональных данных и получении согласия встречаются достаточно часто и создают для организации и ее работников угрозу негативных правовых последствий.

Распространенные ошибки в текстах согласий

Анализ текстов согласий на обработку персональных данных позволил выделить следующие типичные ошибки:

1) получение согласия на достижение тех целей обработки персональных данных, на которые согласие не требовалось (когда имелись иные правовые основания обработки без согласия);

2) формулирование неопределенных целей обработки, не соответствующих критерию конкретности;

3) открытый, а не исчерпывающий (определенный) перечень целей;

4) получение одного согласия на разные не связанные между собой цели;

5) получение одного согласия на все возможные действия с персональными данными без привязки к конкретной цели;

6) излишний перечень действий, на совершение которых получается согласие (что является в т. ч. следствием предыдущего нарушения);

7) не определяется перечень обрабатываемых персональных данных применительно к каждой цели обработки;

8) избыточный объем (перечень) персональных данных по отношению к заявленным целям их обработки (как следствие предыдущего нарушения);

9) ошибочное отнесение к биометрическим персональным данным любого изображения человека;

10) неправильное определение (или даже отсутствие) срока, на который получается согласие, и др.

Получение согласия в случае, когда это не требуется

Приведем пример такой ошибки: в согласии, которое получала организация, были определены цели обработки персональных данных, которые предусмотрены законодательными актами. Другие цели в согласии не названы. Но на обработку персональных данных в этих целях согласие получать не нужно. Названные цели — это обязанности организации, предусмотренные законодательными актами.

Справочно: в приведенном примере обработка персональных данных осуществляется без согласия — на основании абз. 20 ст. 6 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон): «обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами».

Еще пример распространенной ошибки — получение согласия в целях:

• «совершения действий, необходимых для заключения и исполнения договора, заключаемого (заключенного) с оператором, либо в связи с этим договором»;
• «использования персональных данных в процессе деловой переписки в рамках исполнения договорных отношений».

Но обработка персональных данных для реализации этих целей осуществляется без согласия субъекта по основанию, предусмотренному абз. 15 ст. 6 Закона: «при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором».

Некорректная формулировка целей обработки ПД

В постатейном комментарии к Закону (далее — комментарий к Закону), размещенном на сайте Национального центра защиты персональных данных cpd.by, указано: «Цели должны носить конкретный характер, что позволяет определить перечень персональных данных, достаточный для их достижения. В связи с этим указание абстрактных, чрезмерно укрупненных целей, не дающих возможности уяснить механизм обработки персональных данных, будет препятствовать признанию согласия информированным (например, улучшение деятельности организации, реализация законных прав оператора, реализация устава и др.)».

Это важно
Цели обработки персональных данных должны быть четко определенными (их перечень не должен быть открытым), чтобы позволять субъекту понять, в каких пределах и для чего именно его персональные данные будут обрабатываться.

В комментарии к Закону обращается внимание на следующее: «Не допускается получать общее согласие на достижение всех целей. Если оператор заинтересован в получении согласия на несколько самостоятельных целей обработки, то он может сделать это в одном документе, но обязан получать отдельное согласие на каждую цель (например, на передачу персональных данных конкретной организации, на получение рекламной рассылки). При этом субъекту должна быть предоставлена возможность согласиться с одной целью и не соглашаться с другой (другими)».

Пример

Нарушения конкретности формулирования целей:
• «осуществление функций, полномочий и обязанностей, возложенных на организацию в соответствии с законодательством, решениями уполномоченного органа, уставом»;
• «осуществление иных прав и обязанностей организации, предусмотренных уставом, коллективным договором и иными локальными правовыми актами организации, либо достижение общественно значимых целей»;
• «иные цели, не противоречащие законодательству».

Избыточное указание действий с ПД

Часто встречающимся нарушением является избыточное указание в тексте согласия действий, в совершении которых нет необходимости для достижения конкретной цели.

Справочно: как правило, это предоставление и распространение персональных данных. Причем «распространение» встречается и в текстах согласий на обработку специальных персональных данных о привлечении к ответственности, что недопустимо.

Причина нарушения — получение одного согласия на все возможные действия с персональными данными и механическое копирование определения понятия «обработка персональных данных» из ст. 1 Закона без определения исчерпывающего перечня действий для достижения конкретной цели обработки.

Нередко встречается неконкретное определение лиц, которым будут в соответствии с согласием предоставляться персональные данные. Например, «третьим лицам», «лицам, с которыми оператор состоит в договорных отношениях». Это не позволяет субъекту понять, к кому еще попадут его персональные данные на основании подписанного им согласия и как они будут использоваться.

Справочно: недопустимо получать согласие на обработку всех специальных персональных данных, когда путем копирования из ст. 1 Закона в текст согласия переносится определение этого понятия, включая персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья, половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.

Что касается объема обрабатываемых персональных данных, то в комментарии к Закону сказано: «Указываются конкретные персональные данные, которые необходимы и достаточны для реализации цели обработки персональных данных. Оператору следует по возможности минимизировать объем персональных данных, руководствуясь принципом недопущения избыточности обработки».

Это важно
Недопустимо указание персональных данных «с запасом».

Излишним является получение согласия на обработку, например, паспортных данных, идентификационного номера субъекта, когда в этом нет необходимости. Нельзя указывать в согласии открытый перечень персональных данных. Все это вызывает обоснованные вопросы у субъектов и приводит к конфликтам.

Типичные нарушения при определении срока, на который дается согласие

Обычная ошибка: «Настоящее согласие действует до момента отзыва согласия, если иное не предусмотрено законодательством». Встречается и такое: «Я ознакомлен с тем, что согласие действует с даты подписания до достижения целей обработки персональных данных» (при этом в тексте не указано, на какой срок дается согласие). Такие формулировки не соответствуют требованию прозрачности обработки персональных данных.

Это важно
Срок, на который дается согласие, должен быть конкретным, определять временные пределы обработки персональных данных.

Срок согласия может быть определен:

• датой (например, «до 31 декабря 2024 г.»);
• периодом («на срок три года»);
• критерием, используемым для определения такого срока («до прекращения трудовых отношений, обучения»).

Обеспечение информированного согласия

Типичным является нарушение требования об информированном согласии. Нередко субъекту просто предлагается подписать согласие, и какая-либо информация перед этим ему вообще не предоставляется, а если и предоставляется, то субъект информируется только о своих правах.

В п. 6 ст. 4 Закона указано: «Обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных настоящим Законом, предоставляется соответствующая информация, касающаяся обработки его персональных данных».

Что должен предоставить оператор

В п. 5 ст. 5 Закона определен перечень информации, которая должна быть предоставлена оператором субъекту до получения его согласия на обработку персональных данных:

• наименование и место нахождения оператора, получающего согласие;
• цели обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• срок, на который дается согласие;
• сведения об уполномоченных лицах, если обработка персональных данных будет осуществляться такими лицами;
• перечень действий с персональными данными, на совершение которых дается согласие субъекта;
• общее описание используемых оператором способов обработки персональных данных;
• иная информация, необходимая для обеспечения прозрачности процесса обработки персональных данных.

Что нужно разъяснить субъекту

До получения согласия оператор обязан простым и ясным языком разъяснить субъекту:

• его права, связанные с обработкой персональных данных;
• механизм реализации таких прав;
• последствия дачи согласия;
• последствия отказа в даче такого согласия.

Рекомендации

Анализ типичных ошибок при получении согласия на обработку персональных данных показывает, что их причиной является недостаточное изучение ответственными лицами положений Закона.

Для того чтобы избежать ошибок, рекомендуется:

1. внимательно изучить положения Закона, касающиеся получения согласия на обработку персональных данных;
2. разработать на основании положений Закона локальный алгоритм получения согласия на обработку персональных данных работников и строго его придерживаться;
3. следить за изменениями законодательства в сфере персональных данных и свое­временно приводить локальные правовые акты в соответствие с принятыми изменениями.