Согласие на обработку персональных данных: формы и особенности

О персональных данных. Цикл
1. Что такое персональные данные?
2. Согласие на обработку персональных данных: формы и особенности
3. Права человека в отношении своих персональных данных
4. Ответственность за распространение персональных данных
5. Генеалогические сервисы: что можно, а что нельзя?
6. Кому принадлежат данные на генеалогическом онлайн-сервисе?
7. Генеалогическое древо как объект авторского и смежного права

Согласие на обработку персональных данных играет ключевую роль в обеспечении прав субъектов данных и защите их конфиденциальной информации.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» предусматривает различные формы согласия и устанавливает правила его оформления, отзыва и использования.

Давайте узнаем, как правильно оформить согласие, какие формы допустимы и какие есть особенности распространения персональных данных.

Согласно статье 9 Закона о персональных данных согласие на обработку персональных данных должно быть:

• Добровольным – пользователь должен дать его осознанно, без принуждения.
• Конкретным – оно должно касаться строго определенной обработки.
• Предметным – пользователь должен понимать, какие данные он разрешает к обработке.
• Информированным – пользователь должен быть проинформирован о целях обработки, ее объеме и последствиях.
• Сознательным – пользователь должен понимать существо и последствия своих действий.
• Однозначным – текст согласия должен явно предусматривать согласие с обработкой данных, без каких-либо двусмысленностей или недомолвок.

В некоторых случаях согласие может быть дано в устной форме, например, при телефонном разговоре, если запись разговора фиксируется и сохраняется в качестве подтверждения. Однако такой способ менее надежен, поскольку сложнее доказать факт получения согласия в случае спора. Устное согласие чаще всего используется при получении данных для оказания разовых услуг (например, при консультациях по телефону) или при обработке минимального объема данных.

При построении генеалогического дерева на сайте можно как раз использовать устное согласие родственников и родных, такой формы будет достаточно для законного использования и публикации персональных данных.

Письменное согласие требуется в случаях, установленных законом, например, для обработки:

• Специальных категорий персональных данных (данных о здоровье или политических взглядах).
• Биометрических данных (отпечатков пальцев, рисунка роговицы глаза). Результаты ДНК-тестов и их расшифровка не являются биометрическими данными.

Документ должен содержать:

• Имя субъекта данных.
• Паспортные данные или иные идентифицирующие субъект сведения.
• Название и реквизиты оператора (организации, обрабатывающей данные).
• Перечень передаваемых данных.
• Цель обработки.
• Способы обработки.
• Срок действия согласия.
• Подпись субъекта данных.

При оформлении письменного согласия важно предусмотреть возможность его отзыва, а также включить в текст документы, разъясняющие, какие данные обрабатываются и для каких целей.

В практике часто используется форма согласия, выраженная путем совершения определенного действия, например:

• Установка «галочки» при регистрации на сайте.
• Продолжение использования сервиса после появления уведомления о политике конфиденциальности.
• Отправка данных через форму обратной связи.

Такое согласие считается действительным, если пользователь четко информирован о том, что его действие означает согласие с обработкой данных. Именно такой способ согласия используется на сайте Familio.org – при регистрации пользователь соглашается с обработкой его персональных данных с помощью галочки, до факта регистрации пользователь может прочитать Политику конфиденциальности и узнать все детали обработки персональных данных, которые применяются в Familio.org.

При оформлении согласия следует учитывать следующие рекомендации:

1. Четко указывать цель обработки: оператор должен конкретизировать, для чего собираются данные.
2. Приводить полный перечень обрабатываемых данных, это исключает двусмысленность.
3. Определять срок хранения данных: важно указывать, как долго данные будут использоваться.
4. Обеспечить возможность отзыва согласия, так как закон требует предусмотреть механизм отзыва.
5. Соответствовать принципу минимизации: оператор должен запрашивать только необходимые сведения.
6. Должным образом информировать субъекта. Важно, чтобы лицо понимало, на что оно соглашается, и могло легко ознакомиться с условиями обработки.
7. Фиксировать согласие. Важно хранить доказательства получения согласия, особенно при сборе данных онлайн.

Закон допускает получение согласия через цифровые каналы:

• Через соцсети — например, при нажатии галочки согласия с пользовательским соглашением или при отправке личных данных в чат-боте.
• По телефону — если запись разговора подтверждает, что субъект выразил согласие осознанно.
• Через мессенджеры — например, если пользователь отправляет текстовое подтверждение в ответ на запрос.
• Через электронную почту — если пользователь отправляет подписанный документ или подтверждает согласие ответным письмом.

Однако при дистанционном согласии важно, чтобы оставались доказательства добровольности и осознанности согласия.

Закон содержит прямой ответ на этот вопрос: в случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники. Подробнее о том, кто является наследником, можете прочитать в одной из следующих статей нашего цикла: «Права человека в отношении своих персональных данных». (Статья будет опубликована в ближайшие дни после выхода текущей публикации).

Кроме того, в судебной практике и разъяснениях Роскомнадзора закреплены принципы:

• Данные умершего могут обрабатываться только с согласия его наследников или законных представителей.
• Наследники вправе распоряжаться аккаунтами умершего на сайтах и в социальных сетях, если это предусмотрено завещанием.
• Некоторые данные (например, медицинская информация) защищены даже после смерти и могут быть переданы только при наличии законных оснований.

Согласно статье 9 Закона о персональных данных, субъект имеет право в любой момент отозвать свое согласие. Для этого необходимо:

1. Направить письменное заявление оператору.
2. Указать, какие данные больше не могут обрабатываться.
3. Дождаться подтверждения удаления данных (если обработка не ведется на иных законных основаниях).

При этом оператор в течение 30 дней обязан прекратить обработку, за исключением случаев, когда обработка необходима для выполнения обязательств по закону.

Важно учитывать, что отзыв согласия не всегда приводит к немедленному удалению данных, если существуют законные основания для их дальнейшего хранения.

Согласие на распространение персональных данных – это отдельный вид согласия на публикацию персональных данных для неограниченного доступа.

Такое согласие отличается от обычного:

• Дается отдельно от общего согласия на обработку персональных данных.
• Дается в явной форме отдельного документа, названного именно «Согласие».
• Субъект данных может установить ограничения на его использование, например, запрет на передачу третьим лицам.
• Может быть отозвано в любой момент.

Именно поэтому, для строгого соблюдения норм и требований закона, Familio.org оформляет согласие на распространение (то есть на открытое размещение данных на сайте) в виде отдельного документа.

Таким образом:

При регистрации на Familio.org пользователи дают согласие на обработку персональных данных в соответствии с Политикой обработки персональных данных (первая галочка) и – отдельно оформленное согласие в соответствии с требованиями закона (вторая галочка).

• Согласие на обработку персональных данных является важным инструментом защиты личных сведений.
• Оно может быть оформлено в письменной, устной или конклюдентной форме, а также получено через интернет, телефон или мессенджеры.
• Важно правильно формулировать согласие, предусматривать возможность его отзыва и учитывать особенности распространения данных.
• Компании, работающие с персональными данными, должны строго соблюдать требования закона, а пользователи — знать свои права и механизмы контроля над своими данными.
• Если вы строите генеалогическое дерево и указываете персональных данные своих родственников, спросите у них устно, не против ли они. Если кто-то против, или если вы не можете получить согласие, то вы можете просто скрыть такие данные из публичного доступа, тогда сведения будут доступны только вам, а права и интересы ваших родственников, пожелавших остаться анонимными, будут соблюдены.