Согласие на обработку персональных данных: каким должно быть и где обязательно

Согласие на обработку персональных данных — это разрешение, которое человек даёт оператору на работу со своими данными. По 152-ФЗ собирать ПДн без законного основания нельзя, и согласие — самое частое из таких оснований. На сайте оно реализуется как галочка у формы со ссылкой на политику; без неё сбор данных через форму — нарушение. Разберём, каким согласие должно быть, чтобы оно работало, и когда нужна отдельная письменная форма.

Согласие, политика и уведомление — не путать

• Согласие — то, что даёт конкретный человек оператору (галочка/подпись).
• Политика обработки ПДн — публичный документ на сайте о том, как вы работаете с данными (см. отдельную статью).
• Уведомление в РКН — заявление о том, что вы оператор; вносит в реестр (как подать).

Нужны все три — это части одной системы соответствия 152-ФЗ.

Что обязательно в согласии

Закон требует, чтобы согласие было конкретным, информированным и сознательным. В нём должны быть:

• ФИО и контакт субъекта (того, кто даёт согласие);
• наименование/ФИО и адрес оператора, который получает согласие;
• цель обработки (зачем собираете данные);
• перечень данных, на обработку которых даётся согласие;
• перечень действий с данными и способы обработки;
• срок действия согласия и порядок его отзыва.

Когда хватает галочки, а когда нужна отдельная форма

Для обычного сайта (заявка, обратный звонок, подписка) достаточно галочки согласия со ссылкой на политику рядом с формой — это и есть согласие в простой письменной/электронной форме. Но в ряде случаев закон требует отдельного согласия:

• на распространение персональных данных (публикация, передача неопределённому кругу лиц) — с 2021 года это отдельное строгое согласие со своим набором требований;
• на обработку специальных категорий (здоровье, биометрия) — повышенные требования;
• при трудоустройстве — согласие работника оформляется отдельно (см. ПДн сотрудников).

Частые ошибки

• Предустановленная галочка. Согласие не может быть «по умолчанию» — человек должен поставить отметку сам.
• Одна галочка на всё. Согласие на обработку и согласие на рекламную рассылку — разные вещи; смешивать их в одной формулировке рискованно.
• Нет ссылки на политику. Галочка без доступной политики не делает согласие информированным.
• Нельзя отозвать. В согласии должен быть указан способ отзыва, и отзыв должен реально работать.

Рабочая формулировка для сайта

Типовой вариант у формы: «Нажимая кнопку, я даю согласие на обработку персональных данных и принимаю политику конфиденциальности» — где «политика конфиденциальности» ссылается на ваш документ. Этого достаточно для стандартных форм; для рассылок добавляйте отдельную галочку на получение рекламных сообщений.