Полагаю, вам из разных утюгов уже поорали, что вы обязаны брать согласие на обработку персональных данных (ПДн). Что ж, правильно орут, ибо и правда надо, но не всегда.

Что такое вообще это согласие?

В общих чертах это разрешение обрабатывать (запись, сбор, хранение, использование и т.д.) личную информацию человека.

Например, вы хотите делать рассылку по базе и для этого у вас на сайте организована форма. Очень в общих чертах (!) у вас получается это:

• форма — это сбор

• email или телефон — персональные данные человека

• попадание ПДн в систему — запись и хранение

• email-рассылка —- использование

Причем согласие берется в определенных целях. То есть в случае рассылки вы берете согласие на обработку ПДн в целях рассылки. А если у вас предполагается рекламная рассылка, то отдельно от согласия на обрабокту ПДн нужно еще взять согласие на рекламу. Два согласия отдельных.

Когда согласие нужно?

Обработка ПДн людей может быть в разных целях — договор, рассылка, исследования, кадровый учет и т.д. И есть некоторые цели обработки, при которых согласие получать не нужно.

Например:

? В целях заключения или исполнения договора с вашими клиентами.
Например, вы продаете эфир и вам нужен email, чтобы отправить доступ к эфиру и запись.
? В целях исполнения ваших законных обязанностей.
Например, у вас есть сотрудник и вы должны передавать данные о нем в СФР.
? В целях обеспечения публичных интересов или государственной функции.
Например, в суде не спрашивают согласия, чтобы опубликовать на сайте данные о движении дела.Но суд спросит согласие на отправку вам смс.
? В целях обеспечения жизненно важных интересов граждан.
? Если у оператора есть законный интерес на обработку.
Например, передача данных сотрудника компании на аутсорсе для кадрового администрирования.

Причем надо учитывать, что нельзя собирать ненужные ПДн в рамках какой-то цели. Если, допустим, вы обрабатываете ПДн в рамках договора на онлайн-консультацию, то вам не нужен домашний адрес клиента. Если только вы не отправляете потом клиентам цветы))

Короче. Объем ПДн должен быть обоснован целью.

Каким согласие должно быть?

✔️ Свободным — без принуждения или хитрого обмана человека.
✔️ Информированным — человек должен знать подробности.
✔️ Сознательным — человек должен понимать, с чем он соглашается.
✔️ Однозначным — без двусмысленных и расплывчатых формулировок.
✔️ Конкретным — для конкретных целей.

Что это означает на практике?

Если вы собираете ПДн на сайте, то:

1️⃣ Используйте чекбоксы с проставлением галочки.
На сегодня этот вариант больше всего подтверждает практикой.
2️⃣ Галочка не должна быть предпроставлена.
3️⃣ В чекбоксе должна быть ссылка на актуальную Политику и на текст согласия.
4️⃣ В тексте согласия должны быть расписаны цели, способы обработки, сроки обработки, форматы отзыва. А также указаны третьи лица, которые по вашему поручению будут обрабатывать ПДн. Например, email-рассыльщик.

Штрафы за отсутствие согласия по ч. 2 ст. 13.11 КоАП:
— физлица и самозанятые от 10 000 до 15 000
— ИП от 100 000 до 300 000
— юрлица от 300 000 до 700 000

Резюме

В отсутствие целей, освобождающих от согласия, взятие согласия должно быть так или иначе реализовано.

P.S. Если понимаете, что вопрос проверки работы с ПДн, аудит сайта и проверка политики вам уже актуальны, можете маякнуть мне в личку. Я с моими чудными юристами делаем аудиты с любовью и вниманием. Проверим, актуализируем, дадим рекомендации.

Если я для вас готовила политику и согласие для сайта или вы брали шаблоны, скажу так. Если прошло больше полугода, пришло время проверять.