Условия обработки персональных данных: о чем важно знать руководителю некоммерческой организации
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон) определяет закрытый перечень случаев обработки персональных данных – эти случаи именуются условиями обработки персональных данных, которые должны обеспечиваться в деятельности некоммерческой организации как оператора персональных данных. Наиболее распространенными случаями обработки персональных данных из предусмотренных в законе следует считать обработку персональных данных на основании согласий физических лиц, а также договоров, стороной, выгодоприобретателем или поручителем по которым является субъект персональных данных.
Говоря о согласии физического лица на обработку персональных данных, следует иметь в виду, что к такому согласию положениями Закона предъявляются общие требования конкретности, информированности и сознательности согласия. Важно, чтобы гражданин давал согласие на обработку персональных данных свободно, по своей воле и в своем интересе, добровольно, для достижения конкретных целей, а также с полным пониманием объема обрабатываемых персональных данных и способов их обработки. После предоставления оператору такого согласия у физического лица имеется возможность отозвать свое согласие в любой форме, которая позволяет подтвердить факт получения отзыва.
Существенно, что Закон устанавливает обязательную письменную форму согласия на обработку персональных данных лишь в качестве особого правила для случаев обработки отдельных категорий персональных данных. Например, согласие в письменной форме операторы обязаны получать для обработки специальных категорий персональных данных и биометрических персональных данных. Равнозначным согласию, подписанному собственноручной подписью, признается согласие в форме электронного документа, подписанного электронной подписью.
В иных случаях согласие может быть получено оператором в любой форме, позволяющей достоверно определить субъекта персональных данных и зафиксировать факт исполнения обязанности по получению его согласия. Поскольку именно на оператора возлагается бремя доказывания того, что получение согласия было исполнено им надлежащим образом, многие операторы берут такое согласие граждан также в письменной форме.
Содержание письменного согласия гражданина на обработку его персональных данных довольно детально регламентировано Законом и должно включать следующие разделы:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдаче указанного документа и выдавшем его органе;
- в случае если согласие предоставляет представитель субъекта персональных данных,— фамилию, имя, отчество, адрес такого представителя, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
При составлении формы согласия на обработку персональных данных необходимо обратить внимание на следующий важный нюанс. Хотя Закон не устанавливает
Например, срок действия согласия может быть ограничен указанием на конкретную дату (число, месяц, год) либо определяться в зависимости от условия, наступление которого повлечет прекращение обработки персональных данных. Кроме того, указанный срок может определяться также и моментом востребования – письменным отзывом согласия со стороны гражданина в произвольной форме.
При обработке персональных данных в сети «Интернет» (через сайты, аккаунты в социальных сетях, электронные анкеты и пр.) некоммерческим организациям важно иметь в виду следующее.
1. Согласие на обработку персональных данных может быть получено оператором через формы
2. Для законного распространения персональных данных (в т. ч. публикации персональных данных на ресурсах в сети «Интернет») операторам с 2021 года необходимо получать у граждан согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, – соответствующее согласие оформляется отдельно от иных согласий на обработку персональных данных по форме, утвержденной Приказом Роскомнадзора от 24.12.2021 № 18.
Снежана Симонова, кандидат юридических наук