Согласно требованиям ч.4 ст.9 Закона о персональных данных в случаях, предусмотренных федеральными законами, например при обработке специальных категорий ПДн (состояние здоровья, и т.п., расовая, национальная принадлежность, религиозные, политические взгляды и т.п.), биометрических ПДн, а также при передаче данных работников третьим лицам, необходимо получать согласие в письменной форме, которая должна содержать:
- фамилию, имя, отчество субъекта;
- адрес;
- паспортные данные или данные иного документа, удостоверяющего личность;
- сведения о представителе, если согласие подписывается представителем;
- сведения об операторе персональных данных;
- цель обработки персональных данных (обратите внимание — «цель» в единственном числе);
- перечень персональных данных, на обработку которых дается согласие;
- сведения об обработчике, если обработка передается третьему лицу по поручению;
- перечень действий с ПДн и описание используемых способов обработки (автоматизированная, неавтоматизированная или смешанная);
- срок действия согласия;
- способ отзыва согласия;
- подпись дающего согласие субъекта.
Немаловажным требованием к письменной форме согласия, определенной ч.4 ст.9 ФЗ-152, является то, что такая форма должна соответствовать принципу «одна цель — одно согласие». На первый взгляд на практике реализация этого требования превращается в сбор нескольких согласий под каждую цель обработки. А если таких целей много, неужели для каждой необходимо оформлять отдельную бумагу?
Можно с уверенностью сказать, что излишняя бюрократизация не может положительно сказаться ни на одном бизнес-процессе, тем более, когда речь заходит о взаимодействии с обычными людьми — работниками и тем более клиентами. Естественно, никто не будет в восторге подписывать кипу отдельных согласий на обработку персональных данных. Да и просто их прочитать и понять, за что расписываться, уже затруднительно.
Поэтому в таких случаях на помощь приходит так называемое «модульное» согласие на обработку ПДн, которое подразумевает отдельное согласие для каждой цели обработки в одном документе.
Пример модульного согласия на обработку персональных данных
Чтобы исполнить принцип «одна цель — одно согласие» предлагается в виде реестра (таблицы) привести основные сведения об обработке, которые различаются для согласий, включив туда:
- цель обработки;
- перечень персональных данных;
- третьи лица, которым поручается обработка или передаются ПДн;
- срок действия согласия;
- отметка о согласии (подпись).
Остальные сведения приводятся общими для всех согласий в основной части документа.
Реестр целей для передачи персональных данных работников может выглядеть следующим образом:
| Цель обработки | Перечень ПДн | Наименование третьего лица | Срок действия согласия | Согласие (подпись) |
|---|---|---|---|---|
| Оформление зарплатной банковской карты |
1) Фамилия, имя, отчество; 2) Дата и место рождения; 3) Паспортные данные; 4) СНИЛС; 5) ИНН |
ПАО «Банк» ИНН: 770000000 |
В течение срока действия трудового договора | |
| Оформление договора корпоративного ДМС |
1) Фамилия, имя, отчество; 2) Дата и место рождения; 3) Паспортные данные; 4) СНИЛС; 5) ИНН |
ПАО «Страховая компания» ИНН: 770000000 |
В течение срока действия программы корпоративного ДМС для работников |
Конечно, форму каждого согласия необходимо составлять индивидуально. Например, если у разных целей различаются перечень действий с персональными данными или способы обработки, то такие столбцы также необходимо внести в реестр.
