12 декабря 2023 года в России приняли закон, который серьезно увеличивает штрафы за обработку персональных данных без должного письменного согласия или если это согласие оформлено с ошибками. Теперь, если компания обработает данные без согласия человека или не так, как требуется по закону, штрафы для неё могут быть от 300 тысяч до 700 тысяч рублей. А если такое нарушение повторится, то штрафы будут еще больше — от миллиона до полутора миллионов рублей.
Новые правила вступили в действие с 23 декабря 2023 года и применяются ко всем правонарушениям, совершенным после этой даты. Компаниям стоит удостовериться, что они соблюдают закон, особенно в части защиты персональных данных.
Виды согласий на использование ПД
| Письменное согласие | Отдельный документ, например, форма согласия на обработку персональных данных. |
| Часть стандартных документов, таких как анкеты, заявления или письма. | |
| Включение в текст письменного договора или соглашения. | |
| Часть условий публичной оферты, подписываемой субъектом. | |
| Полная электронная форма | Электронный документ с квалифицированной электронной подписью. |
| Простая электронная форма | Активация чекбокса на сайте или в приложении: субъект отмечает специальный чекбокс «Согласие на обработку персональных данных». Это должно быть сделано на веб-странице или в мобильном приложении. Важно, чтобы рядом с чекбоксом была гиперссылка, ведущая на полный текст согласия, чтобы субъект мог полностью ознакомиться с условиями перед подтверждением. |
| Принятие условий пользовательского соглашения: субъект соглашается с условиями, нажимая на кнопки вроде «Принимаю» или «Согласен». Это действие происходит на сайте или в приложении, где пользовательское соглашение или правила функционируют как публичная оферта. Условия соглашения включают положения о согласии на обработку персональных данных, что должно быть ясно указано перед принятием. |
|
| Устная форма | Субъект может устно выразить своё согласие на обработку персональных данных напрямую или по телефону. |
| Конклюдентная форма | Субъект предоставляет оператору материальные носители с персональными данными по его запросу. |
| Посещение сайта с всплывающим окном, содержащим текст согласия и ссылку на полный текст. Активация согласия при заполнении веб-формы с гиперссылкой на полный текст согласия. Озвучивание согласия перед разговором по телефону и электронная переписка о обработке данных. |
Субъект или его представитель могут дать согласие в любой форме, подтверждающей его получение, если это не запрещено федеральным законом. Например, для обработки особых категорий персональных данных, таких как расовая принадлежность, политические взгляды и другие, требуется письменное согласие. Также письменное согласие необходимо для передачи персональных данных за границу. Требования к содержанию такого согласия определены в законе, а для распространения персональных данных - в приказе Роскомнадзора от 24 февраля 2021 года.
Когда требуется согласие в письменной форме
В некоторых случаях, предусмотренных федеральным законом, обработка персональных данных требует согласия в письменной форме субъекта, а именно:
- согласие работника на передачу его персональных данных третьей стороне, включая коммерческие цели;
- согласие работника на получение его персональных данных от третьей стороны;
- согласие субъекта на обработку специальных категорий персональных данных, таких как расовая принадлежность, политические взгляды и другие;
- согласие субъекта на обработку биометрических персональных данных;
- согласие субъекта на включение его персональных данных в общедоступные источники, такие как справочники;
- согласие субъекта на принятие решений на основании автоматизированной обработки его персональных данных.
Эти согласия должны содержать определенную информацию, такую как перечень персональных данных и цель обработки. Несоблюдение требований к форме согласия может повлечь ответственность по закону.
Согласие в письменной форме должно включать информацию о субъекте и операторе, цели обработки, перечне данных, сроке действия согласия и способе его отзыва. Электронное согласие также признается, если оно подписано электронной подписью в соответствии с законом.
