В ходе проверок, проводимых в организациях Национальным центром защиты персональных данных, выявляются многочисленные недостатки при обработке персональных данных субъектами хозяйствования на основании согласия.
Проверьте, возникают ли подобные ситуации в вашей фирме.
Типичными примерами, свидетельствующими о нарушении первого критерия – свободного критерия согласия, – являются:
- Включение согласия в текст договора и невозможность отказа от дачи согласия без ущерба для заказчика и исполнителя.
Реальный и нередко встречающийся кейс: заказ и доставка товара в интернет-магазине не осуществляется, пока субъект не даст согласие на использование адреса электронной почты для осуществления рекламной рассылки.
В данной ситуации обработка ПД в целях получения рекламных сообщений не является необходимой для заключения договора розничной купли-продажи.
- Получение одного согласия для достижения нескольких самостоятельных, не связанных между собой целей.
Кейс: одно согласие получено и на осуществление рекламной рассылки, и на передачу данных организациям-партнерам.
Примером получения неоднозначного согласия является получение его «автоматически» в случае молчания или бездействия субъекта ПД.
Например, формулировки:
— «оставаясь на линии, вы тем самым даете согласие на обработку персональных данных»;
— «продолжая пользоваться сайтом, вы даете согласие на обработку персональных данных».
Примерами нарушения критерия информированного согласия являются:
- Непредоставление либо неполное предоставление информации, предусмотренной п. 5 ст. 5 Закона о ПД.
Пример: неуказание срока, на который дается согласие субъекта персональных данных, либо непредоставление информации о правах, связанных с обработкой персональных данных, механизме реализации таких прав.
- Предоставленная информация является слишком общей и неконкретной и не позволяет субъекту ПД понять, кем, как и какие его персональные данные будут обрабатываться в конкретной ситуации.
К примеру, используются формулировки:
— «согласие предоставляется и на иные законные цели»;
— «могут обрабатываться и иные персональные данные по усмотрению оператора»;
— «согласие действует до момента его отзыва либо до момента, установленного законодательством» и т.п.
Таким образом, юридически действительное согласие должно соответствовать трем критериям, предусмотренным п. 1 ст. 5 Закона о ПД. Оно должно быть одновременно:
- свободным;
- однозначным;
- информированным.
Если полученное согласие не соответствует хотя бы одному критерию, то обработка персональных данных осуществляется без наличия правового основания и является незаконной.