В ходе проверок, проводимых в организациях Национальным центром защиты персональных данных, выявляются многочисленные недостатки при обработке персональных данных субъектами хозяйствования на основании согласия.

Проверьте, возникают ли подобные ситуации в вашей фирме.

Типичными примерами, свидетельствующими о нарушении первого критерия – свободного критерия согласия, – являются:

  • Включение согласия в текст договора и невозможность отказа от дачи согласия без ущерба для заказчика и исполнителя.

Реальный и нередко встречающийся кейс: заказ и доставка товара в интернет-магазине не осуществляется, пока субъект не даст согласие на использование адреса электронной почты для осуществления рекламной рассылки.

В данной ситуации обработка ПД в целях получения рекламных сообщений не является необходимой для заключения договора розничной купли-продажи. 

  • Получение одного согласия для достижения нескольких самостоятельных, не связанных между собой целей. 

Кейс: одно согласие получено и на осуществление рекламной рассылки, и на передачу данных организациям-партнерам.

Примером получения неоднозначного согласия является получение его «автоматически» в случае молчания или бездействия субъекта ПД. 

Например, формулировки:

— «оставаясь на линии, вы тем самым даете согласие на обработку персональных данных»;

— «продолжая пользоваться сайтом, вы даете согласие на обработку персональных данных».

Примерами нарушения критерия информированного согласия являются:

  • Непредоставление либо неполное предоставление информации, предусмотренной п. 5 ст. 5 Закона о ПД. 

Пример: неуказание срока, на который дается согласие субъекта персональных данных, либо непредоставление информации о правах, связанных с обработкой персональных данных, механизме реализации таких прав.

  • Предоставленная информация является слишком общей и неконкретной и не позволяет субъекту ПД понять, кем, как и какие его персональные данные будут обрабатываться в конкретной ситуации. 

К примеру, используются формулировки:

— «согласие предоставляется и на иные законные цели»;

 — «могут обрабатываться и иные персональные данные по усмотрению оператора»;

— «согласие действует до момента его отзыва либо до момента, установленного законодательством» и т.п.

Таким образом, юридически действительное согласие должно соответствовать трем критериям, предусмотренным п. 1 ст. 5 Закона о ПД. Оно должно быть одновременно:

  • свободным;
  • однозначным;
  • информированным.

Если полученное согласие не соответствует хотя бы одному критерию, то обработка персональных данных осуществляется без наличия правового основания и является незаконной.