Полагаю, что вы далеко не один раз подписывали согласие на обработку персональных данных. Но сколько раз вы его прочитали? А ведь в этом документе может таиться множество подводных камней. И подписав его вы можете в дальнейшем потратить немало нервов для того, чтобы отозвать его и добиться справедливости.
Что же должно быть в согласии? В 9-ой статье 152-ФЗ представлено, что согласие должно включать в себя:
- ФИО, адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе
В целом, это данные для того, чтобы вас идентифицировать. На них не нужно давать согласие, так как они являются частью самого согласия и данная обработка осуществляется для исполнения требования закона.
- наименование или ФИО и адрес оператора, получающего согласие;
Оператор, который хочет получить ваши данные, также должен вам представиться.
- цель обработки персональных данных
ВАЖНО: обработка должна соответствовать цели. Оператор не должен указывать несовместимые между собой цели в одном согласии.
- перечень персональных данных
ВАЖНО: обратите внимание на перечень персональных данных и постарайтесь сопоставить их с целью. Если вы даете согласие на обработку, например, магазину цветов, то зачем им знать ваш ИНН и СНИЛС?
Также особо хитрые операторы могут выкрутиться, указав формулировку "любых персональных данных" или подобную. НО это является грубым нарушением, ведь согласно п.1 ст. 9 152-ФЗ "согласие должно быть конкретным, информативным и сознательным", и подписывать такое согласие не стоит.
- наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению оператора
Оператор может поручить обработку другому лицу. Это означает, что именно эти данные именно для этой цели будет обрабатывать не только оператор, но и другая компания или лицо. Оператор же должен самостоятельно убедиться, что на той стороне выполняются все требования, так как в любом случае ответственность будет нести он.
- перечень действий с персональными данными, на которые дается согласие, общее описание используемых оператором способов обработки персональных данных
ВАЖНО: обратите внимание на такое действие, как "передача третьим лицам".
- срок действия согласия и способ его отзыва
ВАЖНО: срок действия должен быть конкретным, достижимым и корректным. Не должно быть указано "бессрочно", это как минимум странно, как максимум - нарушает ваши права.
Способ отзыва согласия должен быть реальным - должны быть указаны контакты, куда направить соответствующее заявление. Оператор не должен требовать от вас приехать и лично подать заявление на отзыв согласия.
- подпись субъекта персональных данных (здесь всё понятно).
Что насчет согласия в интернете?
Но ведь согласие может быть не только в письменной форме? Роскомнадзор представил разъяснение о получении согласия интернет-магазинами, но, полагаю, что его можно использовать для любого интернет-ресурса.
В разъяснении говорится том, что согласие может быть получено путём проставления галочки в соответствующей форме.
НО: этот способ нельзя применять, если сайт хочет обрабатывать биометрические или специальные категории персональных данных, а также при передаче на территорию государств, не обеспечивающих адекватную защиту персональных данных (список стран опубликован на сайте РКН). В этих случаях - только письменное согласие.
Также обязательным условием является опубликование Политики в отношении обработки персональных данных (Политики конфиденциальности) на сайте.
Ещё один нюанс - вы должны самостоятельно проставить галочку (выразив тем самым явное согласие), она не должна быть проставлена заранее.
Кстати, о персональных данных в формате просто о сложном я рассказал в одной из моих публикаций. Читайте, задавайте вопросы.
Ставьте палец вверх, подписывайтесь на мой канал и я научу вас, как защитить свои персональные данные, реализовать свои права и многому другому из мира приватности😉