Каждый владелец онлайн-школы, репетитор, частная школа и детский центр работает с персональными данными. ФИО, телефон, email, дата рождения ребенка, данные родителей, иногда — паспорт и медицинские справки. И всё это требует согласия от человека, чьи данные вы собираете.
Проблема в том, что большинство собирает согласия неправильно. Кто-то использует шаблон из интернета. Кто-то ставит «галочку согласен» предустановленной. Кто-то вообще не собирает, считая, что «договор покрывает».
Это работает ровно до первой проверки Роскомнадзора или до первой жалобы. После — штрафы от 60 000 до 700 000 ₽ за один состав нарушения. А с 2025 года в Госдуме обсуждаются поправки, которые поднимут верхнюю планку до нескольких миллионов.
Разбираю, как должно быть устроено корректное согласие — без юридического канцелярита.
Чем согласие отличается от договора
Договор — это про услугу. Согласие — про данные. Это два разных документа, которые регулируются разными законами и решают разные задачи.
В договоре вы пишете: «Заказчик оплачивает курс, исполнитель проводит занятия». В согласии: «Клиент разрешает компании собирать его ФИО, телефон и email, использовать их для рассылки и хранить три года после окончания обучения».
Договор не заменяет согласие. Согласие не заменяет договор. Нужны оба.
Что обязательно должно быть в согласии
Закон 152-ФЗ «О персональных данных» требует, чтобы в согласии было указано:
— ФИО и адрес субъекта (того, чьи данные собираете)
— Наименование и адрес оператора (вас как компании или ИП)
— Цель обработки — для чего собираете данные
— Перечень данных — что именно собираете
— Перечень действий с данными — что планируете делать (хранить, передавать, использовать для рассылки)
— Срок действия согласия
— Способ отзыва согласия — как человек может его отозвать
Если хотя бы один из пунктов отсутствует — согласие недействительно. Это значит, что фактически вы собираете данные без законного основания.
Главная ошибка — общие формулировки
«Согласен на обработку моих данных для любых целей, связанных с деятельностью компании».
Такая формулировка не работает. Закон требует конкретики. Каждая цель должна быть прописана отдельно.
Правильно:
— Заключение и исполнение договора об оказании образовательных услуг
— Информирование о новых программах, акциях, событиях
— Отправка учебных материалов
— Обработка платежей через банк-эквайер
Каждая цель — отдельной строкой. И на каждую — отдельное согласие, если она не связана напрямую с основной услугой.
Особый случай — данные детей
Если ваш клиент несовершеннолетний — согласие дает законный представитель, то есть родитель или опекун. Это касается всех частных школ, детских центров, репетиторов, которые работают с детьми.
Согласие должно содержать данные ребенка и данные родителя, подпись родителя, реквизиты документа, подтверждающего родство или опеку.
Распространённая ошибка — школа берёт согласие у самого ребенка, потому что «он же сам приходит на занятия». Это нарушение, согласие недействительно.
Где собирать согласие
Три рабочих варианта:
Вариант 1. Бумажное согласие.
Подходит для офлайн-форматов — частных школ, центров. Распечатанный бланк, ручка, подпись. Хранится в архиве.
Вариант 2. Электронная форма с галочкой.
Подходит для онлайн-школ и сайтов. Главное правило — галочка не должна быть предустановленной. Человек должен поставить её сам. И текст согласия должен быть доступен по ссылке прямо рядом с галочкой, а не «где-то в подвале».
Вариант 3. Согласие через подтверждение по email или SMS.
Самый надежный для цифровых продуктов. Человек получает письмо, переходит по ссылке, подтверждает согласие. Остаётся цифровой след, который сложно оспорить.
Что делать с уже собранными данными
Если вы работаете несколько лет и согласия раньше не собирали — это не приговор, но действовать надо.
Первое — собрать согласия с текущих клиентов. Это можно сделать через рассылку с ссылкой на форму. Те, кто согласие не подтвердит — их данные нужно удалить или обезличить.
Второе — на всех новых клиентах сразу настроить корректный сбор согласий.
Третье — назначить ответственного за обработку ПДн внутри команды. Это требование закона: должно быть конкретное лицо с полномочиями.
Четвёртое — проверить, подано ли уведомление в Роскомнадзор. С сентября 2022 это обязательно практически для всех, кто собирает данные клиентов. Проверка занимает 2 минуты на сайте pd.rkn.gov.ru по ИНН.
Сколько хранить согласие
Согласие хранится столько же, сколько и сами данные. Закон позволяет хранить ПДн только в течение срока, необходимого для достижения целей обработки.
Для образовательного бизнеса разумный срок — срок действия договора плюс 3 года после его окончания. Это связано со сроком исковой давности. После этого данные нужно удалить или обезличить.
Что в итоге
Корректное согласие на обработку персональных данных — это:
— Отдельный документ, а не пункт в договоре
— С полным набором обязательных реквизитов
— С конкретными целями вместо общих формулировок
— С учетом особенностей работы с детьми, если они есть
— С продуманным способом сбора и хранения
Это не та задача, которую стоит откладывать. Штрафы за нарушения в области персональных данных в последние два года растут быстрее любых других — государство планомерно ужесточает правила.
Если у вас есть сомнения, что ваши согласия соответствуют требованиям — лучшее, что можно сделать прямо сейчас, это взять текущий шаблон и пройтись по чек-листу из этой статьи. На пять пунктов уйдет 20 минут. А найдете вы при этом дыры, которые могут стоить несколько сотен тысяч.
#персональныеДанные #согласиеНаОбработкуПДн #пдНОнлайнШколы #политикаКонфиденциальности #152ФЗ #онлайнШкола #детскийЦентр #частнаяШкола #юристДляБизнеса #юристАленаЯковлева