Полагаю, вам из разных утюгов уже поорали, что вы обязаны брать согласие на обработку персональных данных (ПДн). Что ж, правильно орут, ибо и правда надо, но не всегда.
Что такое вообще это согласие?
В общих чертах это разрешение обрабатывать (запись, сбор, хранение, использование и т. д.) личную информацию человека.
Например, вы хотите делать рассылку по базе и для этого у вас на сайте организована форма. Очень в общих чертах (!) у вас получается это:
форма — это сбор
email или телефон — персональные данные человека
попадание ПДн в систему — запись и хранение
email-рассылка — использование
Причем согласие берется в определенных целях. То есть в случае рассылки вы берете согласие на обработку ПДн в целях рассылки. А если у вас предполагается рекламная рассылка, то отдельно от согласия на обрабокту ПДн нужно еще взять согласие на рекламу. Два согласия отдельных.
Когда согласие нужно?
Обработка ПДн людей может быть в разных целях — договор, рассылка, исследования, кадровый учет и т.д. И есть некоторые цели обработки, при которых согласие получать не нужно.
Например:
? В целях заключения или исполнения договора с вашими клиентами.
Например, вы продаете эфир и вам нужен email, чтобы отправить доступ к эфиру и запись.
? В целях исполнения ваших законных обязанностей.
Например, у вас есть сотрудник и вы должны передавать данные о нем в СФР.
? В целях обеспечения публичных интересов или государственной функции.
Например, в суде не спрашивают согласия, чтобы опубликовать на сайте данные о движении дела.Но суд спросит согласие на отправку вам смс.
? В целях обеспечения жизненно важных интересов граждан.
? Если у оператора есть законный интерес на обработку.
Например, передача данных сотрудника компании на аутсорсе для кадрового администрирования.
Причем надо учитывать, что нельзя собирать ненужные ПДн в рамках какой-то цели. Если, допустим, вы обрабатываете ПДн в рамках договора на онлайн-консультацию, то вам не нужен домашний адрес клиента. Если только вы не отправляете потом клиентам цветы))
Короче. Объем ПДн должен быть обоснован целью.
Каким согласие должно быть?
✔️ Свободным — без принуждения или хитрого обмана человека.
✔️ Информированным — человек должен знать подробности.
✔️ Сознательным — человек должен понимать, с чем он соглашается.
✔️ Однозначным — без двусмысленных и расплывчатых формулировок.
✔️ Конкретным — для конкретных целей.
Что это означает на практике?
Если вы собираете ПДн на сайте, то:
1️⃣ Используйте чекбоксы с проставлением галочки.
На сегодня этот вариант больше всего подтверждает практикой.
2️⃣ Галочка не должна быть предпроставлена.
3️⃣ В чекбоксе должна быть ссылка на актуальную Политику и на текст согласия.
4️⃣ В тексте согласия должны быть расписаны цели, способы обработки, сроки обработки, форматы отзыва. А также указаны третьи лица, которые по вашему поручению будут обрабатывать ПДн. Например, email-рассыльщик.
Штрафы за отсутствие согласия по ч. 2 ст. 13.11 КоАП:
— физлица и самозанятые от 10 000 до 15 000
— ИП от 100 000 до 300 000
— юрлица от 300 000 до 700 000
Резюме
В отсутствие целей, освобождающих от согласия, взятие согласия должно быть так или иначе реализовано.
P. S. Если понимаете, что вопрос проверки работы с ПДн, аудит сайта и проверка политики вам уже актуальны, можете маякнуть мне в личку. Я с моими чудными юристами делаем аудиты с любовью и вниманием. Проверим, актуализируем, дадим рекомендации.
Если я для вас готовила политику и согласие для сайта или вы брали шаблоны, скажу так. Если прошло больше полугода, пришло время проверять.
Комментарии (5)
nehrung
13.08.2025 19:06С дачей согласия есть один нюанс, на мой взгляд, с точки зрения житейской логики совершенно очевидный. Если человека обязывают давать согласие на обработку ПД, но не дают ему возможность отозвать это согласие, то получается, что оно даётся как бы из-под палки.. Безотзывная дача согласия несимметрична, при ней не соблюдается юридическое равенство сторон, т.е. это дорога с односторонним движением.
Нет, мы, конечно, всё понимаем... Нынче ПД собираются без всяких согласий, и вовсе не с той целью, которая прописана в соответствующем законе. Но было бы приятнее, если бы этот закон ещё и выглядел прилично.
4kirill20
13.08.2025 19:06Было бы приятнее если бы у нас все законы выглядели прилично. Особенно тот бред с еридами и отчетами о рекламе, впнах, поиска информации и так далее
Penguin_ru
13.08.2025 19:06Любопытно, что пример с сайтом и чек-боксом, а штрафы по ч. 2 ст. 13.11, а не по ч. 1 той же статьи. Да и сами штрафы переписаны неправильно. От 100 до 300 для должностных лиц, а не ИП. ИП там не упоминаются для первого нарушения и проходят, похоже, как граждане.
По ч. 2 вас конечно тоже накажут, если воспользуетесь советом автора "передавать данные сотрудников компании на аутсорсе для кадрового администрирования" без письменного согласия работника. Доказать законный интерес в данном конкретном случае будет проблематично, поскольку сложно будет доказать необходимость обработки (кадровое администрирование работодатель вполне может осуществлять своими силами). Опять же, есть еще ст. 88 трудового кодекса "не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами".
tuxi
У меня есть вопрос: форма логина, одно поле, телефон или email - надо брать согласие? Если посетитель уже регистрировался, то он уже давал согласие ранее, если же нет, то его номер или почта никуда не уходят, и никак дальше не используются.
4kirill20
ПД это совкупность данных, поэтому емейлы, как правило являются ПД, поэтому ответ скорее да, чем нет