Согласие на обработку ПДн: как правильно оформить

Согласие субъекта — краеугольный камень 152-ФЗ. Без корректного согласия любая обработка персональных данных незаконна. Разбираем требования, показываем ошибки и даём рабочие примеры.

Когда согласие обязательно

Согласие требуется по умолчанию для любой обработки ПДн. Исключения — когда обработка необходима для:

• Исполнения договора, стороной которого является субъект
• Исполнения обязанностей оператора по закону (налоговая отчётность, воинский учёт)
• Защиты жизни и здоровья субъекта
• Осуществления правосудия

На практике для большинства бизнес-процессов согласие нужно: формы на сайте, CRM, программы лояльности, рассылки, обработка резюме кандидатов.

Что должно быть в согласии

Согласие считается надлежащим, если содержит следующие обязательные элементы (ст. 9 152-ФЗ):

1. ФИО субъекта (того, кто даёт согласие)
2. Наименование оператора (кто обрабатывает данные)
3. Цель обработки — конкретная, а не «для всех возможных целей»
4. Перечень данных — какие именно ПДн обрабатываются
5. Перечень действий — сбор, хранение, использование, передача, удаление
6. Срок действия согласия и порядок отзыва
7. Подпись субъекта (для бумажного) или действие, подтверждающее согласие (для электронного)

Формы согласия

Бумажное согласие (для сотрудников)

Подписывается при приёме на работу. Должно быть отдельным документом — нельзя прятать в трудовой договор мелким шрифтом.

Ключевые моменты:

• Отдельный лист, а не пункт в трудовом договоре
• Конкретные цели: кадровый учёт, расчёт зарплаты, подача отчётности
• Перечень данных: ФИО, паспорт, адрес, СНИЛС, ИНН, образование
• Указание третьих лиц, которым передаются данные (ФНС, ПФР, банк для зарплаты)

Электронное согласие (для сайта)

На сайте согласие даётся через конклюдентное действие — проставление галочки в чекбоксе. Требования:

• Чекбокс не отмечен по умолчанию
• Текст содержит ссылку на Политику обработки ПДн
• Без галочки форма не отправляется
• Факт согласия логируется (дата, время, IP, версия политики)

Согласие для несовершеннолетних

Для детей до 14 лет согласие даёт законный представитель (родитель, опекун). Это критически важно для:

• Образовательных платформ
• Детских клиник
• Спортивных секций
• Интернет-магазинов детских товаров (при регистрации ребёнка)

5 главных ошибок

Ошибка 1: Универсальное согласие «на всё»

Цель обработки не может быть «для любых целей». Роскомнадзор требует конкретику: обработка заявки, рассылка, кадровый учёт — каждая цель отдельно.

Ошибка 2: Предзаполненный чекбокс

Если галочка «Согласен» стоит по умолчанию — это не считается свободным согласием. Роскомнадзор считает такое согласие ничтожным.

Ошибка 3: Согласие «похоронено» в договоре

Строчка «Подписывая договор, клиент соглашается на обработку ПДн» в середине 10-страничного документа — это не надлежащее согласие. Должно быть выделено отдельно.

Ошибка 4: Нет механизма отзыва

Субъект имеет право отозвать согласие в любой момент. Если вы не можете показать, как это сделать — это нарушение.

Ошибка 5: Не логируется факт согласия

Для электронного согласия нужно сохранять: дату и время, IP-адрес, текст согласия (или версию политики), данные субъекта. Без этого доказать наличие согласия невозможно.

Как правильно: пример для сайта

Хороший чекбокс на форме выглядит так:

☐ Нажимая кнопку «Отправить», я даю согласие на обработку моих
  персональных данных в соответствии с Политикой обработки
  персональных данных (ссылка) в целях обработки моего обращения.

При этом на бэкенде сохраняется:

• Timestamp согласия
• IP-адрес
• User-agent
• URL версии политики на момент согласия

Срок хранения согласий

Согласие хранится на протяжении всего срока обработки ПДн + 3 года после прекращения обработки (срок исковой давности). Не удаляйте подписанные согласия сотрудников после их увольнения.

---

Нужны готовые формы согласий, адаптированные под ваш бизнес? Скачайте шаблоны или закажите разработку.