О форме согласия на обработку персональных данных
В соответствии с ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) субъект персональных данных (далее – ПД) принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПД должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Соответственно, в общем порядке согласие на обработку ПД может быть дано в любой позволяющей подтвердить факт его получения форме, при этом такое согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
Вместе с тем, на основании ч. 4 ст. 9 Закона о персональных данных в случаях, предусмотренных федеральным законом, обработка ПД осуществляется только с согласия в письменной форме субъекта ПД. Равнозначным содержащему собственноручную подпись субъекта ПД согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
В свою очередь, случаями, когда обработка ПД осуществляется только с согласия в письменной форме субъекта ПД являются:
- включение ПД в общедоступные источники ПД (ч. 1 ст. 8 Закона о персональных данных);
- обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ч. 1, п. 1 ч. 2 ст. 10 Закона о персональных данных);
- обработка ПД членов (участников) общественного объединения или религиозной организации (п. 5 ч. 2 ст. 10 Закона о персональных данных);
- обработка сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПД) и которые используются оператором для установления личности субъекта ПД (ч. 1 ст. 11 Закона о персональных данных);
- принятие решения, порождающего юридические последствия в отношении субъекта ПД или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки его ПД (ч. 2 ст. 16 Закона о персональных данных).
Таким образом, в указанных случаях необходимо представление согласия на обработку ПД в письменной форме либо в равнозначном письменному – согласие в форме электронного документа, подписанного электронной подписью, в остальных случаях представление согласие на обработку ПД допускается в форме, позволяющей подтвердить факт его получения.
Одновременно с этим, если образовательная организация проводит различные мероприятия, регистрация или заявка на которые содержит ПД и оформляется с использованием информационно-телекоммуникационной сети «Интернет», при этом представляемые ПД не требуют письменной формы согласия, то такое согласие может быть получено образовательной организации в любой форме, позволяющей подтвердить факт его получения, при этом оно должно быть конкретным, предметным, информированным, сознательным и однозначным.
Учитывая вышеизложенное, по нашему мнению, образовательной организации при разработке формы регистрации или заявки на участие в мероприятии, которые заполняются (подаются) посредством информационно-телекоммуникационной сети «Интернет», необходимо:
- указать прямо и недвусмысленно, что пользователь соглашается на обработку ПД, совершая определенное действие, то есть представляемое согласие должно быть конкретным, предметным, информированным, сознательным и однозначным;
- предусмотреть действие, которым пользователь подтвердит свое согласие с обработкой ПД, например, посредством проставления какого-либо символа или посредством использования функции «получить код», то есть у образовательной организации должно быть подтверждение факта получения согласия на обработку ПД;
- разместить в данной форме локальный нормативный акт (пользовательское соглашение, политику конфиденциальности), регламентирующий обработку ПД, а также цели и сроки их обработки.
Таким образом, если при проведении образовательной организации различных мероприятий, в рамках которых не осуществляется обработка ПД, требующая письменного согласия, то согласие на обработку ПД может быть получено в любой форме, позволяющей подтвердить факт его получения.