В бизнесе есть опасная иллюзия: раз на сайте стоит галочка «Согласен на обработку персональных данных», значит при проверке все будет спокойно. На практике Роскомнадзор оценивает гораздо больше, чем наличие формального текста: проверяют законность оснований, конкретность целей, реальную практику обработки и способность оператора доказать свои действия.
Если Вы хотите, чтобы согласия и документы выдержали реальную проверку, имеет смысл заранее подключить юристов «Форсайт» в Санкт-Петербурге. Мы приводим процессы по 152-ФЗ к состоянию, когда у проверяющего заканчиваются вопросы, а у компании появляются доказательства и логика, понятная с точки зрения закона.
Почему «универсальное согласие» рассыпается при проверке
152-ФЗ требует, чтобы согласие субъекта персональных данных было конкретным, предметным, информированным, сознательным и однозначным. Это означает, что согласие должно отражать понятные цели обработки, а сам субъект должен осознавать, на что именно он соглашается.
Типовая ошибка — формулировки вроде «даю согласие на обработку всех персональных данных в любых целях, включая маркетинг, аналитику и передачу третьим лицам». Такие конструкции не позволяют доказать конкретность и информированность согласия, а значит плохо выдерживают проверку и судебный спор.
Согласие нужно не всегда — и это тоже важно
Еще одна распространенная ошибка — сбор согласия там, где обработка допустима на ином законном основании. Например, при исполнении договора с клиентом обработка персональных данных может осуществляться без согласия субъекта.
В 152-ФЗ прямо прописано, что обработка персональных данных допускается без согласия, если она необходима для исполнения договора, стороной (или выгодоприобретателем/поручителем) по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта. Это пункт 5 части 1 статьи 6.
В этом случае согласие становится лишним элементом: компания добровольно берет на себя обязанность учитывать его отзыв и доказывать факт получения. При отсутствии доказательств или при отзыве такого согласия «страховка» превращается в дополнительный риск.
Практический пример
Интернет-магазин собирает согласие «на все» даже для оформления заказа и доставки. Клиент отзывает согласие — и компания сама ставит под сомнение законность обработки, хотя корректнее было бы разделить договорные действия и маркетинговые коммуникации.
Какие согласия чаще всего не работают на практике
При проверках регулярно выявляются одни и те же проблемы:
- Согласие сразу на несколько несвязанных целей без их разграничения.
- Отсутствие ясного описания состава персональных данных и действий с ними, что мешает подтвердить предметность согласия.
- Не указан срок обработки или критерий его определения, из-за чего невозможно понять пределы использования данных.
- Не описан порядок отзыва согласия и контакты для обращения субъекта.
- Передача третьим лицам обозначена обобщенно, без указания категорий получателей.
- Согласие включено в общий текст документа или сопровождается предзаполненной галочкой, что затрудняет доказательство сознательного и однозначного волеизъявления.
- Отсутствуют доказательства получения согласия: дата, версия текста, способ подтверждения.
Почему одного согласия недостаточно
Даже корректно оформленное согласие не освобождает оператора от других обязанностей. На проверке анализируют наличие и содержание политики обработки персональных данных, корректность форм на сайте, соответствие фактических процессов заявленным целям, а также выполнение обязанностей по уведомлению Роскомнадзора в тех случаях, когда оно требуется.
Отдельный риск — административная ответственность по статье 13.11 КоАП РФ. Она включает несколько составов правонарушений, а санкции зависят от характера нарушения и могут усиливаться при повторности.
Практические рекомендации, которые реально работают
Чтобы согласие выполняло свою функцию и подтверждало законность обработки:
- Разделяйте основания обработки: договор, закон и маркетинг — разные юридические режимы.
- Делайте отдельное согласие для маркетинговых целей с четко обозначенными каналами связи.
- Описывайте цели, состав данных, действия с ними и срок обработки либо критерий его определения.
- Обеспечьте доказуемость: храните версии текстов, даты, способы получения согласия.
- Проверьте сайт и документы на согласованность: политика, формы, чекбоксы должны работать как единая система.
- Убедитесь, что обязанности по уведомлению Роскомнадзора выполнены корректно.
Практика показывает: проблемы возникают не из-за отсутствия согласия, а из-за разрыва между формальным текстом и реальными процессами обработки данных.
Если Вы хотите закрыть этот разрыв до того, как его обнаружит проверяющий орган, обратитесь в юридическую компанию «Форсайт» в Санкт-Петербурге. Мы проводим аудит по 152-ФЗ, адаптируем согласия под реальные бизнес-процессы и формируем комплект документов и доказательств, который выдерживает проверку и снижает риск штрафов.
