Вопрос: Может ли согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляться не в письменном виде? Какова ответственность за отсутствие именно письменного согласия?
Ответ: Согласие на обработку персональных данных может быть дано в любой позволяющей подтвердить факт его получения форме, за исключением некоторых случаев. Обработка персональных данных без согласия в письменной форме, в случаях когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа по ч. 2 ст. 13.11 КоАП РФ (при первичном правонарушении) и по ч. 2.1 ст. 13.11 КоАП РФ (при повторном правонарушении).
Обоснование: По общему правилу обработка персональных данных осуществляется с согласия субъекта персональных данных (п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ)).
В некоторых случаях получать данное согласие не требуется. В частности, обработка персональных данных работника, государственного служащего не требует получения соответствующего согласия указанных лиц при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством РФ о государственной гражданской службе (абз. 1 Разъяснений Роскомнадзора "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве" (далее - Разъяснения Роскомнадзора)).
Получение организацией согласия работников также не требуется, в частности, если обязанность по обработке, в том числе по опубликованию и размещению персональных данных работников в Интернете, предусмотрена законодательством РФ (п. 1 Разъяснений Роскомнадзора).
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом (ч. 1 ст. 9 Закона N 152-ФЗ).
В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных (ч. 4 ст. 9 Закона N 152-ФЗ).
Например, письменное согласие работника на обработку его персональных данных требуется:
- при получении персональных данных работника у третьей стороны (п. 3 ст. 86 Трудового кодекса РФ);
- при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях (абз. 2 ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора);
- при сообщении персональных данных работника в коммерческих целях (абз. 3 ст. 88 ТК РФ);
- для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, ч. 2 ст. 6, ч. 1, п. 1 ч. 2 ст. 10 Закона N 152-ФЗ). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.
Кроме того, получить письменное согласие на обработку персональных данных оператору необходимо, в частности:
- при обработке биометрических персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона N 152-ФЗ (ч. 2 ст. 6, ч. 1 ст. 11 Закона N 152-ФЗ, Разъяснения Роскомнадзора "О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки");
- при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона N 152-ФЗ);
- при принятии решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего его права и законные интересы (ч. 2 ст. 16 Закона N 152-ФЗ);
- при создании общедоступных источников персональных данных, в том числе справочников, адресных книг (ч. 1 ст. 8 Закона N 152-ФЗ).
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных (п. 1.1 ст. 3, ст. 10.1 Закона N 152-ФЗ).
Согласие работника может быть как оформлено в виде отдельного документа, так и закреплено в тексте трудового договора и отвечать требованиям, предъявляемым к содержанию согласия, согласно ч. 4 ст. 9 Закона N 152-ФЗ (п. 5 Разъяснений Роскомнадзора). Организация может самостоятельно разработать и утвердить форму письменного согласия работника.
Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством РФ ответственность (ч. 1 ст. 24 Закона N 152-ФЗ).
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа (ч. 2 ст. 13.11 Кодекса РФ об административных правонарушениях):
- на граждан в размере от 6 000 до 10 000 руб.;
- на должностных лиц - от 20 000 до 40 000 руб.;
- на юридических лиц - от 30 000 до 150 000 руб.
Повторное совершение указанного административного правонарушения влечет наложение административного штрафа (ч. 2.1 ст. 13.11 КоАП РФ):
- на граждан в размере от 10 000 до 20 000 руб.;
- на должностных лиц - от 40 000 до 100 000 руб.;
- на индивидуальных предпринимателей - от 100 000 до 300 000 руб.;
- на юридических лиц - от 300 000 до 500 000 руб.
Срок давности привлечения к административной ответственности по ст. 13.11 КоАП РФ составляет 1 год со дня совершения административного правонарушения (ч. 1 ст. 4.5 КоАП РФ).
Причиненный вследствие нарушения прав субъекта персональных данных моральный вред также подлежит возмещению в соответствии с законодательством РФ (ст. ст. 1099 - 1101 Гражданского кодекса РФ, ст. 24 Закона N 152-ФЗ).
Е.В. Орлова
Начальник отдела аудита
ООО "ПАРТИ"
16.07.2021