Персональные данные. Принцип "одна цель - одно согласие"

Если вы думаете, что можете взять с субъекта персональных данных одно согласие на хранение обработку его персональных данных, указав в этом согласии все имеющиеся цели хранения и обработки персональных данных, то вас ждет разочарование.

В соответствии с подходом Роскомнадзора, одно согласие на хранение и обработку персональных данных может даваться лишь одну цель обработки.

Это, по мнению Роскомнадзора, следует из того, что в п. 4 ст. 9 Закона "Об обработке персональных данных" в требованиях к содержанию сгласия на обработку персональных данных указано слово "цель" в единственном числе. То есть, на каждую цель нужно получить согласие субъекта персональных данных.

Скриншот требований к содержанию согласия на обработку персональных данных (<a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fwww.consultant.ru%2Fdocument%2Fcons_doc_LAW_61801%2F6c94959bc017ac80140621762d2ac59f6006b08c%2F%3Fysclid%3Dluk76fmn7p372161576&postId=1107234" rel="nofollow noreferrer noopener" target="_blank">п. 4 ст. 9 Закона "О персональных данных" № 152-ФЗ</a>).

Если персональные данные обрабатываются в нескольких целях, то на каждую цель должно быть отдельное согласие.

То есть, каждую цель обработки персональных данных субъект должен иметь возможность согласовать или не согласовать.

Как с этим быть?

Не делать же отдельные согласия на обработку персональных данных под каждую цель!

Если целей обработки персональных данных много, то такой подход вообще не осуществим.

Поможет модульное согласие на обработку персональных данных, которое автоматически формируется с помощью конструктора документов для хранения и обработки персональных данных по методу Рисковер.

Конструктор документов для обработки персональных данных по методу Рисковер автоматически формирует согласие на обработку персональных данных с возможностью субъекта проставить галочки напротив каждой цели обработки персональных данных, а также сгенерирует следующие документы:

Положение (политика) работы с персональными данными клиентов, контрагентов и пользователей сайта;

Согласие на обработку персональных данных пользователя сайта;

Регламент допуска работников к обработке персональных данных;

Положение о защите персональных данных работников;

Приказ о назначении ответственного по работе с персональными данными;

Обязательство работника о неразглашении персональных данных пользователей сайта;

Разъяснение юридических последствий отказа от предоставления персональных данных работником;

Приказ о допуске к обработке ПД;

Список должностей работников, доступ которым необходим;

Приказ о назначении ответственных в отношении обработки персональных данных;

Приказ об утверждении перечня мест хранения персональных данных;

Положение о защите персональных данных клиентов;

Положение о порядке уничтожения персональных данных;

Правила осуществления внутреннего контроля соответствия обработки персональных данных;

Журнал учета прохождения первичного инструктажа работниками;

Журнал учета съемных носителей персональных данных;

Журнал учета лиц, допущенных к работе с персональными;

Журнал учета обращений субъектов ПД;

Журнал регистрации фактов нарушения и восстановления;

Журнал учёта прав доступа к ИСПДн;

Журнал учёта проверок, проводимых органами государственного контроля (надзора), органами муниципального контроля;

Журнал учёта средств защиты информации;

Инструкция по антивирусной защите;

Инструкция по порядку уничтожения и обезличивания персональных данных в ИСПДн;

Инструкция по рассмотрению обращений субъектов ПД;

Инструкция по организации резервирования и восстановления ПО;

Инструкция по учету и хранению съемных носителей ПД;

Инструкция по учету лиц, допущенных к работе с персональными данными в информационных системах персональных данных;

Инструкция пользователя инф.системы ПД;

Инструкция пользователя информационной системы персональных данных при возникновении нештатной ситуации;

Матрица доступа к информационным системам ПД;

Положение о порядке доступа в помещения;

Положение об обработке перс.данных без использования средств автоматизации.

Если согласие на обработку персональных данных дается субъектом на веб-сайте, то генератор такого интерактивного модульного согласия можно встроить прямо на сайт, где пользователь будет отвечать на какие цели обработки персональных данных он согласен, а на какие - нет, после чего, на основе его ответов будет сгенерировано согласие на хранение и обработку персональных данных.

Пример виджета на сайт, генерирующего модульное согласие на хранение и обработку персональных данных на основе ответов пользователя сайта.

А на этом скриншоте сгенерированного конструктором модульного согласия на обработку персональных данных видно, что субъект персональных данных может отметить то, на какие цели он согласен, а на какие - нет.

Скриншот модульного согласия на обработку персональных данных, сгенерированного по методу Рисковер

Если же персональные данные еще и будут распространяться, то на это требуется взять отдельное согласие на обработку персональных данных, разрешенных для распространения. В этом согласии нужно дать возможность субъекту персональных данных установить ограничения (условия и запреты) для каждой категории распространяемых персональных данных.

Такое модульное согласие на обработку и распространение персональных данных конструктор документов для обработки персональных данных по методу Рисковер тоже может сформировать.

Скриншот фрагмента согласия на обработку персональных данных, разрешенных для распространения.

Конструктор этих согласий на обработку перснальных данных и остальных документов, которые должны быть у оператора персональных данных гуглится по фразе "методика Riskover - персональные данные".