Согласие — одно из оснований обработки (ст. 6), которое требуется, когда нет иного прямого основания (закон/договор). Обязательно отдельное согласие для:
Без согласия можно обрабатывать, если это необходимо для договора с субъектом, исполнения закона, охраны жизни и здоровья, обеспечения прав и законных интересов при соблюдении прав субъекта и т. д. Ошибки: «универсальное» согласие на все случаи жизни; отсутствие конкретной цели; объединение несовместимых целей; сбор лишних данных.
В согласии фиксируйте: цель, состав ПДн, действия, срок, способы обработки, перечень третьих лиц, трансграничную передачу (если планируется), порядок отзыва, реквизиты оператора.
Допустимо электронное согласие через формы сайта/приложения. Важно обеспечить доказуемость: лог‑файлы, время/дата, IP/UA, скриншоты, версия политики, текст согласия на момент принятия, чек‑бокс «не по умолчанию», двукликаемое подтверждение для чувствительных случаев. Для высокой значимости — ЭП/КЭП.
Для несовершеннолетних согласие дает законный представитель. Организуйте верификацию статуса представителя (заявление, скан доверенности/свидетельства), отдельные шаблоны форм и журнал учета.
Субъект вправе отозвать согласие в любой момент. Оператор прекращает обработку, если нет иного основания (закон/договор/обезличивание). Опишите канал отзыва (почта/форма), срок обработки и подтверждение результата субъекту.
Ведите журнал согласий: дата/время, форма, версия текста, субъект, обработчик, цель, срок. Храните доказательства (логи, ID записи формы, письмо‑подтверждение). Это критично на проверках РКН и в суде.
Чек‑лист: [ ] Явность; [ ] Конкретность; [ ] Доказуемость; [ ] Отзыв; [ ] Логирование; [ ] Синхронизация с уведомлением РКН.