Когда требуется согласие по 152‑ФЗ
Согласие — одно из оснований обработки (ст. 6), которое требуется, когда нет иного прямого основания (закон/договор). Обязательно отдельное согласие для:
- специальных категорий ПДн (ст. 10) — с исключениями;
- биометрических ПДн (ст. 11);
- распространения и общедоступности (ст. 10.1) — отдельное явное согласие с настройками ограничений распространения;
- маркетинга и рассылок, если нет иного основания (например, исполнения договора).
Правовые основания без согласия (ст. 6) и типовые ошибки
Без согласия можно обрабатывать, если это необходимо для договора с субъектом, исполнения закона, охраны жизни и здоровья, обеспечения прав и законных интересов при соблюдении прав субъекта и т. д. Ошибки: «универсальное» согласие на все случаи жизни; отсутствие конкретной цели; объединение несовместимых целей; сбор лишних данных.
Виды согласий
- Общее согласие (обычные ПДн);
- На специальные категории (ст. 10);
- На биометрию (ст. 11);
- На распространение/общедоступность (ст. 10.1) — отдельная форма с возможностью ограничить круг распространения.
В согласии фиксируйте: цель, состав ПДн, действия, срок, способы обработки, перечень третьих лиц, трансграничную передачу (если планируется), порядок отзыва, реквизиты оператора.
Электронное согласие
Допустимо электронное согласие через формы сайта/приложения. Важно обеспечить доказуемость: лог‑файлы, время/дата, IP/UA, скриншоты, версия политики, текст согласия на момент принятия, чек‑бокс «не по умолчанию», двукликаемое подтверждение для чувствительных случаев. Для высокой значимости — ЭП/КЭП.