Согласие на обработку персональных данных: примеры, шаблоны, унифицированные формы

Если вы работаете с персональными данными, есть куча требований, как это сделать правильно. В статье рассказываем о таких моментах:

• нужно ли согласие на обработку персональных данных
• как составить документ
• что делать, если человек отзывает согласие

Что такое персональные данные. Персональные данные или ПД — информация, которая способна идентифицировать человека. Например, просто имя и фамилия не являются персональными данными, так как у человека может быть много тёзок. Имя, фамилия и номер телефона или ник в соцсетях или фотография — это уже персональные данные, так как по ним получится идентифицировать человека.

Философские взгляды, политические убеждения, отпечатки пальцев, группа крови, трудовой стаж — всё это тоже относится к ПД. Перечень таких данных можно посмотреть на сайте Роскомнадзора. Для этого откройте форму уведомления, пролистайте ее до раздела «Цели обработки персональных данных».

На этом же сайте можно подать уведомление в Роскомнадзор о том, что вы будете работать с персональными данными. Такое уведомление подают все предприниматели и даже физические лица, работающие с ПД.

Что обязаны делать операторы ПД. Оператор — любое ИП, физическое или юридическое лицо, которое собирает, обрабатывает, хранит персональные данные. Например, на сайте компании есть форма для сбора контактов потенциальных клиентов, значит компания является оператором ПД. Для устройства сотрудников на работу компания собирает их персональные данные. Она тоже является оператором ПД.

Чтобы работать с персональными данными, нужно получить разрешение у клиентов, сотрудников и даже контрагентов. Например, если вы ведёте базу поставщиков, с каждого из них нужно собрать согласие.

Какой список документов нужен по персональным данным. Кроме согласия на обработку информации нужны несколько внутренних и внешних документов.

Политика обработки персональных данных. В документе описывают цели обработки данных, какие данные будут обрабатывать, как именно. Вот шаблон документа. Его размещают на сайте.

Положение о работе с персональными данными. Это уже внутренний документ, в котором описывают состав данных, как их будут хранить, защищать, обрабатывать, обеспечивать конфиденциальность.

Обязательство о неразглашении персональных данных. Такой документ подписывают сотрудники, чтобы подтвердить, что не будут разглашать данные третьим лицам.

Если вы работаете с персональными данными, получать согласие на работу с ними нужно обязательно. Согласие берут у того человека, с чьими данными вы работаете.

Например, если в офлайн магазине вы берёте у покупателей контакты или они заполняют анкеты, нужно дать им подписать форму согласия на обработку. Можно распечатать бланк и подписывать его вручную. Чтобы собирать данные на сайте, тоже подписывают согласие.

Сбор cookie-файлов тоже относится к обработке ПД. Поэтому важно добавить на сайт плашку, чтобы пользователи соглашались на сбор cookie-файлов.

Когда при оформлении на работу вы собираете данные сотрудников, также нужно подписывать форму, но не во всех случаях. Например, ФИО, образование, паспортные данные сотрудника нужны для подписания трудового договора. В этом случае согласие получать не нужно.

Если же вы собираетесь разместить эти данные на сайте или просите дополнительно предоставить фотографию, в этом случае нужно получать заявление на согласие на обработку персональных.

Согласие не нужно, если:

• информацию обрабатывают в соответствии с трудовым, социальным, пенсионным законодательством
• данные используют для исполнения договора с клиентом или сотрудником, то есть субъектом ПД

Допустим, компания собирает данные о месте проживания клиента, чтобы отправить ему заказ. Без этой информации компания не может выполнить обязательства по договору с клиентами, поэтому на сбор таких данных согласие не нужно.

Если же в компании эти данные будут использовать для каких-то других целей, например, для настройки рекламы, брать согласие нужно. Так как это никак не связано с выполнением заказа по договору, который подписывали с клиентом.

Сотрудник или клиент может заполнить форму в письменном или электронном варианте, но есть несколько случаев, когда нужно письменное согласие на обработку:

• если компания собирает биометрические данные: фотографии (только не для личного дела), отпечатки пальцев, данные голоса
• если информация будет размещена в общедоступном источнике: в справочнике или на сайте
• если компания собирает специальные данные, то есть информацию о религиозных, политических убеждениях, национальности, состоянии здоровья

Нет типового шаблона согласия на обработку персональных, его предприниматели могут составить сами. Но для банков и всех компаний, которые передают данные в ЕСИА и ЕБС, с 1 января утверждена новая форма согласия на обработку данных в 2025 году.

Форма согласия на обработку данных, переданных в ЕСИА и ЕБС →

Всем остальным нужно составить документ, в котором будут такие разделы:

• Вводные: кто предоставляет свои данные и какой компании. Нужно указать ФИО субъекта, данные его паспорта, место жительства, а ещё название компании или ФИО физлица
• Правильное согласие на обработку персональных данных содержит перечень персональных данных, которые собирает оператор
• Цель предоставления ПД. Одна форма — одна цель. Если целей несколько, нужно для каждой составить отдельную форму
• Кто в компании занимается обработкой данных: ФИО, адрес
• Список действий с ПД
• Срок действия согласия на обработку персональных данных, способы его отзыва
• Отметка о том, что согласие дано добровольно, дата, подпись

Требования к форме описаны в 9 статье 152-ФЗ «О персональных данных». Хранение согласий на обработку осуществляется ещё 3 года после истечения срока действия согласия.

С 1 марта 2025 года форма согласия должна быть отдельным документом. Согласие на обработку персональных в договоре больше не подходит.

Вот пример формы согласия для найма сотрудников компании↓

Получить согласие нужно до того, как вы начнёте с ними работать. То есть нельзя попросить у посетителя сайта email для рассылок, прислать несколько рекламных писем и только потом письмо с формой согласия.

Если вы ищете сотрудника, просите кандидатов присылать резюме, также нужно сразу же отправлять им форму согласия. После того как человек её подпишет, вы сможете попросить его резюме, так как в нём чаще всего есть персональные данные.

Клиенты или сотрудники могут отозвать согласие на обработку данных, в этом случае компания или предприниматель должны прекратить обработку и уничтожить данные. 

Например, человек оформлял кредит в банке, подписывал согласие на обработку данных с рекламными целями. Теперь ему названивают сотрудники банка, предлагают оформить кредитную карту. Клиент закрывает все счета, отзывает согласие на обработку данных, больше из банка ему позвонить не смогут, иначе нарушат закон.

Хотя банки уничтожить данные сразу не смогут, по закону они хранят их ещё 5 лет, но названивать клиентам они перестанут.

Есть и исключения, когда отзыв согласия субъекта на обработку персональных данных ни к чему не приведёт:

• Если в соглашении между оператором и субъектом такое условие предусмотрено
• Если есть законные основания для продолжения обработки. Например, для исполнения судебных актов данные можно использовать и после отзыва согласия

Как выполнить требования закона по персональным данным, если субъект ПД отозвал согласие:

1. Создайте локальный нормативный акт об уничтожении ПД. В нём опишите, как именно будете уничтожать данные
2. Зарегистрируйте полученный отзыв разрешения
3. Отправьте или отдайте лично в руки субъекту уведомление о том, что заявление на отзыв разрешения на обработку ПД вы приняли в работу
4. Прекратите обработку персональных данных в течение 30 дней после получения отзыва
5. Создайте комиссию из трёх человек, которая будет ответственна за уничтожение ПД. Создайте акт об уничтожении данных человека, который составил отзыв

Выбрать способ уничтожения данных можно самостоятельно. Информацию в бумажном виде можно сжечь или пропустить через шредер, на компьютере данные стирают. Главное, чтобы сведения нельзя было восстановить.

Если данные обрабатывали в электронной форме, для подтверждения их уничтожения нужна выгрузка из журнала регистрации событий в информационной системе. Акты и выгрузку нужно сохранять 3 года после уничтожения данных.

1. Персональные данные или ПД — информация, которая способна идентифицировать человека. Например, просто имя и фамилия не являются персональными данными, так как у человека может быть много тёзок. Имя, фамилия и номер телефона или ник в соцсетях или фотография — это уже персональные данные, так как по ним получится идентифицировать человека.
2. Если вы работаете с персональными данными, получать согласие на работу с ними нужно обязательно, у того человека, с чьими данными вы работаете. Как заполнять согласие на обработку данных: это можно сделать в электронном или письменном в формате. Но второй вариант обязателен если собираете биометрические или специальные данные, если информация будет размещена на сайте.
3. Согласие не нужно, если информацию обрабатывают в соответствии с трудовым, социальным, пенсионным законодательством. Или если данные используют для исполнения договора с клиентом или сотрудником, то есть субъектом ПД.
4. Нет типовой формы согласия, её предприниматели могут составить сами. Например, вот согласие на обработку персональных данных образец 2025 года для сотрудников, а такую форму можно использовать для клиентов. Но для банков и всех компаний, которые передают данные в ЕСИА и ЕБС, с 1 января 2025 года утверждена новая форма согласия на обработку персональных данных.
5. Клиенты или сотрудники могут отозвать согласие на обработку данных, в этом случае компания или предприниматель должны прекратить обработку и уничтожить данные. Для этого приказом создают комиссию по уничтожению ПД, формируют акт об уничтожении ПД. Ещё нужно зарегистрировать отзыв разрешения, выдать субъекту уведомление, что его сведения будут уничтожены.
6. Если данные обрабатывали в электронной форме, для подтверждения их уничтожения нужна выгрузка из журнала регистрации событий в информационной системе. Акты и выгрузку нужно сохранять 3 года после уничтожения данных.