Одним из обязательных условий законной работы с персональными данными является получение согласия от их владельца. Это требование закреплено в пункте 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ).
Два типа согласия на обработку персональных данных
В законе предусмотрено понятие «персональные данные, допущенные к распространению». Речь идёт о случаях, когда организация делится такими данными с неограниченным кругом лиц — например, публикует информацию на сайте или в СМИ.
Если компания планирует размещать персональные данные, ей необходимо получить разрешение не только на их обработку, но и на дальнейшее распространение. Эта норма закреплена в статье 10.1 Закона № 152-ФЗ.
Таким образом, для корректной работы с персональными данными могут потребоваться следующие виды согласия:
- разрешение на обработку персональных данных (если данные не будут передаваться широкому кругу лиц);
- разрешение на обработку персональных данных, допущенных к распространению (если такие данные будут опубликованы или переданы третьим лицам).
Оба варианта можно оформить как по отдельности, так и вместе в одном документе.
Когда согласие на обработку персональных данных не требуется
Существуют ситуации, когда оператор может использовать персональные данные без согласия владельца. Основания указаны в пунктах 2–9 части 1 статьи 6 Закона № 152-ФЗ:
- выполнение обязанностей, установленных законодательством;
- предоставление данных:
- во внебюджетные фонды;
- в трудовую инспекцию;
- профсоюзам;
- правоохранительным органам;
- налоговым и военным комиссариатам;
- Роскомнадзору;
- реализация международных договоров;
- осуществление правосудия или исполнение судебного решения;
- оказание государственных или муниципальных услуг;
- исполнение условий трудового или иного договора;
- защита жизни, здоровья и интересов работника;
- реализация прав и интересов работодателя или третьих лиц при соблюдении прав субъекта;
- журналистская или творческая деятельность при соблюдении законных интересов владельца данных;
- проведение исследований с использованием обезличенных данных.
Ответственность за обработку персональных данных без согласия
Если согласие на использование или раскрытие персональных данных является обязательным, но не было получено или было получено с нарушениями, такая обработка считается незаконной. За это грозит административная ответственность по ч. 2 ст. 13.11 КоАП РФ:
- граждане — штраф от 10 000 до 15 000 рублей;
- должностные лица и ИП — от 100 000 до 300 000 рублей;
- юридические лица — от 300 000 до 700 000 рублей.
