Соответствует ли такое согласие требованиям Роскомнадзора?

Анализ текста согласия на обработку персональных данных (имя, email) на предмет соответствия рекомендациям Роскомнадзора

1. Правовая основа для оформления согласия

Рекомендации Роскомнадзора, размещённые на его официальном сайте, в большинстве случаев представляют собой детализированное толкование положений Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). Поэтому проверку текста согласия следует проводить через призму требований этого закона.

Ваша форма обрабатывает имя и email. Эти сведения являются персональными данными, так как согласно закону это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (Источник: Федеральный закон "О персональных данных", статья 3). Обработка таких данных требует получения согласия субъекта, если она не подпадает под иные законные основания (Источник: Федеральный закон "О персональных данных", статья 6, часть 1, пункт 1).

2. Анализ текста предоставленного согласия

2.1. Перечень операций обработки

Перечисление в согласии таких операций, как сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, является юридически грамотным подходом. Такой перечень полностью соответствует определению обработки персональных данных, данному в законе. Согласие должно включать «перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных» (Источник: Федеральный закон "О персональных данных", статья 9, часть 4, пункт 7).

Таким образом, детализация операций не является нарушением, а напротив, делает согласие более «конкретным, предметным и информированным», как того требует закон (Источник: Федеральный закон "О персональных данных", статья 9, часть 1). Это полностью соответствует рекомендациям Роскомнадзора.

2.2. Срок хранения персональных данных

Установление срока хранения — «5 лет после последнего обращения» — в целом соответствует принципу, что «хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных» (Источник: Федеральный закон "О персональных данных", статья 5, часть 7). Указывать конкретный срок в согласии обязательно, так как закон требует включать «срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва» (Источник: Федеральный закон "О персональных данных", статья 9, часть 4, пункт 8).

Однако, здесь есть потенциальная проблема. Вам нужно четко обосновать, почему для достижения вашей цели (например, ответ на запрос, рассылка новостей) необходим именно пятилетний срок, а не, скажем, один год. Если цель обработки достигнута раньше (например, пользователь отписался от рассылки и не совершает иных действий), вы обязаны прекратить обработку. Основной риск не в цифре «5 лет», а в выполнении вашей обязанности прекратить обработку и уничтожить данные сразу по достижении цели, как того требует ч. 4 ст. 21 Закона № 152-ФЗ.

2.3. Оговорка о непроверке достоверности предоставленных данных

Этот пункт является рискованным и может вызвать претензии при проверке. Закон устанавливает, что «при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры... по удалению или уточнению неполных или неточных данных» (Источник: Федеральный закон "О персональных данных", статья 5, часть 6).

Заявляя, что вы не проверяете достоверность, вы фактически отказываетесь от исполнения возложенной на вас законом обязанности. В случае, если субъект предоставит недостоверные данные и это повлечет какие-либо последствия, ваша оговорка не освободит вас от ответственности за обработку неточных данных. Правильнее сформулировать этот пункт иначе, например: «Оператор исходит из достоверности персональных данных, предоставленных субъектом. Вместе с тем, субъект вправе в любое время потребовать уточнения, блокирования или уничтожения своих неполных, устаревших, неточных данных, и оператор обязан выполнить это требование».

2.4. Гарантии конфиденциальности и защиты

Формулировка о гарантии конфиденциальности и защите от несанкционированного доступа является обязательной и полностью соответствует закону. Операторы обязаны «не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных» (Источник: Федеральный закон "О персональных данных", статья 7). Кроме того, оператор обязан принимать меры по обеспечению безопасности, что относится к политике оператора, доступ к которой должен быть неограниченным (Источник: Федеральный закон "О персональных данных", статья 18.1, часть 2).

Включение этих гарантий в текст согласия демонстрирует добросовестность и информирует субъекта о принимаемых мерах, что соответствует принципу «информированности» согласия.

3. Обязательные элементы, которые необходимо проверить и, возможно, добавить

Роскомнадзор особое внимание уделяет полноте содержания согласия. В вашем проекте необходимо проверить наличие следующих пунктов, прямо предусмотренных ст. 9 Закона № 152-ФЗ:

1. Наименование оператора. В тексте согласия должно быть указано «наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных» (ст. 9, ч. 4, п. 3). Если вы используете форму, убедитесь, что эти реквизиты явно указаны.
2. Цель обработки персональных данных. Это критически важный элемент. Должно быть четко указано, для чего именно собираются имя и email (например, «для регистрации на сайте и направления информационных сообщений»). Без этого согласие будет неконкретным, что является нарушением (ст. 9, ч. 4, п. 4).
3. Перечень персональных данных. Должен быть перечислен состав собираемой информации (имя, адрес электронной почты), как того требует пункт 5 части 4 статьи 9 Закона № 152-ФЗ.
4. Способ отзыва согласия. Согласие должно содержать не только срок, но и «способ его отзыва» (ст. 9, ч. 4, п. 8). Просто указать, что согласие действует 5 лет, недостаточно. Необходимо прописать механизм отзыва, например: «Согласие может быть отозвано субъектом путем направления письменного заявления на адрес оператора или электронного письма на адрес example@site.ru».

Выводы и рекомендации

1. Проект согласия в целом движется в правильном направлении. Детальный перечень операций, срок хранения и гарантии конфиденциальности — это плюсы.
2. Основной риск — оговорка о непроверке достоверности. Её формулировку настоятельно рекомендуется изменить, приведя в соответствие с обязанностью оператора принимать меры по обеспечению точности данных, закрепленной в ст. 5 Закона № 152-ФЗ.
3. Критически важно проверить наличие всех обязательных элементов, указанных в ч. 4 ст. 9 Закона № 152-ФЗ: полное наименование и адрес оператора, конкретные цели обработки, точный перечень собираемых данных (имя, email) и реально работающий способ отзыва согласия. Отсутствие хотя бы одного из этих пунктов с высокой вероятностью послужит основанием для претензий при проверке Роскомнадзора.

Если после доработки текста у вас останутся сомнения в его полноте, разумным шагом будет обратиться за консультацией к профильному адвокату для вычитки финальной версии документа.