ГОСТ ISO/IEC 29100-2021. Межгосударственный стандарт. Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных

5.2 Согласие и выбор

 

Соблюдение принципа согласия означает:

- предоставление субъекту ПДн выбора между разрешением или недопущением обработки его ПДн, за исключением случаев, когда субъект ПДн не может прямо дать согласие или когда соответствующий закон разрешает проведение обработки ПДн без согласия физического лица. Выбор субъектом ПДн должен быть свободным и основан на знаниях;

- получение согласия на обработку от субъекта ПДн для сбора или иной обработки специальных категорий ПДн, за исключением случаев, когда соответствующий закон разрешает обработку специальных категорий ПДн без согласия физического лица;

- информирование субъекта ПДн (до получения его согласия) о его правах в соответствии с принципом индивидуального участия и доступа;

- предоставление субъекту ПДн (до получения его согласия) информации, обозначенной принципами открытости, прозрачности и уведомления;

- объяснение субъекту ПДн последствий получения согласия на предоставление и обработку ПДн или отказа от согласия.

Необходимо предоставить субъекту ПДн возможность выбора того, каким образом его ПДн будут обрабатываться, и разрешить ему отозвать согласие без затруднений и бесплатно. Реализация запроса должна выполняться в соответствии с законодательством по обеспечению безопасности ПДн. Даже если согласие будет отозвано, оператор ПДн может сохранить некоторые ПДн на определенный период времени в порядке исполнения правовых или договорных обязательств (например, реализация требований законодательства по хранению данных или по обязательной отчетности). В случае, когда обработка ПДн базируется не на согласии, а на другой правовой основе, оператор ПДн должен быть уведомлен об этом. В тех случаях, когда субъект ПДн имеет возможность отзыва согласия, но не решается так поступить, эти ПДн должны быть защищены от обработки для какой-либо незаконной цели.

Для оператора ПДн соблюдение принципа выбора означает:

- предоставление субъекту ПДн четких, известных, доступных, легко понимаемых, по умеренной стоимости механизмов для осуществления выбора и предоставления согласия в отношении обработки его ПДн во время сбора, первоначального использования или после, когда это будет целесообразно;

- осуществление предпочтений субъекта ПДн, которые выражены в его согласии.

Кроме того, соответствующий закон может определить дополнительные условия в отношении согласия и другие основания для обработки ПДн, отличные от согласия (например, выполнение условий контракта, жизненные интересы субъекта ПДн или соблюдение закона). Применимый закон в некоторых случаях предусматривает, что согласие субъекта ПДн не является достаточным юридическим основанием для обработки ПДн (например, согласие подростка, данное без одобрения родителей или опекуна). Кроме того, следует учитывать дополнительные требования при передаче ПДн между различными государствами. Оператор ПДн несет ответственность за соблюдение этих дополнительных требований до обработки и передачи данных.