Права субъекта персональных данных
© scusi0-9 / Фотобанк Фотодженика |
Они подробно прописаны в гл. 3 Закона № 152-ФЗ.
Право на доступ к персональным данным
Право субъекта на доступ к его персональным данным включает ряд правомочий (ч. 1 ст. 14 Закона № 152-ФЗ), которым корреспондируются соответствующие обязанности оператора.
Во-первых, право получать информацию об обработке его персональных данных конкретным оператором в объеме, определенном ч. 7 ст. 14 Закона № 152-ФЗ. Причем, исходя из буквального содержания приведенной нормы, данное право не обусловлено какими-либо причинами. То есть гражданин в любое время может запросить интересующую его информацию, и оператор обязан в течение 10 рабочих дней с момента обращения либо получения запроса предоставить информацию самому гражданину или его представителю либо в течение того же срока направить заявителю мотивированный отказ со ссылкой на конкретную норму права (ч. 3, ч. 6 ст. 14, ч. 1, 2 ст. 20 Закона № 152-ФЗ). Указанный срок может быть продлен не более чем на 5 рабочих дней. При этом оператор должен направить в адрес субъекта мотивированное уведомление о задержке ответа с указанием причин продления срока направления запрошенной информации.
Субъект или его представитель могут обратиться к оператору лично либо посредством направления письменного запроса или запроса в электронной форме. В письменном запросе должны быть указана следующая информация:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие отношения с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
- подпись субъекта или его представителя.
Другие темы
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если обработка осуществляется в целях обороны страны, безопасности государства и охраны правопорядка, то есть в публичных интересах, а также если такая обработка производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством РФ случаев, допускающих ознакомление подозреваемого или обвиняемого с такими персональными данными (ч. 8 ст. 14 Закона № 152-ФЗ).
Во-вторых, право требовать уточнения обрабатываемых оператором персональных данных. Такое право возникает у лица, когда персональные данные, находящиеся в распоряжении оператора, являются неполными, устаревшими или неточными. Подчеркнем, что речь в данном случае идет не о получении новых, а об актуализации имеющихся данных у оператора. Последний обязан внести требуемые изменения в срок, не превышающий 7 рабочих дней с даты получения обоснованного запроса субъекта об имеющихся дефектах обрабатываемых персональных данных. Помимо этого, оператор обязан уведомить носителя персональных данных о внесенных изменениях или принять разумные меры для уведомления третьих лиц, которым эти данные были переданы (ч. 3 ст. 20 Закона № 152-ФЗ).
В-третьих, право на блокирование персональных данных. Блокирование означает временное прекращение обработки персональных данных (п. 7 ст. 3 Закона № 152-ФЗ). В силу ч. 1-2 ст. 21 Закона № 152-ФЗ в случае выявления неточных персональных данных при обращении к нему субъекта или его представителя либо по их запросу или по запросу Роскомнадзора оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В-четвертых, право требовать уничтожения персональных данных, что подразумевает совершение действий, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п. 8 ст. 3 ФЗ № 152-ФЗ). Данное право может быть реализовано в отношении сведений, которые были получены оператором незаконно или являются избыточными по отношению к целям обработки. Оператор обязан уничтожить соответствующие персональные данные в срок, не превышающий 3 рабочих дней с момента получения мотивированного запроса от субъекта. Если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
Если уничтожить персональные данные невозможно, то оператор осуществляет блокирование таких сведений или обеспечивает их блокирование (если обработка данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает их уничтожение в срок не более чем 6 месяцев.
Кроме того, так же как и в случае с уточнением персональных данных, оператор обязан уведомить носителя персональных данных, Роскомнадзор (в зависимости от того, кто обращался с соответствующим запросом) о совершенных действиях или принять разумные меры для уведомления третьих лиц, которым эти данные были переданы (ч. 3 ст. 20 Закона № 152-ФЗ).
Напомним, субъект вправе в любой момент обратиться к оператору с требованием о прекращении обработки персональных данных, при этом оператор обязан в срок, не превышающий 10 рабочих дней с даты его получения, прекратить обработку данных или обеспечить прекращение такой обработки, за исключением случаев, предусмотренных п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона № 152-ФЗ. Срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления.
Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
В случаях, когда анализ персональных данных и принятие решения в отношении конкретного человека осуществляются исключительно в автоматизированном режиме, для субъекта персональных данных возникают определенные риски. Например, кредитная организация может отказать потенциальному заемщику в выдаче кредита после оценки информационной системой его платежеспособности, кредитной истории и т. п. информации. Работодатель на основе автоматизированной обработки персональных данных соискателя может счесть его непригодным для выполнения той или иной работы. К тому же возможны погрешности внесения персональных данных в информационную систему самим субъектом, поскольку он делает это самостоятельно без чьей-либо помощи, что также может повлечь для него негативные последствия. В связи с этим законодатель и устанавливает дополнительные гарантии для защиты прав и законных интересов субъектов персональных данных.
Так, условия допустимости принятия подобных решений приведены в ч. 2 ст. 16 Закона № 152-ФЗ. Такая обработка персональных допускается исключительно при наличии согласия физического лица в письменной форме либо в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных (например, ст. 85.1 Воздушного кодекса РФ, ст. 11 Федерального закона от 9 февраля 2007 г. № 16-ФЗ "О транспортной безопасности").
При этом оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов (ч. 3 ст. 16 Закона № 152-ФЗ). Если субъект возражает, то оператор обязан рассмотреть заявленное возражение в течение 30 дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения (ч. 4 ст. 16 Закона № 152-ФЗ). В какой форме должно быть заявлено возражение, Закон № 152-ФЗ не раскрывает. Полагаем, это отнесено на усмотрение оператора и должно быть закреплено во внутреннем документе организации.
Право на обжалование действий или бездействия оператора персональных данных
Гражданин вправе обжаловать действия оператора, связанные с нарушением законодательства в сфере защиты персональных данных как в административном порядке, обратившись в Роскомнадзор, так и в судебном (ч. 1 ст. 17 Закона № 152-ФЗ). При этом законодательство не устанавливает обязательного соблюдения досудебной процедуры, поэтому субъект самостоятельно решает, в какой орган ему обратиться за защитой своих прав.
Обжалование в Роскомнадзор
Роскомнадзор при рассмотрении обращений граждан руководствуется Федеральным законом от 2 мая 2006 г. № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (далее – Закон № 59-ФЗ). Жалоба может быть подана в электронном виде через Единый портал госуслуг или через сайт Роскомнадзора либо на бумажном носителе заявителем лично или посредством почтовой связи.
Обращение гражданина составляется в произвольной форме, но при этом в обязательном порядке должно содержать (ст. 7 Закона № 59-ФЗ):
- наименование Роскомнадзора, либо фамилию, имя, отчество соответствующего должностного лица, либо должность соответствующего лица;
- фамилию, имя, отчество (при наличии) заявителя;
- адрес электронной почты, если ответ должен быть направлен в форме электронного документа, либо почтовый адрес, если ответ должен быть направлен в письменной форме, и суть жалобы;
- личная подпись и дата (в письменном обращении).
Гражданин вправе приложить к своему обращению необходимые документы и материалы в электронной форме либо направить указанные документы и материалы или их копии в письменном виде.
Действующее законодательство не содержит оснований для отказа в приеме документов, приостановления или отказа в рассмотрении обращений граждан. Однако в некоторых случаях Роскомнадзор вправе не отвечать на обращения. Согласно ст. 11 Закона № 59-ФЗ такая возможность допускается, если:
- не указаны фамилия, имя и отчество (при наличии) гражданина, направившего обращение, или почтовый адрес, по которому должен быть направлен ответ;
- обжалуется судебное решение. В такой ситуации жалоба в течение 7 дней со дня регистрации возвращается заявителю с разъяснением порядка обжалования данного судебного решения;
- содержатся нецензурные либо оскорбительные выражения, угрозы жизни, здоровью и имуществу должностного лица, а также членов его семьи. При этом заявителю сообщается о недопустимости злоупотребления правом;
- текст обращения не поддается прочтению. Если текст не позволяет определить суть предложения, заявления или жалобы, не позволяет определить его суть, ответ на обращение не дается, а гражданину в течение 7 дней направляется соответствующее уведомление (ч. 4, 4.1 ст. 11 Закона № 59-ФЗ);
- содержится вопрос, на который Роскомнадзором два и более раза давались письменные ответы по существу в связи с ранее направляемыми обращениями, и при этом заявитель не приводит новых доводов или обстоятельств;
- ответ по существу поставленного в обращении вопроса не может быть дан без разглашения сведений, составляющих государственную или иную охраняемую федеральным законом тайну.
Срок рассмотрения обращения граждан в Роскомнадзор по общему правилу составляет 30 дней с даты их регистрации (ч. 1 ст. 12 Закона № 59-ФЗ), который может быть продлен не более чем на 30 дней, о чем гражданин уведомляется.
Обжалование в суд
Судебный способ защиты прав субъекта персональных данных реализуется по правилам гражданского судопроизводства в соответствии с Гражданско-процессуальным кодексом РФ. Рассмотрение спора осуществляется в исковом порядке (подраздел II ГПК РФ). Иски подаются в районный суд (ст. 24 ГПК РФ) по месту жительства или адресу ответчика (оператора персональных данных). Однако для данной категории споров предусмотрена альтернативная подсудность, в силу которой иски о защите прав субъекта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, могут предъявляться также в суд по месту жительства истца (ч. 6.1 ст. 29 ГПК РФ). Право выбора при этом принадлежит истцу.
В судебном порядке гражданин вправе требовать, помимо восстановления нарушенных прав, возмещения убытков и (или) компенсацию морального вреда (ч. 2 ст. 17 Закона № 152-ФЗ).
В соответствии со ст. 15 Гражданского кодекса лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков, если законом или договором не предусмотрено возмещение убытков в меньшем размере. Под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы (упущенная выгода).
При этом по общему правилу вред, причиненный личности или имуществу гражданина, подлежит возмещению в полном объеме лицом, причинившим вред (п. 1 ст. 1064 ГК РФ). В отдельных случаях законом обязанность возмещения вреда может быть возложена на лицо, не являющееся непосредственным причинителем вреда. Например, ответственность за действия своих работников при исполнении ими трудовых (служебных, должностных) обязанностей несет работодатель: юридическое лицо или гражданин (п. 1 ст. 1068 ГК РФ). Обязательство из причинения вреда (деликтное обязательство) возникает при наличии в совокупности четырех элементов: наличия убытков; факта противоправного поведения (действия или бездействия) причинителя вреда; причинной связи между поведением причинителя и возникновением убытков; вины причинителя вреда. Обязанность доказывания первых трех элементов (объективных) возлагается на потерпевшего, в частности субъекта персональных данных. Вина же причинителя вреда (субъективный элемент) предполагается (презюмируется), а потому лицо, причинившее вред, должно доказать ее отсутствие (п. 2 ст. 1064 ГК РФ).
Отметим, что на практике доказать факт причинения имущественного вреда в результате противоправных действий оператора при обработке персональных данных физического лица достаточно сложно, поэтому суды, как правило, подобные иски отклоняют в связи с отсутствием доказательств. Однако взыскать компенсацию морального вреда вполне возможно. Согласно положениям ст. 151 ГК РФ, если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.
Условия привлечения к гражданско-правовой ответственности в данном случае те же самые, при этом компенсация морального вреда не зависит от наличия или отсутствия причиненного гражданину имущественного ущерба (п. 3 ст. 1099 ГК РФ). Достаточно доказать факт противоправного нарушения прав и законных интересов субъекта персональных данных и наступление вследствие этого негативных последствий для него. Моральный вред может иметь место, в частности, в случаях нежелательного для субъекта раскрытия конфиденциальной информации (например, о состоянии здоровья, семейной жизни и т. п.) неопределенному кругу лиц; во временном ограничении или лишении субъекта каких-либо прав (например, недостоверные сведения о наличии у гражданина задолженности по кредиту, алиментным обязательствам могут являться препятствием для выезда за границу; ошибочные сведения о судимости – отказом в приеме на работу) и т. п. Однако в любом случае субъект должен представить суду доказательства, какими именно действиями (бездействием) оператора ему причинены нравственные или физические страдания и в чем они выражались, поскольку голословные утверждения субъекта о причинении ему страданий не могут быть положены в основу судебного решения.
Размер компенсации морального вреда определяется судом в зависимости от характера причиненных физических и нравственных страданий, а также степени вины причинителя вреда в случаях, когда вина является основанием возмещения вреда. При определении размера компенсации вреда должны учитываться требования разумности и справедливости. Характер физических и нравственных страданий оценивается судом с учетом фактических обстоятельств, при которых был причинен моральный вред, и индивидуальных особенностей лица (Определения Новосибирского областного суда от 7 ноября 2017 г. по делу № 33-10773/2017, Верховного Суда Республики Бурятия от 17 января 2018 г. по делу № 33-151/2018).
Права субъектов персональных данных при обработке их данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
В ч. 1 ст. 15 Закона № 152-ФЗ указано, что обработка персональных данных в маркетинговых целях, а также в целях политической агитации, осуществляемая путем прямых контактов с потенциальными потребителями, электоратом с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных. В данном случае речь идет о ситуациях, когда конкретным физическим лицам рассылаются почтовые, электронные или sms-сообщения, содержащие информацию агитационного характера или о товарах, предстоящих акциях, выгодных предложениях и т. д. Эта адресная рассылка предполагает, что организация-отправитель владеет различными персональными данными о получателе (Ф.И.О., номером телефона, адресом проживания, электронной почты, датой рождения и др.) и совершает с ними определенные действия: осуществляет сбор, накопление, систематизацию, хранение и т. п.
Положения приведенной нормы являются специальными по отношению ко всем другим основаниям обработки персональных данных, перечисленным в ч. 1 ст. 6, ч. 2 ст. 10 Закона № 152-ФЗ. Соответственно, каких-либо исключений, освобождающих оператора от получения согласия физического лица на получение информации рекламного или агитационного характера, не имеется. При этом в ч. 2 ст. 15 Закона № 152-ФЗ закреплена безусловная обязанность оператора немедленно прекратить по требованию субъекта персональных данных обработку данных в обозначенных целях.
При обработке персональных данных в маркетинговых целях надлежит также учитывать положения Федерального закона от 13 марта 2006 г. № 38-ФЗ "О рекламе" (далее – Закон № 38-ФЗ), так как отсутствие согласия физического лица на получение сообщений рекламного характера может одновременно свидетельствовать и о нарушении законодательства о рекламе.
Согласно подп. 1 п. 1 ст. 3 Закона № 38-ФЗ под рекламой понимается информация, распространенная любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке.
В силу п. 1 ст. 18 Закона № 38-ФЗ распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. Согласие абонента на получение рекламы может быть выражено в любой форме, достаточной для его идентификации и подтверждения волеизъявления на получение рекламы от конкретного рекламораспространителя (п. 15 Постановления Пленума Высшего Арбитражного Суда Российской Федерации от 8 октября 2012 г. № 58). При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием (Определение Новосибирского областного суда от 28 июня 2018 г. по делу № 33-6000/2018).
Последняя актуализация: 11 ноября 2024 г.