Условия обработки персональных данных
© Golden Sikorka / Фотобанк Фотодженика |
В этом материале:
По общему правилу обработка персональных данных может осуществляться с согласия субъекта персональных данных (далее – Согласие) (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Согласие человека должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 Закона № 152-ФЗ).
Конкретность и предметность Согласия обеспечивается тем, что цели обработки персональных данных должны быть четкими, ясно выраженными, обоснованными и понятными. Цель обработки не следует формулировать слишком обобщенно, абстрактно. Разрешая оператору обрабатывать персональные данные субъект одобряет его действия лишь в том виде и в том объеме, в котором они изначально запланированы. Согласие не может быть всеобщим. Поэтому, если в процессе обработки персональных данных меняются цели обработки, способы и т. п., оператор должен получить новое Согласие.
Информированность Согласия предполагает, что субъект персональных данных перед дачей Согласия должен получить минимальный набор информации о том, кто собирает персональные данные, в каких целях, о видах обработки, о праве отзыва Согласия и т. п.
Требование однозначности Согласия тесно связано с требованием об информированности и состоит в том, что волеизъявление гражданина должно быть выражено недвусмысленно, совершено посредством четкого утвердительного действия, будь то письменное или устное подтверждение, но ни в коем случае не молчание и не бездействие.
Другие темы
Подчеркнем, что в основу принятия субъектом персональных данных решения о предоставлении их к обработке положен гражданско-правовой принцип автономии воли (ч. 1 ст. 9 Гражданского кодекса). Принцип автономии воли подразумевает свободное и самостоятельное принятие решения, основанного исключительно на внутреннем убеждении субъекта, определяющего характер и содержание собственных действий. Согласие субъекта персональных данных на их обработку подразумевает не только свободное принятие решения на их передачу, но и свободное выражение своей воли. Волеизъявление – важный элемент согласия на обработку персональных данных, с которым, как правило, связываются юридические последствия. Согласие будет свободным, если у правообладателя имелся выбор, давать его или нет, и на каких условиях. Согласие не может считаться свободным, когда предоставление гражданину каких-либо услуг обусловлено обязательной дачей Согласия на обработку его персональных данных.
Форма согласия
Согласие дается субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом (ч. 1 ст. 9 Закона № 152-ФЗ). К примеру, Согласие исключительно в письменной форме требуется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных, на трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, персональных данных, разрешенных субъектом персональных данных для распространения. Требования к содержанию такого Согласия изложены в ч. 4 ст. 9 Закона № 152-ФЗ, а в отношении персональных данных, разрешенных субъектом персональных данных для распространения, – в приказе Роскомнадзора от 24 февраля 2021 г. № 18.
ФОРМЫ
СКАЧАТЬСогласие субъекта на обработку персональных данных
Согласие работника на обработку персональных данных
Отзыв согласия на обработку персональных данных
Если Согласие составляется в форме электронного документа, то оно должно быть подписано электронной подписью (ч. 4 ст. 9 Закона № 152-ФЗ). Электронная подпись является аналогом собственноручной подписи. Ее использование допускается в случаях и в порядке, предусмотренных законом и иными правовыми актами или соглашением сторон (п. 2 ст. 160 ГК РФ). Отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, а также во всех случаях, установленных федеральными законами, регулирует Федеральный закон от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи" (далее – Закон № 63-ФЗ).
Закон № 152-ФЗ допускает возможность оформления Cогласия в форме электронного документа, подписанного электронной подписью. Соответственно оператор вправе воспользоваться таким дозволением, используя при этом простую электронную подпись (далее – ПЭП), поскольку в Законе № 152-ФЗ нет оговорок, что электронная подпись должна быть именно квалифицированная. Однако для признания такого документа равнозначным документу, составленному на бумажном носителе, полагаем, необходимо заключить с гражданином соглашение, соответствующее требованиям ст. 9 Закона № 63-ФЗ.
Согласно п. 1 ст. 9 Закона № 63-ФЗ электронный документ считается подписанным ПЭП при выполнении, в том числе одного из следующих условий: ПЭП содержится в самом электронном документе; ключ ПЭП применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.
Кроме того, для легализации подобного документооборота оператор должен издать соответствующий локальный акт, с которым ознакомить всех участников электронного взаимодействия (ст. 18.1 Закона № 152-ФЗ).
Полагаем, что при соблюдении требований Закона № 63-ФЗ, Закона № 152-ФЗ в части обеспечения безопасности персональных данных при их обработке препятствий для использования ПЭП при оформлении договорных отношений с гражданами, включая согласие на обработку персональных данных, не имеется. Алгоритм такого взаимодействия в данном случае оператор разрабатывает самостоятельно.
При иных обстоятельствах, по смыслу приведенных норм, Согласие может быть дано в любой форме: в устной, путем аудиозаписи, включения соответствующего пункта в договор, анкету или иной документ, если при этом его содержание отвечает установленным законом требованиям к содержанию письменного согласия (разъяснения Роскомнадзора от 14 декабря 2012 г.). Так, ФАС Северо-Западного округа указал, что отправив свои данные по алгоритму заполнения анкеты-запроса на получение ипотечного кредита, форма которой была размещена на веб-ресурсе, физические лица – потенциальные клиенты фактически выразили свое согласие на обработку своих персональных данных для определенных в анкете целей (Постановление от 13 декабря 2010 г. № Ф07-13220/2010). В другом деле суд отметил, что внутренняя воля при передаче персональных данных оператору в целях обработки может выражаться не только в прямой (непосредственной) форме, но и в форме конклюдентных действий, когда субъект, намеревающийся передать свои персональные данные, совершает требующиеся от него действия без предварительного уведомления оператора о своем решении (Решение Сысертского районного суда Свердловской области от 14 мая 2012 г. по делу № 2-526/2012).
Однако оператору в любом случае необходимо обеспечить возможность подтвердить факт получения такого согласия, поскольку на него возлагается обязанность доказывать факт обработки персональных данных с согласия субъекта (ч. 3 ст. 9 Закона № 152-ФЗ).
Важно! При недееспособности гражданина письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона № 152-ФЗ). А в случае смерти такое согласие оформляют наследники умершего, если только оно не было получено от него самого при жизни (ч. 7 ст. 9 Закона № 152-ФЗ).
Согласие на обработку персональных данных несовершеннолетнего и лица, ограниченного в дееспособности
Законодатель не указывает с какого возраста субъект персональных данных вправе выражать согласие на обработку сведений о себе самостоятельно, оговаривая лишь обязательность представительства в отношении недееспособных лиц, не упоминая при этом несовершеннолетних и лиц, ограниченных в дееспособности. Однако недееспособными считаются граждане, которые признаны таковыми судом в том случае, если они вследствие психического расстройства не могут понимать значение своих действий или руководить ими (п. 1 ст. 29 ГК РФ). Несовершеннолетние граждане таковыми не являются. В силу своего возраста они наделяются законом частичной дееспособностью, объем которой постепенно расширяется.
Полагаем, что представительство лиц, под опекой которых находятся малолетние дети, то есть до 14 лет (п. 1 ст. 28 ГК РФ), в части, касающейся обработки персональных данных таких детей, необходимо. Однако несовершеннолетние в возрасте от 14 до 18 лет, на наш взгляд, могут делать соответствующее волеизъявление самостоятельно. По крайней мере, Закон № 152-ФЗ соответствующего запрета не содержит (письмо Роскомнадзора от 11 марта 2022 г. № 08-15154).
Отметим, что в Регламенте (ЕС) Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г., в отличие от отечественного законодательства, данный вопрос урегулирован: в пар. 1 ст. 8 предписано, что при предоставлении услуг информационного общества непосредственно ребенку, обработка персональных данных ребенка является законной только в случае, если ребенку исполнилось как минимум 16 лет. Если ребенок еще не достиг возраста 16 лет, такая обработка является законной, только если и поскольку согласие было дано лицом, обладающим родительской ответственностью в отношении ребенка, или было дано с его одобрения. Государствам-членам ЕС предоставлена возможность на законодательном уровне предусмотреть меньший возраст для указанных целей при условии, что такой возраст не ниже 13 лет. При этом, если профилактические мероприятия и консультационные услуги предлагаются непосредственно ребенку, то согласие лиц, обладающих родительской ответственностью, не является необходимым (пар. 38 Преамбулы).
Аналогичный подход должен иметь место и в отношении лица, ограниченного в дееспособности (ст. 30 ГК РФ). Правовой эффект ограничения дееспособности гражданина состоит в том, что он лишается возможности без помощи попечителя участвовать в имущественном обороте, за исключением совершения мелких бытовых сделок (п. 1 ст. 30 ГК РФ). Однако это не препятствует ему участвовать в иных правоотношениях, в том числе и тех, которые регулируются законодательством в области защиты персональных данных.
Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
ФОРМА
СКАЧАТЬСогласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения
Для обработки персональных данных, разрешенных для распространения, оформляется отдельное согласие (требования к нему предусмотрены в приказе Роскомнадзора от 24 февраля 2021 г. № 18). Субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) неограниченным кругом лиц (исключение: обработка персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ). Оператор же обязан в срок не позднее 3 рабочих дней с момента получения согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.
Согласие может быть предоставлено оператору:
- непосредственно;
- с использованием информационной системы Роскомнадзора – (приказ Роскомнадзора от 21 июня 2021 г. № 106).
Обращаем внимание, что субъект вправе обратиться с требованием прекратить распространение своих персональных данных, ранее разрешенных для распространения, в любое время к любому лицу, обрабатывающему его персональные данные, или в суд. Требование должно включать в себя в том числе перечень персональных данных, обработка которых подлежит прекращению. Лицо же обязано прекратить передачу (распространение, предоставление, доступ) данных в течение 3 рабочих дней с момента получения требования или в срок, указанный во вступившем в судебном решении (если срок не указан, то в течение 3 рабочих дней с момента вступления в силу решения суда).
Особенности обработки персональных данных о судимости
В соответствии с ч. 3 ст. 10 Закона № 152-ФЗ обработка персональных данных о судимости может осуществляться госорганами или муниципальными органами в пределах их полномочий, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
В частности, такое право есть у полиции. Сотрудники полиции могут обрабатывать данные о гражданах, необходимые для выполнения возложенных на них обязанностей, с последующим внесением полученной информации в банки данных (ч. 1 ст. 17 Федерального закона от 7 февраля 2011 г. № 3-ФЗ "О полиции", далее – Закон № 3-ФЗ). Так, внесению в банки данных подлежит информация о лицах, подвергающихся или подвергавшихся уголовному преследованию. Полиция должна обеспечить защиту данной информации от неправомерного и случайного доступа, уничтожения, копирования, распространения и иных неправомерных действий. Статья 17 Закона № 3-ФЗ допускает раскрытие содержащейся в банках данных информации государственным органам и их должностным лицам только в случаях, предусмотренных федеральным законом; правоохранительным органам иностранных государств и международным полицейским организациям – в соответствии с международными договорами РФ, а также гражданину, права и свободы которого непосредственно затрагиваются содержащейся в банках данных информацией.
Необходимость обработки персональных данных граждан, связанных с фактами осуждения, обусловлена также положениями ст. 65 и 331 Трудового кодекса. Отсутствие судимости, в том числе снятой или погашенной, является обязательным требованием, которое предъявляется к лицу, назначаемому на должность прокурора, к кандидатам на должность судьи, к лицам, принимаемым на службу или на работу в органы федеральной службы безопасности и т. д. В таких случаях работодатель вправе осуществлять обработку персональных данных о судимости.
С позицией Верховного Суда Российской Федерации по вопросу о признании недействующим подп. 76.2 п. 76 Административного регламента МВД России по предоставлению государственной услуги по выдаче справок о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования можно ознакомиться в Решении ВС РФ от 18 июля 2022 г. № АКПИ22-365.
Особенности обработки биометрических персональных данных
Напомним, биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, которые обрабатываются оператором исключительно в целях идентификации субъекта персональных данных. Как указывает Минцифры России, к ним относятся физиологические параметры (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.) и иные физиологические или биологические характеристики человека, в том числе его изображения (фотография и видеозапись), в частности фотографические изображения обучающихся, сотрудников и посетителей организации, поскольку они характеризуют физиологические и биологические особенности человека (письмо от 28 августа 2020 г. № ЛБ-С-074-24059).
Для обработки биометрических персональных данных требуется согласие самого субъекта (или его законного представителя). При этом в соответствии с ч. 2 ст. 11 Закона № 152-ФЗ такое согласие не требуется в случае:
- реализации международных договоров РФ о реадмиссии;
- осуществления правосудия и исполнение судебных актов;
- проведения обязательной государственной дактилоскопической регистрации;
- случаях, предусмотренных законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из РФ и въезда в РФ, о гражданстве РФ, законодательством РФ о нотариате.
Предоставление биометрических персональных данных не может быть обязательным, кроме случаев, когда не требуется согласия субъекта. Оператор не может отказывать в обслуживании гражданину в случае отказа предоставить биометрические персональные данные или дать согласие на их обработку.
Подробнее о единой биометрической системе, дактилоскопической идентификационной системе и системе генетической идентификации, читайте в Энциклопедии решений системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!
Форма согласия на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе, в том числе на передачу векторов единой биометрической системы, утверждена распоряжением Правительства РФ от 30 июня 2018 г. № 1322-р.
Последняя актуализация: 23 июня 2023 г.