Согласие на обработку персональных данных: юридические требования
30 сентября 2023 г.
Любая компания в своей деятельности использует большой объем личной информации о работниках, клиентах и контрагентах. Для работы с персональными данными физических лиц в большинстве случаев нужно брать у них согласие. В последние годы требования закона в части его получения меняются.
В статье рассмотрим, в каких случаях нужно получать согласие владельца персональных данных (далее также – «ПД») на их обработку, а когда можно обрабатывать личные данные без согласия, каковы требования к его оформлению и как наказывают за нарушение порядка получения.
Кто и в каких случаях должен получать согласие на обработку ПД?
Согласно статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – «Закон о персональных данных», «ФЗ № 152-ФЗ», «Закон») под обработкой персональных данных понимается любое действие (операция) или их совокупность, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, и уничтожение персональных данных. Таким образом, обработка персональных данных – это, по сути, любое действие с такими данными.
Государственные и муниципальные органы, юридические лица, индивидуальные предприниматели и самозанятые граждане, организующие или осуществляющие обработку персональных данных, называются «операторами персональных данных» (далее – «Операторы», «операторы»).
По общему правилу, для обработки персональных данных оператор ПД обязан получить согласие субъекта персональных данных (пункт 1 части 1 статьи 6 Закона о персональных данных). Обрабатывать персональные данные без согласия можно только в случаях, прямо предусмотренных в ФЗ № 152-ФЗ.
Когда допускается обработка персональных данных без согласия субъекта ПД?
Перечень оснований, когда допускается обработка персональных данных без согласия субъекта ПД, регламентирован в нескольких статьях Закона о персональных данных. Они различаются в зависимости от того, какие персональные данные подлежат обработке. Напомним, Закон выделяет следующие категории персональных данных:
- общие (ФИО, дата и место рождения, паспортные данные адрес регистрации и проживания, номер телефона, информация о семейном, социальном и имущественном положении, образовании, профессии, занимаемой должности, стаже работы и т.д.);
- специальные (сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни);
- биометрические (сведения, которые характеризуют физиологические и биологические особенности человека: фото- и видеоизображение, дактилоскопические данные, информация о радужной оболочке глаза, результаты анализов ДНК, данные о голосе).
1. Обработка общих категории персональных данных без согласия субъекта ПД разрешается в следующих случаях (часть 1 статьи 6 ФЗ № 152-ФЗ):
- для выполнения возложенных на Оператора законодательством РФ или международным договором функций, полномочий и обязанностей;
- в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- для исполнения судебного акта или исполнительного документа;
- для исполнения полномочий органов власти, государственных внебюджетных фондов, органов местного самоуправления или организаций, участвующих в оказании государственных и муниципальных услуг;
- для заключения или исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД;
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
- для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;
- для осуществления профессиональной деятельности журналиста, СМИ либо научной, литературной или иной творческой деятельности, если не нарушаются права и законные интересы субъекта ПД;
- в статистических или исследовательских целях при условии обязательного обезличивания персональных данных.
2. Обработка специальных категорий персональных данных без согласия субъекта ПД допускается в следующих случаях (часть 2 статьи 10 ФЗ № 152-ФЗ):
- в связи с реализацией международных договоров о реадмиссии (согласие государства на обратный прием своих граждан, которые подлежат депортации из другого государства);
- в соответствии с Федеральным законом от 25.01.2002 года № 8-ФЗ «О Всероссийской переписи населения»;
- в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо других ли, если получение согласия невозможно;
- в целях оказания медицинских и медико-социальных услуг лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну;
- обработка общественным объединением или религиозной организацией персональных данных своих членов;
- для осуществления прав субъекта ПД или третьих лиц или в связи с осуществлением правосудия;
- в соответствии с законодательством Российской Федерации об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, оперативно-розыскной деятельности, исполнительном производстве, уголовно-исполнительным законодательством;
- органами прокуратуры в связи с осуществлением ими прокурорского надзора;
- в соответствии с законодательством об обязательных видах страхования и страховым законодательством;
- уполномоченными государственными и муниципальными органами, организациями в целях устройства детей, оставшихся без попечения родителей;
- в соответствии с законодательством РФ о гражданстве;
- обработка обезличенных персональных данных, касающихся состояния здоровья.
3. Биометрические персональные данные могут обрабатываться без согласия субъекта ПД в следующих случаях (часть 2 статьи 11 ФЗ № 152-ФЗ):
- в связи с реализацией международных договоров о реадмиссии;
- в связи с осуществлением правосудия и исполнением судебных актов;
- в связи с проведением обязательной государственной дактилоскопической регистрации и государственной геномной регистрации;
- в случаях, предусмотренных законодательством РФ об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, оперативно-розыскной деятельности, государственной службе, нотариате, уголовно-исполнительным законодательством, законодательством о порядке выезда и въезда в Российскую Федерацию, о гражданстве Российской Федерации.
Отметим, что некоторые из рассмотренных оснований перекликаются или являются аналогичными, некоторые касаются только одной из категорий персональных данных. Подробнее данные основания рассмотрены в нашей статье «Понятие, виды и условия обработки персональных данных».
Виды согласий на работу с персональными данными
С 1 марта 2021 года Закон о персональных данных предусматривает два вида согласий, которые Оператор обязан получать на работу с персональными данными:
- Согласие на обработку персональных данных (далее по тексту – «согласие на обработку ПД»);
- Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (далее по тексту – «согласие на распространение ПД»).
Ниже рассмотрим порядок их получения подробнее.
Согласие на обработку персональных данных
Требования к согласию на обработку персональных данных регламентированы в статье 9 Закона о персональных данных.
Во-первых, согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
Во-вторых, требования к согласию различаются в зависимости от категории персональных данных.
На обработку общих персональных данных согласие может быть получено в любой форме, однако Оператор обязан подтвердить его наличие. Молчание или бездействие лица не считается согласием на обработку ПД.
Специальные и биометрические персональные данные можно обрабатывать только на основании письменного согласия субъекта ПД. При этом равнозначным согласию на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.
Также в силу части 2 статьи 16 ФЗ № 152-ФЗ требуется письменное согласие субъекта ПД в случае, если Оператор принимает юридически значимое решение исключительно на основании автоматизированной обработки персональных данных. Например, решение о приеме на работу соискателя на основании исключительно онлайн-тестирования.
В-третьих, согласие в письменной форме должно включать в себя следующие сведения:
- ФИО и адрес субъекта персональных данных, реквизиты документа, удостоверяющего его личность (номер, дата выдачи и выдавший орган);
- ФИО, адрес, реквизиты документа, удостоверяющего личность представителя, реквизиты доверенности или иного документа, подтверждающего полномочия представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или ФИО, адрес оператора ПД;
- цель обработки персональных данных;
Согласно разъяснениям Роскомнадзора цели формулируются исходя из анализа правовых актов, регламентирующих деятельность Оператора и учредительных документов, фактически осуществляемой оператором деятельности, конкретных бизнес-процессов оператора. Например, ведение кадрового и бухгалтерского учета, соблюдение налогового, пенсионного законодательства, продвижение на рынке товаров, работ, услуг и т.п.[1].
К формулированию целей рекомендуем подходить взвешенно, поскольку ФЗ № 152-ФЗ устанавливает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки (часть 5 статьи 5 ФЗ № 152-ФЗ). При этом во избежание рисков привлечения к административной ответственности, желательно для каждой цели отдельно прописать перечень обрабатываемых данных и объем действий.
- перечень персональных данных, которые подлежат обработке;
Перечень обрабатываемых данных необходимо указывать в полном объеме, при этом избегая указания избыточных, не требующихся исходя из заявленных целей обработки данных.
- наименование или ФИО, адрес лица, которому поручена обработка (если обработка будет осуществляться третьим лицом);
- перечень действий с персональными данными, на совершение которых дано согласие;
- общее описание способов обработки (автоматизированный, без использования средств автоматизации, смешанный);
- срок, в течение которого действует согласие и способ его отзыва.
Отметим, что в одном из дошедших до Верховного Суда РФ дел[2], суды поддержали позицию Оператора, что отсутствие в согласии конкретного срока действия не является нарушением Закона. В согласии было указано, что оно действует в течение неопределенного срока и может быть отозвано на основании письменного заявления субъекта ПД. Суды решили, что срок действия согласий субъектов персональных данных в таком случае заканчивается моментом письменным отзывом согласия.
- подпись субъекта ПД.
В случае недееспособности субъекта ПД согласие на обработку персональных данных дает его законный представитель, а в случае смерти – наследники, если оно не было дано субъектом персональных данных при его жизни.
Закон возлагает на Оператора обязанность предоставить доказательства получения согласия субъекта ПД на обработку его данных, в связи с чем рекомендуем оформлять его в письменной или иной форме, позволяющей подтвердить его получение.
Оформление согласий на обработку ПД в электронной форме
Закон о персональных данных не содержит прямых правил или особенностей в отношении оформления согласий на обработку в случаях, когда персональные данные предоставляются дистанционно по сети «Интернет».
Согласно разъяснениям Роскомнадзора на сайте в разделе «Часто задаваемые вопросы», если Закон не требует письменного согласия, оно может быть выражено любым способом, в частности проставлением отметки в электронном виде. На практике Операторы на своей интернет-странице размещают форму согласия и кнопку «Согласен на обработку персональных данных» или поле, в котором нужно поставить соответствующую галочку. При этом персональные данные не должны отправляться без подтверждения субъектом ПД согласия на их обработку.
Если Закон требует получения письменного согласия, документ должен быть подписан либо на бумажном носителе, либо в электронной форме (посредством электронной подписи как аналога собственноручной).
Согласие на обработку персональных данных, разрешенных для распространения
С 1-го марта 2021 года отдельно от согласия на обработку необходимо оформить согласие на распространение персональных данных (часть 1 статьи 10.1 Закона о персональных данных). Данная норма до сих пор вызывает много вопросов на практике.
Для начала разберемся в терминологии. Что можно считать распространением персональных данных? Статья 3 ФЗ № 152-ФЗ, содержащая определение основных понятий, в качестве одного из действий по обработке персональных данных, называет передачу (распространение, предоставление, доступ) персональных данных. При этом под распространением персональных данных понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц, под предоставлением – раскрытие их определенному лицу или определенному кругу лиц.
Таким образом, исходя из дословного понимания нормы Закона, оператор ПД обязан получать согласие у субъекта ПД, если он планирует раскрывать персональные данные неопределенному кругу лиц. Например, опубликовать на сайте или в социальных сетях, вывесить на стенде и т.п. Такое же понимание было продемонстрировано и в пояснительной записке к законопроекту, вводящему указанное согласие. Однако в тексте статьи 10.1 ФЗ № 152-ФЗ используются все термины: передача, распространение, предоставление, доступ. Так, распространено мнение, что отдельное согласие необходимо получать и в случаях, когда данные будут раскрываться конкретным лицам. Например, при передаче данных работника в Банк для оформления «зарплатной» карты.
Требования к содержанию согласия на распространение ПД утверждены приказом Роскомнадзора от 24.02.2021 № 18[3]. Оно должно содержать:
- ФИО и контактные данные субъекта ПД (номер телефона, адрес электронной почты или почтовый адрес);
- сведения об операторе ПД (наименование, адрес, ИНН, ОГРН);
- сведения об информационных ресурсах Оператора (адрес, состоящий из наименования протокола («http» или «https»), сервера («www»), домена, имени каталога на сервере и имени файла веб-страницы), посредством которых будут предоставляться доступ неограниченному кругу лиц к персональным данными;
- цели обработки персональных данных;
- категории и перечень персональных данных, на обработку которых дается согласие;
- категории и перечень персональных данных, для обработки которых субъект ПД устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;
Например, клиент при оформлении согласия на публикацию его отзыва на сайте компании-оператора может указать, что разрешает к распространению информацию о его ФИО, но запрещает публикацию об адресе проживания и фото.
Напротив каждого вида персональных данных в составе соответствующей категории должны содержаться поля или отметки, позволяющие субъекту установить запреты и ограничения на распространение таких данных.
- условия, при которых полученные персональные данные могут передаваться оператором ПД: только по его внутренней сети с доступом лишь для строго определенных сотрудников, с использованием информационно-телекоммуникационных сетей, без передачи полученных персональных данных.
Если субъект ПД установил запреты и условия обработки Оператор в течение 3 дней после получения согласия на распространение ПД обязан опубликовать данную информацию для сведения третьих лиц (часть 10 статьи 10.1 ФЗ № 152-ФЗ).
Запреты и условия не применяются, если обработка персональных данных осуществляется в государственных, общественных и иных публичных интересах (часть 11 ст. 10.1 ФЗ № 152-ФЗ). При этом положения Закона не дают ответа на вопрос, что понимать под указанными интересами.
- срок действия согласия.
Согласие на распространение ПД может быть предоставлено непосредственно оператору ПД или с использованием информационной системы Роскомнадзора. Роскомнадзором реализован функционал, позволяющий Оператору подготовить шаблон формы согласия. При помощи сервиса в формате конструктора Оператору будет достаточно заполнить необходимые поля. Сформированный шаблон Оператор может направить в Роскомнадзора для получения рекомендаций по его формированию.
Как уже отмечалось выше, на наш взгляд, редакция статьи 10.1 Закона о персональных данных, не очень удачна и требует доработки, поскольку многие ее положения допускают возможность различного толкования.
Отзыв согласий на обработку и распространение персональных данных
Субъект ПД вправе отозвать согласие на обработку своих данных (часть 2 статьи 9 ФЗ № 152-ФЗ). Сделать это можно в любое время и без объяснения причин.
Требования к порядку отзыва Законом не регламентированы. Заявление об отзыве согласия составляют в свободной форме. На сайте Роскомнадзора есть образец такого заявления. Способ отзыва указывается при оформлении согласия на обработку ПД. Роскомнадзор рекомендует отзывать согласие тем же способом, каким оно предоставлялось. В любом случае важно зафиксировать дату его получения Оператором.
В соответствии с частью 5 статьи 20 ФЗ № 152-ФЗ оператор ПД обязан прекратить обработку персональных данных и уничтожить их в течение 30 дней со дня поступления отзыва. Иной срок может быть установлен в договоре, где субъект персональных данных выступает в качестве стороны, выгодоприобретателя или поручителя. Также продолжить обработку можно в случаях, когда Закон о персональных данных разрешает обработку и без согласия субъекта ПД.
Отзыв согласия на распространение и прекращение распространения персональных данных производится в другом порядке. В соответствии с частью 12 статьи 10.1 ФЗ № 152-ФЗ для прекращения передачи персональных данных субъект направляет требование, которое должно включать в себя:
- фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных,
- перечень персональных данных, распространение которых подлежит прекращению.
Действие ранее данного согласия на распространение прекращается с момента поступления Оператору требования, и соответственно с момента его получения Оператор обязан прекратить распространение таких персональных данных.
Требование о прекращении передачи персональных данных может быть предъявлено не только к первоначальному Оператору, но и к любому иному лицу, которое осуществляет их обработку. Иные лица обязаны прекратить передачу в течение трех рабочих дней с момента получения требования.
Продолжить распространение персональных данных разрешается, когда это необходимо для реализации полномочий органов публичной власти (часть 15 статьи 10.1 Закона о персональных данных). Отметим, что положения статьи 10.1. ФЗ № 152-ФЗ не содержат отсылок к иным указанным в Законе о персональных данных основаниям для обработки без согласия субъекта ПД, что может привести к негативным последствиям для Операторов.
Ответственность за нарушения в работе с согласиями на обработку персональных данных
За обработку персональных данных без согласия в письменной форме субъекта персональных данных либо с нарушением требований к согласию Операторов привлекают к административной ответственности по ч. 2 ст. 13.11 КоАП РФ, предусматривающей наказание – штраф на граждан от 6000 до 10 000 рублей, на должностных лиц – от 20 000 до 40 000 рублей, на юридических лиц – от 30 000 до 150 000 рублей.
Рассмотрим на примере из судебной практики. Прокуратурой была проведена проверка исполнения Управляющей компанией законодательства о персональных данных. В ходе проверки был установлен факт хранения на компьютерах Компании ФИО детей, при этом письменное согласие родителей на обработку персональных данных их детей в управляющей компании отсутствовали. Иные законные основания для обработки данных предоставлены не были. Постановлением мирового судьи Управляющая компания была признана виновной в совершении административного правонарушения, предусмотренного частью 2 статьи 13.11 КоАП РФ, с назначением административного штрафа в размере 30 000 рублей. Оспорить постановление в вышестоящих судах не удалось[4].
Если законом не предусмотрена обязательная письменная форма согласия, есть риск привлечения к ответственности по части 1 ст. 13.11 КоАП РФ за обработку персональных данных вне предусмотренных законом случаев. Влечет наложение административного штрафа на граждан от 2 000 до 6 000 рублей, на должностных лиц – от 10 000 до 20 000 рублей, на юридических лиц – от 60 000 до 100000 рублей.
Например, в одном из дел Роскомнадзором был выявлен факт обработки персональных данных В. без его согласия, выразившийся в совершении сотрудником Банка звонка на мобильный телефон В. с коммерческими предложениями. Банк был признан виновным в совершении административного правонарушения, предусмотренного частью 1 статьи 13.11 КоАП РФ, наложен административный штрафа в размере 60 000 рублей[5].
В случае невыполнения требования субъекта ПД о прекращении обработки персональных данных и отсутствия законного основания для обработки без согласия административная ответственность может наступить по части 5 статьи 13.11 КоАП РФ. Влечет наложение административного штрафа на граждан от 2 000 до 4 000 рублей, на должностных лиц – от 8 000 до 20 000 рублей, на индивидуальных предпринимателей – от 20 000 до 40 000 рублей, на юридических лиц – от 50 000 до 90 000 рублей. За повторные нарушения размер штрафов возрастает.
Кроме того, при незаконном распространении субъект персональных данных может обратиться в суд с иском о признании деятельности интернет-ресурса незаконной и обязании Роскомнадзора принять меры по ограничению доступа к нему.
Проиллюстрируем на примере из судебной практики и отметим, что количество таких исков в последние годы растет. З. обнаружил, что на интернет-ресурсе «pro….co» были размещены его персональные данные: ФИО, сведения о работе преподавателем в университете, а также сведения в оскорбительной форме, касающиеся внешнего вида, уровня квалификации и обстоятельств работы. Он направил требование об удалении его персональных данных через форму обратной связи, размещенную на Интернет-ресурсе. Однако ответ на требование получен не был. Указанные обстоятельства послужили поводом для обращения в суд с иском о признании деятельности Интернет-ресурса незаконной и обязании Роскомнадзора принять меры по ограничению доступа к нему путем внесения доменных имен, указателей страниц сайта и сетевых адресов в Реестр нарушителей прав субъектов персональных данных.
Судом было установлено, что Интернет-ресурсом согласие З. на распространение его персональных данных получено не было, иные законные основания для обработки отсутствуют. Вход на сайт свободный, не требует предварительной регистрации и пароля, ознакомиться с содержанием указанной страницы и скопировать информацию в электронном варианте может любой Интернет-пользователь. Признал данные действия, нарушающими Закон о персональных данных, иск удовлетворил в полном объеме[6].
Также субъект ПД не лишен права потребовать компенсации морального вреда, если сочтет, что его персональные данные обрабатывались незаконно. Так, например, в одном из дел А. обратилась с иском к газете о компенсации морального вреда за использование ее изображения без ее согласия в размере 120 000 рублей. Основанием для подачи иска послужил факт публикации Газетой статьи «Бабушка – «агрессор» или жертва?» с использованием ее изображения без ее согласия. Суд при рассмотрении дела пришел к выводу, что газета не доказала правомерность распространения изображения истца, которая согласия на это не давала. Оценил степень нравственных страданий и переживаний истца, учел критерии разумности и справедливости и взыскал с газеты в пользу А. компенсацию морального вреда в размере 5 000 рублей[7].
Подводя итоги, обратим внимание на необходимость получения неуклонного соблюдения требований законодательства к получению согласий при работе с персональными данными сотрудников и клиентов, своевременное отслеживание изменений, происходящих в регулировании. Игнорирование обязанностей влечет за собой риск привлечения к ответственности в виде штрафов, размер которых год от года растет, а также судебных исков.
______________________
[1] Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
[2] Определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101 по делу № А42-342/2017.
[3] Приказ Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
[4] Постановление Второго кассационного суда общей юрисдикции от 02.12.2022 по делу № 16-8909/2022.
[5] Постановление Второго кассационного суда общей юрисдикции от 01.06.2023 по делу № 16-2897/2023.
[6] Заочное решение Советского районного суда города Самары от 05.09.2023 по делу № 2-3310/2023.
[7] Определение Первого кассационного суда общей юрисдикции от 18.05.2022 № 88-12009/2022.
30 сентября 2023 г.