Глава 1 Согласие на обработку персональных данных: вопросы судебной практики

Современное российское законодательство о защите персональных данных предусматривает, что для их обработки оператору необходимо получить соответствующее согласие от субъекта персональных данных. Одной из основных целей регулирования порядка дачи субъектом согласия на обработку персональных данных является устранение информационной асимметрии в отношениях между оператором и субъектом персональных данных и обеспечение автономии воли последнего[1]. Согласие субъекта персональных данных на их обработку является единственным законным основанием для любого вида обработки персональных данных. Все случаи обработки персональных данных при отсутствии согласия субъекта на их обработку можно отнести к специальным: речь идет либо о специальных целях обработки, либо о специальном субъекте на стороне оператора, либо об обоих указанных случаях в совокупности.

§ 1. Общие требования к согласию на обработку персональных данных

В статье 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных», Закон № 152-ФЗ) к согласию на обработку персональных данных предъявляется ряд общих требований. Указанный закон содержит несколько условий принятия решения о предоставлении согласия на обработку персональных данных: такое решение принимается свободно, своей волей и в своем интересе. Кроме того, согласие должно отвечать следующим требованиям:

– быть точным, определенным и неабстрактным. Факт дачи согласия должен быть следствием действий субъекта персональных данных, а не вытекать из характера отношений между оператором их обработки и субъектом персональных данных. Молчание или бездействие субъекта персональных данных, даже если такое поведение в соответствии с политикой конфиденциальности оператора будет признаваться согласием, не будет удовлетворять указанному требованию. Также и в случае использования интернет-ресурсов с применением настроек конфиденциальности по умолчанию при отсутствии их изменения пользователем согласие на обработку персональных данных не будет считаться данным в надлежащей форме;

– быть информированным, то есть осведомленным о последствиях дачи такого согласия. Это требование означает, что перед дачей согласия субъекту предоставляется вся необходимая и достоверная информация о целях обработки, обрабатываемых данных, операторе и иных лицах, которые будут осуществлять обработку его персональных данных, сроки обработки, иная значимая информация, касающаяся обработки персональных данных. При этом из материалов сложившейся судебной практики следует, что желательно также и разъяснить субъекту персональных данных значение используемых терминов для полного соответствия согласия требованиям закона, поскольку без такого разъяснения информированность данного согласия может быть оспорена. Так, в постановлении Арбитражного суда Северо-Западного округа от 18 июля 2016 г. по делу № А44-9647/2015 указано: «Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным и предполагает, как минимум, письменное разъяснение субъекту персональных данных значения понятия «обработка персональных данных»;

– быть сознательным. Такое условие к даче согласия предполагает осмысленное принятие решения. Вынужденный характер дачи согласия ставит под сомнение его соответствие требованиям закона.

Статья 9 Закона № 152-ФЗ также содержит требования к форме согласия на обработку персональных данных: оно может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом. При этом помимо собственноручной подписи субъекта персональных данных на бумажном носителе признается и согласие в форме электронного документа, подписанного в соответствии с Федеральным законом электронной подписью. Таким образом, закон предусматривает широкую вариативность в вопросе оформления такого согласия.

В настоящее время согласие на обработку персональных данных может быть дано в различных формах.

§ 2. Согласие на обработку персональных данных в виде письменного документа с собственноручной подписью субъекта персональных данных

Получение согласия на обработку персональных данных в письменной форме является обязательным в следующих случаях, прямо предусмотренных Законом № 152-ФЗ:

– если в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных (ст. 8);

– если речь идет об обработке специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10);

– если речь идет о сведениях, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных (ст. 11);

– если в процессе обработки предполагается трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных. При этом, если речь идет о защите жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц, а получение согласия в письменной форме субъекта персональных данных невозможно, то такая передача может быть осуществлена (ст. 12);

– если решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных (ст. 16).

В остальных случаях соблюдение письменной формы не является обязательным.

В Законе № 152-ФЗ предусмотрен также конкретный перечень сведений, которые должны содержаться в согласии в письменной форме:

1) фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Следует отметить, что письменная форма такого согласия всегда предполагает составление отдельного документа, а не включение положения о согласии на обработку персональных данных в качестве пункта в какой-либо договор. Так, в решении по делу № А65-33540/2017 суд указывает, что включение пункта о согласии субъекта на обработку персональных данных в договор не отвечает требованиям конкретности, информированности и сознательности. Подписывая заранее разработанный текст договора, оформленный мелким шрифтом и содержащий специфические, используемые в целях Закона № 152-ФЗ и не используемые в обиходе понятия и термины, такие как «обработка персональных данных», «трансграничная передача», субъект вряд ли был достаточно информирован об истинном смысле этих понятий и терминов, а также о возможных последствиях своего согласия на обработку своих персональных данных. Суд делает вывод, что данное в договоре страхования согласие на обработку персональных данных нельзя признать в качестве надлежащего согласия в целях Закона № 152-ФЗ, поскольку такое согласие не отвечает требованиям о письменном согласии, изложенным в п. 4 ст. 9 Закона № 152-ФЗ. Требование Закона № 152-ФЗ в части того, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным, предполагает как минимум письменное разъяснение субъекту персональных данных значения понятия «обработка персональных данных», которое включает в себя любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Однако ни договор страхования, ни любой другой документ не содержат никаких сведений о разъяснении страхователю как субъекту персональных данных указанного понятия. Кроме того, из смысла ст. 9 Закона № 152-ФЗ следует, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку не просто путем подписания договора с условием о согласии, а согласие должно быть выражено свободно, своей волей и в своем интересе отдельно.

Как указано выше, среди требований законодательства к согласию на обработку персональных данных есть положение об обязательном указании срока, в течение которого действует согласие субъекта персональных данных. При этом следует отметить, что в согласии на обработку персональных данных может быть установлен и неопределенный срок его действия до отзыва со стороны субъекта персональных данных в письменной форме, и такое установление считается соответствующим требованиям закона. Так, в решении Суда апелляционной инстанции по делу № А42-342/2017 указано, что законодательная норма не предусматривает указания в согласии конкретного срока, в течение которого оно действует, предельный срок действия такого согласия также не установлен законодателем. В рассматриваемом случае срок действия согласия определен началом его действия (со дня подписания) и заканчивается моментом востребования – письменным отзывом в произвольной форме. Таким образом, срок действия согласия субъекта персональных данных на их обработку в любом случае ограничен действием самого субъекта персональных данных по представлению письменного отзыва ранее данного им согласия, в связи с чем указанный срок можно квалифицировать как срок, определяющий момент востребования. Указанное не противоречит общим правилам определения сроков, установленных по аналогии закона гражданским законодательством (ст. 190 ГК РФ).

Более того, суд указывает, что указание точного срока действия согласия субъекта персональных данных на их обработку в привязке к конкретному временному периоду или календарной дате в данном случае невозможно, поскольку предприятие как оператор персональных данных не в состоянии заранее с достоверностью определить временной промежуток, до какой календарной даты конкретный пользователь услуг плавательного бассейна будет фактически посещать бассейн и в какую дату пользователь таких услуг может прекратить таковое посещение по собственной инициативе. Между тем действием самого субъекта персональных данных по представлению письменного отзыва ранее данного им согласия его права не нарушаются. В решении по делу № А42-342/2017 суд заключает, что в части получения согласия на обработку персональных данных в отношении срока такого согласия нарушений предприятием не допущено. В рамках указанного дела также был рассмотрен вопрос об обработке биометрических персональных данных (фотографии) без письменного согласия субъекта персональных данных. В данном случае пропуск с фотографией, характеризующей физиологические и биологические особенности человека (относящейся к биометрическим персональным данным), позволяет установить, принадлежит ли данному лицу предъявляемый пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества. Суд указывает, что эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем, а потому он используется оператором для установления личности субъекта персональных данных, и данная обработка должна осуществляться в строгом соответствии со ст. 11 Закона № 152-ФЗ. Суд пришел к выводу о том, что фотографические изображения, содержащиеся на документе «пропуск», являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека. Обработка указанных данных должна осуществляться с соблюдением требований п. 1 ст. 11 Закона № 152-ФЗ, а именно при наличии согласия субъекта персональных данных. Суд апелляционной инстанции установил, что в соответствии с положением о порядке посещения плавательного бассейна для различных категорий населения в рамках государственной программы Мурманской области «Развитие физической культуры и спорта» на 2014–2020 годы, утвержденным председателем Комитета по физической культуре и спорту Мурманской области 26 апреля 2016 г., посетителями предоставлялись предприятию фотографии, которые размещались заявителем на документе «пропуск» для последующего использования в целях установления их личности. Указанные действия предприятия (сбор, оформление (размещение), использование фотографий) подпадают под понятие обработки персональных данных с позиции ч. 3 ст. 3 Закона № 152-ФЗ. Между тем согласия указанных лиц на обработку их биометрических персональных данных (фотографий) в нарушении требования ч. 1 ст. 11 Закона № 152-ФЗ предприятием не получено. При таком положении суд признал, что в данном случае использование фотографий для пропуска является обработкой биометрических персональных данных в смысле Закона № 152-ФЗ и поэтому предприятием были допущены нарушения[2].

§ 3. Согласие на обработку персональных данных в конклюдентной форме

Такая форма дачи согласия предполагает, что оно вытекает из действий субъекта. Например, факт заполнения и предоставления резюме был признан судом в качестве согласия субъекта персональных данных, отвечающих требованиям закона[3].

Таганский районный суд в решении от 1 апреля 2015 г. по делу № 2-1464/2015 признал правомерным привлечение к дисциплинарной ответственности сотрудника, в трудовые обязанности которого входила работа с персональными данными, за распространение анкет соискателей без их согласия путем направления с корпоративной почты на адреса третьих лиц, не являющихся работниками организации. Данный факт был обнаружен службой безопасности компании. Выяснилось, что резюме кандидатов были направлены в качестве примера без согласия соискателей и иных законных оснований, что стало нарушением не только локальных нормативных актов организации, но и Федерального закона «О персональных данных»[4].

§ 4. Согласие на обработку персональных данных в форме электронного документа, подписанного простой электронной подписью

В соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (далее – Федеральный закон «Об электронной подписи» простая электронная подпись – это электронная подпись, которая создается посредством использования кодов, паролей или иных средств и подтверждает факт формирования электронной подписи определенным лицом. Суды признают документ, в котором было выражено согласие в подобной форме, в качестве подписанного простой электронной подписью. Следует отметить, что для обеспечения документа, подписанного простой электронной подписью, юридической силой необходимо идентифицировать лицо, которое использует простую электронную подпись. По общему правилу идентификация лица происходит, когда субъект лично посещает организацию, выдающую ключи электронной подписи. Подписант предъявляет документ, удостоверяющий личность, и получает ключ электронной подписи.

При этом ключ простой электронной подписи может генерироваться и онлайн с использованием различных кодов подтверждения по электронной почте, SMS-кодов и др. Такая форма не предполагает очной идентификации лица с предоставлением документа, удостоверяющего личность. Однако механизм с генерированием ключей простых электронных подписей онлайн широко применяется в сфере онлайн-банкинга для физических лиц, где идентификация подписанта осуществляется в момент выдачи дебетовой или кредитной карты, к которой услуга онлайн-банкинга привязана. Также получение согласия на обработку персональных данных в форме электронного документа, подписанного простой электронной подписью, распространено в области государственных услуг для физических лиц и в сфере коммунального хозяйства.

Так, в определении Приморского краевого суда от 7 апреля 2015 г. по делу № 33-2865 указано: «Согласно оферте СМС-код используется в качестве электронной подписи клиента для формирования им каждого электронного документа. В случае идентичности СМС-кода, направленного банком, и СМС-кода, введенного в форме электронного документа для подтверждения передачи клиентом соответствующего распоряжении/заявления через интернет-банк, такая электронная подпись считается подлинной и предоставленной клиентом»[5].

Также в качестве подписанного простой электронной подписью признается согласие, подписанное с помощью кода подтверждения, высланного по электронной почте.

При этом важно соблюсти положения ст. 6 Федерального закона «Об электронной подписи», в частности, чтобы стороны (оператор и субъект) достигли соглашения о том, что направление сообщения с определенного электронного адреса будет считаться подписанием документа простой электронной подписью. Юридическая сила сообщений электронной почты подтверждается и судебной практикой. Так, в постановлении Президиума ВАС РФ от 12 ноября 2013 г. № 18002/12 указано, что «получение или отправка сообщения с использованием адреса электронной почты, известного как почта самого лица или служебная почта его компетентного сотрудника, свидетельствует о совершении этих действий самим лицом, пока им не доказано обратное».

§ 5. Согласие на обработку персональных данных без использования электронной подписи

Электронная форма дачи согласия на обработку персональных данных может быть также выражена путем проставления так называемой галочки под условиями обработки персональных данных, например в соответствующем поле на экране при оформлении заказа или регистрации на веб-сайте.

При определенных обстоятельствах такого рода согласие также может рассматриваться в качестве электронного документа, подписанного простой электронной подписью.

При регистрации на интернет-сайтах пользователь принимает условия пользования указанным интернет-сайтом (пользовательское соглашение) и тем самым берет на себя обязательства, установленные указанным соглашением, а также всеми дополнительными правилами (правила верификации), являющимися неотъемлемой частью пользовательского соглашения.

Пользователь конкретного ресурса в момент регистрации самостоятельно принимает решение о предоставлении собственных персональных данных и дает согласие на их обработку, отвечающее требованиям закона, – конкретное, информированное и сознательное. В случае если пользователь не согласен с какими-либо положениями пользовательского соглашения конкретного интернет-ресурса, он может отказаться от его использования.

В пользовательских соглашениях нередко указано, что пользователь понимает и согласен с тем, что правообладатель может использовать информацию, предоставленную пользователем, в том числе и персональные данные. Например, при регистрации в качестве участника конкурса субъект персональных данных принимает условия правил проведения конкурса, размещенных на сайте, и тем самым берет на себя обязательства, установленные указанными правилами. При этом факт участия в конкурсе означает конкретное, информированное и сознательное согласие участника на обработку организатором конкурса предоставленных участником персональных данных, в том числе фамилии, имени, отчества, номера телефона, а также почтового адреса.

§ 6. Отзыв согласия на обработку персональных данных

Часть 2 ст. 9 Закона № 152-ФЗ предусматривает возможность субъекта отозвать ранее данное согласие на обработку персональных данных. Правовым последствием отзыва является утрата права оператора на обработку персональных данных этого субъекта, за исключением случаев, когда оператор имеет иные предусмотренные Законом № 152-ФЗ основания для обработки таких данных (п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11).

Следует отметить, что бремя доказывания наличия таких оснований возлагается на самого оператора. Так, например, А.И. Савельев указывает, что в случае заключения кредитного договора у банковской организации возникает сразу несколько оснований обработки персональных данных: 1) согласие субъекта персональных данных; 2) цели исполнения договора, стороной которого является субъект персональных данных (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ); 3) выполнение возложенных законодательством на оператора обязанностей (например, сохранять идентифицирующие клиента документы в течение не менее пяти лет[6]); хранение первичных учетных документов, регистров бухгалтерского учета и бухгалтерской отчетности в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет (ч. 1 ст. 17 Федерального закона от 21 ноября 1996 г. № 129-ФЗ «О бухгалтерском учете», причем все хозяйственные операции, проводимые организацией, должны оформляться оправдательными документами)[7]. Из указанного выше следует, что даже после надлежащего исполнения кредитного договора его сторонами у банковской организации возникают обязательства перед государством, связанные с персональными данными заемщика, и поэтому даже в случае отзыва согласия на обработку персональных данных обязанности по немедленному прекращению обработки и уничтожению персональных данных не возникает.

Обработка персональных данных без согласия субъекта персональных данных допускается в случае, если она осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях. Поэтому отзыв работником своего согласия на обработку персональных данных в таких случаях также не может являться основанием для прекращения обработки его персональных данных работодателем.

Согласно ч. 5 ст. 21 Закона № 152-ФЗ в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено законодательством о персональных данных. Следует подчеркнуть, что нормами Закона № 152-ФЗ не предусмотрена обязанность оператора уведомлять субъекта персональных данных о факте прекращения обработки персональных данных в связи с удовлетворением отзыва согласия субъекта на обработку его персональных данных.

Нередко возникают ситуации, когда субъект персональных данных вынужден дать согласие на их обработку, поскольку оператор обусловил предоставление товара или оказание услуги дачей согласия на обработку персональных данных любыми способами, явно несоразмерными целям дачи согласия со стороны субъекта персональных данных. Такое согласие предусматривает обработку персональных данных с указанием целей, способов, сроков и иных параметров обработки, которые явно избыточны по отношению к тем целям, ради которых субъект персональных данных обратился к оператору. При этом в случае отказа от подписания такой формы согласия обычно оператор отказывается в свою очередь заключить договор. Такая ситуация фактически лишает субъекта персональных данных возможности выбора и противоречит действующему законодательству не только о защите персональных данных, но и о защите прав потребителей. Так, в соответствии с ч. 2 ст. 16 Закона РФ от 7 февраля 1992 г. № 2300-1 «О защите прав потребителей» (далее – Закон «О защите прав потребителей») запрещается обусловливать приобретение одних товаров (работ, услуг) обязательным приобретением других товаров (работ, услуг). Следует подчеркнуть, что это положение ст. 16 данного закона, посвященной недействительности условий договора, ущемляющих права потребителя. Очевидно, что в тех ситуациях, когда субъект персональных данных, выступая в качестве потребителя, вынужден дать под угрозой незаключения договора согласие с условиями обработки персональных данных, заранее сформулированными предпринимателем и содержащими явно избыточные положения и требования, можно говорить об ущемлении прав потребителя субъекта персональных данных и о нарушении не только законодательства о персональных данных, но и законодательства о защите прав потребителей. Данный вывод подтверждается и судебной практикой. Так, в постановлении Арбитражного суда Северо-Западного округа от 18 июля 2016 г. по делу № А44-9647/2015[8] указано, что отсутствие у потребителя права выбора возможности согласия или отказа в согласии на обработку персональных данных ущемляет права потребителей. Поскольку потребитель является экономически более слабой стороной, предоставление ему полной и достоверной информации, необходимой для принятия самостоятельного решения, является важным условием, обеспечивающим соблюдение его прав.

Федеральный арбитражный суд Московского округа в постановлении от 19 августа 2011 г. по делу № А40-129864/10-21-809 указывает, что нарушением законодательства о персональных данных является отсутствие указания в заявлении о согласии на обработку персональных данных перечня действий с персональными данными, а также указание неверного срока хранения персональных данных.

§ 7. Дача согласия на обработку персональных данных представителем субъекта персональных данных

Закон № 152-ФЗ также предусматривает возможность дачи согласия в случае недееспособности субъекта персональных данных законным представителем субъекта. Представительство в данном случае может быть законным (например, если речь идет о несовершеннолетнем ребенке, то его законными представителями являются его родители; законным представителем лица, лишенного дееспособности, выступает его опекун и др.). Документами, подтверждающими законность представительства, могут являться свидетельство о рождении, акт о назначении опекуном, а в случае добровольного представительства – надлежащим образом оформленная доверенность. Важно иметь в виду, что в действующем законодательстве нет требований об обязательном нотариальном заверении доверенности на право совершения действий с персональными данными представляемого лица.

Порядок получения согласия субъекта персональных данных на их обработку в целях предоставления государственных и муниципальных услуг в форме электронного документа устанавливается Правительством РФ. Так, постановлением Правительства РФ от 25 января 2013 г. № 33 утверждены Правила использования простой электронной подписи при оказании государственных и муниципальных услуг[9]. Данные правила устанавливают порядок использования простой электронной подписи любыми лицами при обращении за получением государственных и муниципальных услуг в электронной форме, оказываемых федеральными органами исполнительной власти, государственными корпорациями, которые в соответствии с федеральным законом наделены полномочиями по предоставлению государственных услуг в установленной сфере деятельности, органами государственных внебюджетных фондов, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления, а также за получением услуг, перечень которых устанавливается Правительством РФ и которые предоставляются государственными и муниципальными учреждениями и другими организациями, которым дается государственное или муниципальное задание на предоставление таких услуг.

Загрузка...