Ответы на перечисленные, а также на многие другие вопросы постарались дать авторы настоящего комментария, при этом делая акцент на потребности юридической практики.
Глава 1
Согласие на обработку персональных данных: вопросы судебной практики
Современное российское законодательство о защите персональных данных предусматривает, что для их обработки оператору необходимо получить соответствующее согласие от субъекта персональных данных. Одной из основных целей регулирования порядка дачи субъектом согласия на обработку персональных данных является устранение информационной асимметрии в отношениях между оператором и субъектом персональных данных и обеспечение автономии воли последнего[1]. Согласие субъекта персональных данных на их обработку является единственным законным основанием для любого вида обработки персональных данных. Все случаи обработки персональных данных при отсутствии согласия субъекта на их обработку можно отнести к специальным: речь идет либо о специальных целях обработки, либо о специальном субъекте на стороне оператора, либо об обоих указанных случаях в совокупности.
§ 1. Общие требования к согласию на обработку персональных данных
В статье 9 Федерального закона от 27 июля 2006 г. 152-ФЗ «О персональных данных» (далее Федеральный закон «О персональных данных», Закон 152-ФЗ) к согласию на обработку персональных данных предъявляется ряд общих требований. Указанный закон содержит несколько условий принятия решения о предоставлении согласия на обработку персональных данных: такое решение принимается свободно, своей волей и в своем интересе. Кроме того, согласие должно отвечать следующим требованиям:
быть точным, определенным и неабстрактным. Факт дачи согласия должен быть следствием действий субъекта персональных данных, а не вытекать из характера отношений между оператором их обработки и субъектом персональных данных. Молчание или бездействие субъекта персональных данных, даже если такое поведение в соответствии с политикой конфиденциальности оператора будет признаваться согласием, не будет удовлетворять указанному требованию. Также и в случае использования интернет-ресурсов с применением настроек конфиденциальности по умолчанию при отсутствии их изменения пользователем согласие на обработку персональных данных не будет считаться данным в надлежащей форме;
быть информированным, то есть осведомленным о последствиях дачи такого согласия. Это требование означает, что перед дачей согласия субъекту предоставляется вся необходимая и достоверная информация о целях обработки, обрабатываемых данных, операторе и иных лицах, которые будут осуществлять обработку его персональных данных, сроки обработки, иная значимая информация, касающаяся обработки персональных данных. При этом из материалов сложившейся судебной практики следует, что желательно также и разъяснить субъекту персональных данных значение используемых терминов для полного соответствия согласия требованиям закона, поскольку без такого разъяснения информированность данного согласия может быть оспорена. Так, в постановлении Арбитражного суда Северо-Западного округа от 18 июля 2016 г. по делу А44-9647/2015 указано: «Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным и предполагает, как минимум, письменное разъяснение субъекту персональных данных значения понятия «обработка персональных данных»;
быть сознательным. Такое условие к даче согласия предполагает осмысленное принятие решения. Вынужденный характер дачи согласия ставит под сомнение его соответствие требованиям закона.
Статья 9 Закона 152-ФЗ также содержит требования к форме согласия на обработку персональных данных: оно может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом. При этом помимо собственноручной подписи субъекта персональных данных на бумажном носителе признается и согласие в форме электронного документа, подписанного в соответствии с Федеральным законом электронной подписью. Таким образом, закон предусматривает широкую вариативность в вопросе оформления такого согласия.
В настоящее время согласие на обработку персональных данных может быть дано в различных формах.
В настоящее время согласие на обработку персональных данных может быть дано в различных формах.
§ 2. Согласие на обработку персональных данных в виде письменного документа с собственноручной подписью субъекта персональных данных
Получение согласия на обработку персональных данных в письменной форме является обязательным в следующих случаях, прямо предусмотренных Законом 152-ФЗ:
если в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных (ст. 8);
если речь идет об обработке специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10);
если речь идет о сведениях, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных (ст. 11);
если в процессе обработки предполагается трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных. При этом, если речь идет о защите жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц, а получение согласия в письменной форме субъекта персональных данных невозможно, то такая передача может быть осуществлена (ст. 12);
если решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных (ст. 16).
В остальных случаях соблюдение письменной формы не является обязательным.
В Законе 152-ФЗ предусмотрен также конкретный перечень сведений, которые должны содержаться в согласии в письменной форме:
1) фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Следует отметить, что письменная форма такого согласия всегда предполагает составление отдельного документа, а не включение положения о согласии на обработку персональных данных в качестве пункта в какой-либо договор. Так, в решении по делу А65-33540/2017 суд указывает, что включение пункта о согласии субъекта на обработку персональных данных в договор не отвечает требованиям конкретности, информированности и сознательности. Подписывая заранее разработанный текст договора, оформленный мелким шрифтом и содержащий специфические, используемые в целях Закона 152-ФЗ и не используемые в обиходе понятия и термины, такие как «обработка персональных данных», «трансграничная передача», субъект вряд ли был достаточно информирован об истинном смысле этих понятий и терминов, а также о возможных последствиях своего согласия на обработку своих персональных данных. Суд делает вывод, что данное в договоре страхования согласие на обработку персональных данных нельзя признать в качестве надлежащего согласия в целях Закона 152-ФЗ, поскольку такое согласие не отвечает требованиям о письменном согласии, изложенным в п. 4 ст. 9 Закона 152-ФЗ. Требование Закона 152-ФЗ в части того, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным, предполагает как минимум письменное разъяснение субъекту персональных данных значения понятия «обработка персональных данных», которое включает в себя любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Однако ни договор страхования, ни любой другой документ не содержат никаких сведений о разъяснении страхователю как субъекту персональных данных указанного понятия. Кроме того, из смысла ст. 9 Закона 152-ФЗ следует, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку не просто путем подписания договора с условием о согласии, а согласие должно быть выражено свободно, своей волей и в своем интересе отдельно.