Читать книгу Защита данных: научно-практический комментарий к судебной практике - Коллектив авторов, Ю. Д. Земенков, Koostaja: Ajakiri New Scientist - Страница 5

Получение согласия на обработку персональных данных в письменной форме является обязательным в следующих случаях, прямо предусмотренных Законом № 152-ФЗ:

– если в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных (ст. 8);

– если речь идет об обработке специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10);

– если речь идет о сведениях, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных (ст. 11);

– если в процессе обработки предполагается трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных. При этом, если речь идет о защите жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц, а получение согласия в письменной форме субъекта персональных данных невозможно, то такая передача может быть осуществлена (ст. 12);

– если решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных (ст. 16).

В остальных случаях соблюдение письменной формы не является обязательным.

В Законе № 152-ФЗ предусмотрен также конкретный перечень сведений, которые должны содержаться в согласии в письменной форме:

1) фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Следует отметить, что письменная форма такого согласия всегда предполагает составление отдельного документа, а не включение положения о согласии на обработку персональных данных в качестве пункта в какой-либо договор. Так, в решении по делу № А65-33540/2017 суд указывает, что включение пункта о согласии субъекта на обработку персональных данных в договор не отвечает требованиям конкретности, информированности и сознательности. Подписывая заранее разработанный текст договора, оформленный мелким шрифтом и содержащий специфические, используемые в целях Закона № 152-ФЗ и не используемые в обиходе понятия и термины, такие как «обработка персональных данных», «трансграничная передача», субъект вряд ли был достаточно информирован об истинном смысле этих понятий и терминов, а также о возможных последствиях своего согласия на обработку своих персональных данных. Суд делает вывод, что данное в договоре страхования согласие на обработку персональных данных нельзя признать в качестве надлежащего согласия в целях Закона № 152-ФЗ, поскольку такое согласие не отвечает требованиям о письменном согласии, изложенным в п. 4 ст. 9 Закона № 152-ФЗ. Требование Закона № 152-ФЗ в части того, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным, предполагает как минимум письменное разъяснение субъекту персональных данных значения понятия «обработка персональных данных», которое включает в себя любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Однако ни договор страхования, ни любой другой документ не содержат никаких сведений о разъяснении страхователю как субъекту персональных данных указанного понятия. Кроме того, из смысла ст. 9 Закона № 152-ФЗ следует, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку не просто путем подписания договора с условием о согласии, а согласие должно быть выражено свободно, своей волей и в своем интересе отдельно.

Как указано выше, среди требований законодательства к согласию на обработку персональных данных есть положение об обязательном указании срока, в течение которого действует согласие субъекта персональных данных. При этом следует отметить, что в согласии на обработку персональных данных может быть установлен и неопределенный срок его действия до отзыва со стороны субъекта персональных данных в письменной форме, и такое установление считается соответствующим требованиям закона. Так, в решении Суда апелляционной инстанции по делу № А42-342/2017 указано, что законодательная норма не предусматривает указания в согласии конкретного срока, в течение которого оно действует, предельный срок действия такого согласия также не установлен законодателем. В рассматриваемом случае срок действия согласия определен началом его действия (со дня подписания) и заканчивается моментом востребования – письменным отзывом в произвольной форме. Таким образом, срок действия согласия субъекта персональных данных на их обработку в любом случае ограничен действием самого субъекта персональных данных по представлению письменного отзыва ранее данного им согласия, в связи с чем указанный срок можно квалифицировать как срок, определяющий момент востребования. Указанное не противоречит общим правилам определения сроков, установленных по аналогии закона гражданским законодательством (ст. 190 ГК РФ).

Более того, суд указывает, что указание точного срока действия согласия субъекта персональных данных на их обработку в привязке к конкретному временному периоду или календарной дате в данном случае невозможно, поскольку предприятие как оператор персональных данных не в состоянии заранее с достоверностью определить временной промежуток, до какой календарной даты конкретный пользователь услуг плавательного бассейна будет фактически посещать бассейн и в какую дату пользователь таких услуг может прекратить таковое посещение по собственной инициативе. Между тем действием самого субъекта персональных данных по представлению письменного отзыва ранее данного им согласия его права не нарушаются. В решении по делу № А42-342/2017 суд заключает, что в части получения согласия на обработку персональных данных в отношении срока такого согласия нарушений предприятием не допущено. В рамках указанного дела также был рассмотрен вопрос об обработке биометрических персональных данных (фотографии) без письменного согласия субъекта персональных данных. В данном случае пропуск с фотографией, характеризующей физиологические и биологические особенности человека (относящейся к биометрическим персональным данным), позволяет установить, принадлежит ли данному лицу предъявляемый пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества. Суд указывает, что эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем, а потому он используется оператором для установления личности субъекта персональных данных, и данная обработка должна осуществляться в строгом соответствии со ст. 11 Закона № 152-ФЗ. Суд пришел к выводу о том, что фотографические изображения, содержащиеся на документе «пропуск», являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека. Обработка указанных данных должна осуществляться с соблюдением требований п. 1 ст. 11 Закона № 152-ФЗ, а именно при наличии согласия субъекта персональных данных. Суд апелляционной инстанции установил, что в соответствии с положением о порядке посещения плавательного бассейна для различных категорий населения в рамках государственной программы Мурманской области «Развитие физической культуры и спорта» на 2014–2020 годы, утвержденным председателем Комитета по физической культуре и спорту Мурманской области 26 апреля 2016 г., посетителями предоставлялись предприятию фотографии, которые размещались заявителем на документе «пропуск» для последующего использования в целях установления их личности. Указанные действия предприятия (сбор, оформление (размещение), использование фотографий) подпадают под понятие обработки персональных данных с позиции ч. 3 ст. 3 Закона № 152-ФЗ. Между тем согласия указанных лиц на обработку их биометрических персональных данных (фотографий) в нарушении требования ч. 1 ст. 11 Закона № 152-ФЗ предприятием не получено. При таком положении суд признал, что в данном случае использование фотографий для пропуска является обработкой биометрических персональных данных в смысле Закона № 152-ФЗ и поэтому предприятием были допущены нарушения[2].