Комментарии.org Комментарии Российского законодательства
Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
Материал представляет собой постатейный научно-практический комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных". В нем рассматриваются правоотношения, складывающиеся в процессе получения, хранения и обработки персональных данных на территории Российской Федерации.
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

Комментарий к статье 9

1. Одной из основных целей регулирования порядка дачи субъектом согласия на обработку персональных данных является устранение существующей информационной асимметрии в отношениях между оператором и субъектом персональных данных и обеспечение автономии воли последнего. Предполагается, что человек, обладая всей необходимой информацией, способен рационально оценить риски и принять взвешенное решение. Право субъекта персональных данных на дачу согласия на обработку своих данных в совокупности с правами субъекта персональных данных на отзыв такого согласия, а также на доступ к своим данным можно в совокупности обозначить как проявление концепции права субъекта персональных данных на информационное самоопределение. В этой связи вполне логично, что согласие субъекта персональных данных является единственным универсальным легитимирующим основанием для любого сбора, использования или иных видов обработки персональных данных. Все остальные основания для обработки персональных данных в отсутствие согласия их субъекта предполагают наличие либо специальной цели обработки, либо специального субъекта на стороне оператора, либо совокупности указанных факторов.
2. Российский Закон о персональных данных вслед за европейским законодательством предусматривает три основных квалифицирующих признака, которым в совокупности должно удовлетворять согласие субъекта персональных данных, для того чтобы выступать надлежащим легитимирующим основанием для обработки его данных. Такое согласие должно быть:
1) конкретным, т.е. явно выраженным и определенным. Факт дачи согласия не должен быть предметом домыслов, а должен следовать из конкретных действий субъекта, свидетельствующих об этом. Молчание или бездействие субъекта персональных данных, даже если такое поведение в соответствии с политикой конфиденциальности оператора будет признаваться согласием, не будет удовлетворять указанному требованию. Аналогичным образом действия субъекта персональных данных по использованию устройства или интернет-сервиса с применением настроек конфиденциальности "по умолчанию" в отсутствие каких-либо свидетельств их изменения пользователем также не удовлетворяют указанному требованию;
2) информированным, т.е. даче субъектом согласия должно предшествовать предоставление ему всей необходимой и достоверной информации о целях обработки, обрабатываемых данных, операторе и иных лицах, которые будут осуществлять обработку его персональных данных, сроки обработки и все иные релевантные параметры обработки персональных данных. Предоставляемая оператором информация должна позволять субъекту получить ответы на вопросы о том, кто, зачем, какие данные, каким образом и в течение какого срока будет обрабатывать. При этом не будет лишним предоставление расшифровки основных терминов, которые используются в соответствующем документе (форма согласия, договор), в противном случае есть риск непризнания данного согласия соответствующим указанному требованию. Так, в Постановлении Арбитражного суда Северо-Западного округа от 18 июля 2016 г. N Ф07-5537/2016 по делу N А44-9647/2015 указано: "Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным и предполагает, как минимум, письменное разъяснение субъекту персональных данных значения понятия "обработка персональных данных". Ни договор страхования, ни заявление о страховании, ни полисные условия не содержат никакого разъяснения указанного понятия";
3) сознательным, т.е. обдуманным и осмысленным. Соответствующая информация должна быть воспринята субъектом персональных данных и отражать его действительные намерения. Вынужденный характер дачи согласия ставит под сомнение его соответствие указанному требованию.
3. По общему правилу согласие на обработку персональных данных может быть дано в любой форме, позволяющей подтвердить факт его получения, если только специальная форма дачи согласия прямо не предусмотрена законом. При этом равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом электронной подписью (ч. 4 комментируемой статьи). В совокупности данные положения позволяют получать согласие в таких формах, как:
1) письменный документ, подписанный собственноручной подписью субъекта персональных данных;
2) устная форма, которая используется банками и иными организациями при налаживании функционирования колл-центров. При обращении субъекта персональных данных по телефону поддержки производится его идентификация, фиксируются метаданные разговора (в частности, с какого номера, в какое время и какой продолжительности был звонок), а также осуществляется запись содержания разговора, о чем предварительно предупреждается абонент;
3) конклюдентная форма. В данном случае согласие субъекта персональных данных недвусмысленно следует из его поведения. Например, при предоставлении визитной карточки на деловом мероприятии или при подаче субъектом персональных данных письменного обращения, в котором содержатся его персональные данные. Так, в решении Сысертского районного суда Свердловской области от 14 мая 2012 г. N 2-526/2012 подача субъектом персональных данных письменного обращения, в котором содержались его персональные данные, была признана судом конклюдентной формой выражения согласия на их последующую обработку адресатом. Аналогичным образом в качестве согласия субъекта был квалифицирован факт заполнения и предоставления резюме (Апелляционное определение Московского городского суда от 28 сентября 2016 г. по делу N 33-38280/2016);
4) электронный документ, подписанный простой электронной подписью в виде СМС. В соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Закон об электронной подписи) простая электронная подпись - это электронная подпись, которая создается посредством использования кодов, паролей или иных средств и подтверждает факт формирования электронной подписи определенным лицом. Такого рода согласие может быть выражено в виде ввода СМС-кода, отправленного на телефон субъекта персональных данных при регистрации на соответствующем ресурсе. Документ, с которым было выражено согласие в подобной форме, признается судами в качестве подписанного простой электронной подписью. Так, в Определении Приморского краевого суда от 7 апреля 2015 г. по делу N 33-2865 указано: "Согласно Оферте СМС-код используется в качестве электронной подписи клиента, для формирования им каждого электронного документа. В случае идентичности СМС-кода, направленного банком, и СМС-кода, введенного в форме электронного документа для подтверждения передачи клиентом соответствующего распоряжении/заявления через интернет-банк, такая электронная подпись считается подлинной и предоставленной клиентом";
5) электронная форма с простой электронной подписью в виде "галочки". Данная форма получила широкое распространение в сфере электронной коммерции. В данном случае пользователь выражает согласие с условиями обработки персональных данных посредством проставления так называемой галочки, например, в соответствующем поле на экране при оформлении заказа или регистрации на веб-сайте. При определенных обстоятельствах такого рода согласие также может рассматриваться в качестве электронного документа, подписанного простой электронной подписью. Например, в ситуациях, когда при оформлении заказа на интернет-сервисе необходимо пройти процедуру регистрации, предусматривающую формирование логина и пароля для входа в личный кабинет. При регистрации указываются ФИО и иные персональные данные, идентифицирующие потенциального покупателя. Данные логин и пароль выступают в качестве ключа простой электронной подписи (уникальной последовательности символов, предназначенной для создания электронной подписи). При оформлении заказа, сделанного под логином и паролем, формируется электронный документ, в котором средствами информационной системы (веб-сайта интернет-сервиса) указывается лицо, создавшее (отправившее) заказ. Данное указание и будет выступать в качестве простой электронной подписи, сгенерированной при помощи логина и пароля пользователя. По мнению представителей Роскомнадзора, "регистрация пользователя Интернета на сайте, подтвержденная логином и паролем, означает согласие субъекта на обработку его персональных данных" <1>. Не оспаривая по существу данный вывод, следует отметить, что для обеспечения юридической силы простой электронной подписи необходимо также выполнение требований ст. 6 Закона об электронной подписи, предусматривающих обязательность наличия определенных условий в договоре с пользователем (правила определения лица, подписывающего электронный документ, на основании простой электронной подписи; его обязанность обеспечивать конфиденциальность ключа электронной подписи и порядок проверки подлинности электронной подписи) <2>;
--------------------------------
<1> Федеральный закон "О персональных данных": Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 48, 52.
<2> См. подробнее: Савельев А.И. Электронная коммерция в России и за рубежом. Правовое регулирование. М., 2016. С. 230 - 233.

6) электронная форма в виде согласия, выраженного в электронном письме с электронной почты субъекта персональных данных. При этом необходимо, чтобы были выполнены требования ст. 6 Закона об электронной подписи, в частности, чтобы стороны (оператор и субъект) достигли соглашения о том, что направление сообщения с определенного электронного адреса будет считаться подписанием документа простой электронной подписью <1>. Юридическая сила сообщений электронной почты подтверждается и судебной практикой. Так, в Постановлении Президиума ВАС РФ от 12 ноября 2013 г. N 18002/12 указано, что "получение или отправка сообщения с использованием адреса электронной почты, известного как почта самого лица или служебная почта его компетентного сотрудника, свидетельствует о совершении этих действий самим лицом, пока им не доказано обратное";
--------------------------------
<1> Данная позиция была также поддержана Минкомсвязи России. См. в Интернете по адресу: http://minsvyaz.ru/ru/appeals/faq/33/.

7) электронная форма с проставлением обычной "галочки". В отсутствие оснований для квалификации согласия в виде документа, подписанного простой электронной подписью, проставление "галочки" также может считаться допустимой формой дачи согласия, при условии наличия возможности доказать факт его предоставления конкретным лицом. В частности, об этом могут свидетельствовать косвенные доказательства, такие как оплата товара или услуги банковской картой, принадлежащей субъекту персональных данных, при условии технической невозможности инициирования процесса оплаты без предварительного выражения согласия с условиями обработки персональных данных.
Способы 4, 5 и 7 предполагают выражение согласия на обработку персональных данных в соответствии с условиями, которые изложены в надлежащем документе согласно политике конфиденциальности конкретного оператора. Наличие отражающего ее документа и его доступность для ознакомления являются не только сложившимся обычаем в сфере электронной коммерции, но и прямым требованием законодательства. В соответствии с ч. 2 ст. 18.1 Закона о персональных данных оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
4. Закон о персональных данных также наделяет субъекта правом на отзыв ранее данного согласия на обработку его данных. Правовым последствием отзыва является утрата права оператора на обработку персональных данных этого субъекта, за исключением случаев, когда оператор имеет иные предусмотренные Законом о персональных данных основания для обработки таких данных (см. п. п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных). Бремя доказывания наличия таких оснований возлагается на самого оператора.
Так, например, если между сторонами заключен кредитный договор, то банковская организация имеет право обрабатывать персональные данные клиента сразу по нескольким основаниям: 1) согласие субъекта персональных данных; 2) для целей исполнения договора, стороной которого является субъект персональных данных (п. 5 ч. 1 ст. 6 Закона о персональных данных); 3) для выполнения возложенных законодательством на оператора обязанностей (например, сохранять идентифицирующие клиента документы в течение не менее пяти лет, см. ч. 4 ст. 7 Федерального закона от 7 августа 2001 г. N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма"); хранить первичные учетные документы, регистры бухгалтерского учета и бухгалтерскую отчетность в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет (ч. 1 ст. 17 Федерального закона от 21 ноября 1996 г. N 129-ФЗ "О бухгалтерском учете"; причем все хозяйственные операции, проводимые организацией, должны оформляться оправдательными документами).
Таким образом, отношения кредитора и заемщика после окончания гражданско-правовых отношений порождают для банка финансовые обязательства перед государством, которые подлежат государственному контролю, в связи с чем отзыв субъектом согласия на обработку персональных данных, даже если он сделан после надлежащего исполнения сторонами кредитного договора, не влечет безусловной обязанности банка прекратить обработку персональных данных и уничтожить их в порядке, установленном ч. 5 ст. 21 Закона о персональных данных.
Отзыв согласия на обработку распространяет свое действие лишь на будущий период времени и не имеет "ретроактивного" действия. Таким образом, обработка персональных данных, осуществлявшаяся оператором до такого отзыва, будет продолжать считаться законной и после него.
Крайне желательно оформлять отзыв согласия на обработку персональных данных таким образом, чтобы у субъекта была возможность доказывания факта его направления оператору в определенный момент времени, например заказным письмом с уведомлением о вручении или посредством проставления штампа канцелярии оператора о приеме документа на его втором экземпляре.
Право субъекта персональных данных на отзыв согласия на их обработку может быть полезным в ситуациях, когда согласие на обработку персональных данных носило вынужденный характер, в частности, когда оператор обусловил предоставление товара или услуги предварительной дачей согласия на обработку персональных данных, которое можно условно обозначить как согласие "на все случаи жизни". Такое согласие предусматривает обработку персональных данных с указанием целей, способов, сроков и иных параметров обработки, которые явно избыточны по отношению к тем целям, ради которых субъект персональных данных обратился к оператору. Отказ в подписании такой формы согласия обычно приводит к отказу в заключении договора или предоставлении государственной (муниципальной) услуги, тем самым лишая субъекта персональных данных возможности выбора. Данная практика вступает в явное противоречие с принципами обработки персональных данных, в частности с принципами справедливой обработки и минимизации обрабатываемых данных. Фактически формальное согласие субъекта в таких случаях развязывает руки оператору для обработки данных любыми способами, которые он сочтет необходимыми. Такой подход тем более сложно оправдать, учитывая, что Закон о персональных данных уже содержит специальные основания для обработки персональных данных в отсутствие согласия субъекта как раз для того, чтобы учитывать законные интересы операторов и не блокировать их деятельность.
Представляется, что подобного рода практика операторов может в определенных случаях квалифицироваться как нарушение законодательства о защите прав потребителей. Так, в соответствии с ч. 2 ст. 16 Закона о защите прав потребителей запрещается обусловливать приобретение одних товаров (работ, услуг) обязательным приобретением других товаров (работ, услуг). Следует подчеркнуть, что данное положение находится в ст. 16 данного Закона, посвященной недействительности условий договора, ущемляющих права потребителя. Очевидно, что в тех ситуациях, когда субъект персональных данных, выступая в качестве потребителя, вынужден дать под угрозой незаключения договора согласие с условиями обработки персональных данных, заранее сформулированными предпринимателем и содержащими явно избыточные положения и требования, можно говорить об ущемлении прав потребителя субъекта персональных данных и о нарушении не только законодательства о персональных данных, но и законодательства о защите прав потребителей. Данный вывод подтверждается и судебной практикой <1>.
--------------------------------
<1> См.: Постановления Арбитражного суда Северо-Западного округа от 18 июля 2016 г. N Ф07-5537/2016 по делу N А44-9647/2015 (в нем указано, что "отсутствие у потребителя права выбора возможности согласия или отказа в согласии на обработку персональных данных ущемляет права потребителей, что в силу статьи 16 Закона N 2300-1 свидетельствует об их недействительности в этой части"); Тринадцатого арбитражного апелляционного суда от 3 июня 2014 г. по делу N А56-56137/2013 (который постановил: "Поскольку Обществом не обоснована невозможность исполнения договора в объемах, требуемых потребителем, в отсутствие персональных данных, с учетом позиции, изложенной в Определении Конституционного Суда Российской Федерации от 6 июня 2002 г. N 115-О, суд апелляционной инстанции приходит к выводу о наличии в действиях Общества состава административного правонарушения, предусмотренного частью 1 статьи 14.4 КоАП РФ"), а также ФАС Уральского округа от 7 апреля 2015 г. N Ф09-793/15 (в нем сказано: "Условия вышеуказанных правил изложены таким образом, что гражданин не имеет возможности свободно выразить согласие или отказаться от передачи персональных данных и иным образом объективно повлиять на содержание того согласия, которое в силу закона должно даваться им самостоятельно"), а также Постановления от 27 июня 2012 г. N Ф09-4511/12 по делу N А50-22009/2011; Седьмого арбитражного апелляционного суда от 18 марта 2014 г. по делу N А27-13718/2013; Девятого арбитражного апелляционного суда от 10 декабря 2012 г. N 09АП-34468/2012 по делу N А40-98144/12-21-923 и др.

При этом, как представляется, оператору должна быть предоставлена возможность обосновать техническую или экономическую необходимость сбора и обработки персональных данных в расширенном объеме и способами при предоставлении товара, услуги или имущественного права, продемонстрировав определенный полезный эффект, выходящий за рамки его деятельности. В качестве критериев могут выступать обстоятельства, которые обозначены в законодательстве о конкуренции и являются основанием для легитимации действий, ограничивающих конкуренцию. В соответствии с ч. 1 ст. 13 Закона о защите конкуренции такой полезный эффект может проявляться: 1) при совершенствовании производства, реализации товаров или стимулировании технического, экономического прогресса либо повышении конкурентоспособности товаров российского производства на мировом товарном рынке; 2) получении покупателями преимуществ (выгод), соразмерных преимуществам (выгодам), полученным хозяйствующими субъектами в результате действий (бездействия), соглашений и согласованных действий, сделок.
5. Согласие на обработку персональных данных, а равно и его отзыв могут быть даны как непосредственно субъектом, так и его представителем. При этом основания для такого представительства могут возникать в силу закона (например, у родителей и иных законных представителей - в отношении несовершеннолетнего, у опекуна - в отношении лица, лишенного дееспособности, у попечителя - в отношении лица, дееспособность которого была ограничена) или носить добровольный характер. В первом случае в качестве документов, подтверждающих наличие статуса законного представителя, могут служить, в частности: для родителей - свидетельство о рождении, свидетельство об усыновлении (удочерении); для опекунов и попечителей - удостоверение опекуна (попечителя) или акт о назначении опекуном (попечителем), выданный органом государственной власти субъекта РФ в сфере труда и социальной защиты населения. При добровольном представительстве в качестве документов, подтверждающих полномочия лица, могут выступать доверенность, оформленная в соответствии с требованиями ст. ст. 185 - 187 ГК РФ, а также договор между субъектом персональных данных и представителем, например договор поручения или агентирования (п. 4 ст. 185 ГК РФ). При этом ни Закон о персональных данных, ни иные правовые акты не устанавливают требования об обязательном нотариальном заверении доверенности на право совершения действий с персональными данными представляемого лица.
6. Часть 4 комментируемой статьи указывает на предусмотренные законом случаи, когда согласие субъекта на обработку персональных данных может быть дано только в письменной форме или в форме электронного документа, подписанного электронной подписью. К таким случаям относится, в частности, ситуация, когда субъект дает согласие на обработку персональных данных специальной категории (п. 1 ч. 2 ст. 10), либо на обработку биометрических данных (ч. 1 ст. 11), либо на трансграничную передачу данных (п. 1 ч. 4 ст. 12). В таких случаях дачи согласия в устной форме или в форме проставления "галочки" на интернет-ресурсе при отсутствии свидетельств о наличии простой электронной подписи будет недостаточно.
7. Рассматриваемое положение также содержит ограниченный перечень реквизитов, которые должны присутствовать в тех случаях, когда согласие дается субъектом в письменной форме. Отсутствие таких реквизитов в форме согласия является нарушением законодательства о персональных данных (Постановление ФАС Северо-Кавказского округа от 27 апреля 2011 г. по делу N А32-12882/2010). При этом следует отметить, что в данном случае речь идет именно о "традиционной" бумажной форме. В тех случаях, когда согласие дается в форме электронного документа, подписанного электронной подписью, содержание данных реквизитов должно определяться с учетом специфики электронного документа. Так, вряд ли возможно во всех случаях использования субъектом электронного документооборота указывать "номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе". Представляется, что указанные сведения необходимы для идентификации субъекта персональных данных, которая осуществляется в офлайн-режиме, когда у оператора есть возможность проверить паспорт этого субъекта. В электронной сфере такой возможности нет вследствие отсутствия непосредственного контакта между оператором и субъектом, в связи с чем роль идентификатора там играет электронная подпись, соответствующая требованиям закона об электронной подписи.
Во избежание споров с контрольно-надзорными органами оператору рекомендуется включать в форму согласия на обработку персональных данных субъекта полный перечень таких данных, которые обрабатываются оператором. Неполный перечень может быть истолкован как нарушение требований ч. 4 ст. 9 Закона о персональных данных (Постановление Семнадцатого арбитражного апелляционного суда от 10 июня 2015 г. N 17АП-5329/2015-АК по делу N А60-1187/2015). Правда, как представляется, оператор не лишен возможности обосновывать обработку тех персональных данных, которые не указаны в форме согласия, ссылкой на иные основания для обработки, указанные в Законе о персональных данных.
8. В ч. 5 комментируемой статьи предусмотрено, что порядок получения согласия субъекта персональных данных на их обработку в целях предоставления государственных и муниципальных услуг в форме электронного документа устанавливается Правительством РФ. Так, Постановлением Правительства РФ от 25 января 2013 г. N 33 утверждены Правила использования простой электронной подписи при оказании государственных и муниципальных услуг. Данные правила регламентируют порядок использования простой электронной подписи любыми лицами при обращении за получением государственных и муниципальных услуг в электронной форме.
9. В ч. 8 комментируемой статьи предусматривается возможность оператора получить персональные данные субъекта не от него самого, а от третьего лица. Однако при этом оператор обязан убедиться, что персональные данные были получены и предоставлены оператору таким третьим лицом на законном основании (п. п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных). Тем самым закон пытается поставить дополнительный барьер незаконной обработке персональных данных. Это положение не распространяется на случаи получения персональных данных от представителя субъекта персональных данных, поскольку действия представителя, совершенные в пределах его полномочий, являются действиями самого субъекта персональных данных.
10. Положения Директивы 1995 г. во многом сопоставимы по своему характеру с положениями комментируемой статьи Закона о персональных данных. Одной из новелл Регламента 2016 г. является ужесточение требований, предъявляемых к согласию субъекта. В общем и целом их можно свести к следующему:
- согласие должно быть выражено в форме заявления или конкретного подтверждающего действия (by a statement or by clear affirmative action) - ст. 4 (11). Молчание, заранее проставленные "галочки", нереализация права на отзыв согласия, иные формы молчаливого согласия не соответствуют требованиям, предъявляемым к такому согласию (п. 32 Преамбулы);
- согласие должно быть свободным (freely given). В этой связи, если исполнение договора или предоставление услуги поставлено в зависимость от дачи согласия на обработку персональных данных, необходимо принимать во внимание, являются запрошенные в форме согласия способы обработки необходимыми для исполнения договора или нет (ст. 7 (4)). Если имеет место существенный дисбаланс переговорных возможностей, например, если оператор является органом власти, установлена презумпция вынужденного (несвободного) характера согласия. Согласие не считается данным свободно, если у лица нет разумного выбора или существует возможность наступления негативных последствий в случае отказа или последующего отзыва согласия (п. п. 42, 43 Преамбулы);
- положения об обработке данных, с которыми выражает согласие субъект персональных данных, должны быть отделены от других положений, регламентирующих транзакцию (ст. 7 (2)). Таким образом, данные условия не должны являться составной частью более общего документа, например пользовательского соглашения, в котором помимо прочего указаны условия приобретения товара, включающие в себя положения о доставке, оплате, порядке рассмотрения споров и т.п.;
- процесс отзыва согласия на обработку персональных данных должен быть таким же легким, как и процесс дачи согласия. При этом субъект должен быть проинформирован о наличии права на отзыв согласия до его предоставления (ст. 7 (3)).
Представляется, что рано или поздно данные положения найдут свое отражение и в российском праве, а до тех пор они могут рассматриваться как "лучшие практики", обязательные к исполнению для тех операторов, которые осуществляют свою деятельность в том числе на территории стран Европейского союза.

Безымянная страница

Rambler's Top100
На правах рекламы:
Copyright 2007 - 2018 гг. Комментарии.ORG. All rights reserved.
При использовании материалов сайта активная гипер ссылка  обязательна!