Согласие на обработку персональных данных
До начала обработки персональных данных каждый оператор должен определить цели, в соответствии с которыми будет осуществляться обработка, исходя из которых можно ответить на вопрос: нужно ли получать согласие на обработку персональных данных или нет?
Если обработка персональных данных не подпадает под случаи обработки персональных данных без согласия (п. 2 - 11 ч. 1 ст. 6 Закона о персональных данных), например, когда персональные данные обрабатываются в рамках трудовых отношений, в связи с заключением и исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, либо при осуществлении профессиональной деятельности журналиста, СМИ, либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных, то следует получать согласие.
Несмотря на установление порядка обработки персональных данных применительно к различным случаям и целям обработки, законодательство о персональных данных содержит множество исключений, когда согласие нужно получить обязательно. И наоборот, даже когда законом предусмотрена необходимость получать согласие, существует возможность обработки персональных данных без такового.
Например, не нужно получать согласие на обработку персональных данных, когда такая обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
Сведения о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, которые закон относит к специальной категории персональных данных, по общему правилу можно обрабатывать только с письменного согласия.
Однако согласие не потребуется, например, в случаях, когда само лицо сделало такие персональные данные общедоступными или обработка осуществляется при оказании медицинской помощи лицами, обязанными сохранять врачебную тайну. Закрытый перечень случаев, когда обработка специальных категорий персональных данных осуществляется без согласия субъекта персональных данных, содержится в п. 2 - 10 ч. 2 ст. 10 Закона о персональных данных.
Если персональные данные субъекта обрабатываются без его согласия (в допустимых законодательством случаях) и оператор хочет поручить обработку персональных данных другому лицу, то на это уже нужно получить согласие. При этом лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных, а ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Тот же, кому переданы полномочия по обработке персональных данных, будет отвечать перед оператором.
Исчерпывающего перечня случаев, когда необходимо получать согласие для обработки персональных данных, в законодательстве не содержится, что приводит к неопределенности в вопросе, когда все-таки согласие нужно получить, а когда можно обойтись без него.
В какой форме должно быть получено согласие на обработку персональных данных?
Каждый субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку персональных данных может быть дано как самим субъектом персональных данных, так и его представителем. При этом оператор должен проверить полномочия представителя на дачу согласия.
Согласие на обработку персональных данных может быть дано в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Если в федеральном законе содержится указание об обязательном получении согласия в письменной форме на обработку персональных данных, то такое согласие должно отвечать требованиям ч. 4 ст. 9 Закона о персональных данных.
Таким образом, можно выделить две формы, в которых может быть дано согласие на обработку персональных данных:
1) простое согласие на обработку персональных данных;
2) согласие в письменной форме, соответствующей требованиям ч. 4 ст. 9 Закона о персональных данных.
При этом любое согласие (как в письменной форме, так и нет) на обработку персональных данных должно быть:
- конкретным;
- информированным;
- сознательным.
Требования к согласию на обработку персональных данных
Согласие должно быть обязательно оформлено в письменной форме:
- при обработке биометрических персональных данных;
- при обработке специальных категорий персональных данных (о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни);
- при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных;
- для включения в общедоступные источники персональных данных (в том числе справочники, адресные книги);
- при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях;
- в иных предусмотренных в законодательстве случаях.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
При этом нужно понимать, что письменное согласие может быть оформлено и в форме электронного документа, в таком случае субъект персональных данных подписывает согласие с помощью электронной подписи.
Согласие на обработку персональных данных может быть подтверждено путем направления оператором на мобильный телефон и (или) электронную почту субъекта персональных данных уникальной последовательности символов, которые субъект персональных данных должен ввести в предусмотренные для этого поля на сайте оператора.
См.: Апелляционное определение Новосибирского областного суда от 12.10.2017 N 33-9263/2017.
Во всех иных случаях согласие на обработку персональных данных должно быть конкретным, информированным и сознательным, и оно может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Такое согласие также может быть выражено в письменной форме, но для нее не требуется жесткого соблюдения требований закона к содержанию. Оно должно быть конкретным, информированным и сознательным.
Оператору персональных данных важно помнить, что именно на нем лежит обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, при которых обработка персональных данных может осуществляться без письменного согласия субъекта персональных данных (ч. 3 ст. 9 Закона о персональных данных).
Возможно, именно поэтому часто оформляется письменное согласие на обработку персональных данных даже в тех случаях, когда такое согласие не нужно вовсе.
Также персональные данные оператором могут быть получены от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований получения персональных данных в соответствии с п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных.
За недееспособного согласие на обработку его персональных данных дает законный представитель субъекта персональных данных (ч. 6 ст. 9 Закона о персональных данных).
Например, согласие на обработку персональных данных несовершеннолетних детей дают их родители.
Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27.05.1996 N 57-ФЗ «О государственной охране».
При обработке специальных категорий персональных данных, а также биометрических персональных данных следует руководствоваться особенностями, установленными в ст. 10 и 11 Закона о персональных данных соответственно.
В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
Обратите внимание: если имеются основания для обработки персональных данных без согласия субъекта, то оператор вправе продолжать обработку его персональных данных.