СОГЛАСИЕ КАК ОСНОВАНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

АННОТАЦИЯ

В статье рассмотрено одно из наиболее распространённых оснований обработки персональных данных — согласию субъекта персональных данных, однако не единственно возможное. Автор рассматривает обоснованность использования согласия субъекта персональных данных для обработки его персональных данных, а также некоторые проблемы, связанные как с толкованием норм о согласии обработки персональных данных, так и проблемы, с которыми сталкиваются операторы и субъекты персональных данных на практике.

ABSTRACT

The article is devoted to one of the most common grounds for processing personal data - the consent of the subject of personal data, but not the only possible one. The author considers the validity of using the consent of the personal data subject for the processing of his personal data, as well as some problems related to both the interpretation of the norms on the consent of the processing of personal data, and the problems faced by operators and subjects of personal data in practice.

Ключевые слова: персональные данные, обработка персональных данных, согласие на обработку персональных данных.

Keywords: personal data, personal data processing, consent to personal data processing.

Одним из оснований на обработку персональных данных субъекта персональных данных является его согласие, что законодательно закреплено в п. 1 ч. 1 ст. 6 Федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ (далее - Федеральный закон от 27.07.2006 № 152-ФЗ) [4]. Тем не менее, согласие субъекта персональных данных не является единственным законным основанием для обработки персональных данных и, среди прочего, в Федеральном законе от 27.07.2006 № 152-ФЗ представлен обширный перечень оснований для обработки персональных данных (ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ[4]) и оснований для обработки персональных данных специальных категорий (ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ[4]). Такими являются, в том числе, заключение договора с субъектом персональных данных, а также уже заключенный договор с ним, законный интерес оператора и многие другие [4]. Как представляется автору альтернатива согласию имеется, но хотелось бы отметить, что законодатель в отдельную статью выносит одно из основания обработки персональных данных — это согласие субъекта персональных данных на их обработку (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ[4]) и даёт дополнительные разъяснения о форме и содержании такого согласия. В связи с этим можно сделать вывод, что законодатель указывает, что субъект персональных данных по отношению к оператору и (или) третьему лицу, который обрабатывает персональные данные, является слабой стороной в этих правоотношениях, что подтверждается следующими доводами. В данной статье (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ[4]) законодатель указывает на дополнительные и важные характеристики согласия: должно быть конкретным, предметным, информированным, сознательным и однозначным, дано свободно, своей волей и в своем интересе, а также необходимость подтверждения факта получения согласия, то есть субъект персональных данных должен чётко понимать, перед тем как даст согласие, какие категории данных, с какой целью, на какой срок, как именно будут обработаны оператором. Согласие должно быть дано свободно. Для дачи согласия субъект не должен быть принужден, от дачи согласия не должно зависеть предоставление услуги или заключение договора. Предоставление согласия подразумевает под собой именно действия со стороны субъекта, волеизъявление субъекта, а не совершение конклюдентных действий субъекта. Согласием на дальнейшее получение рекламной рассылки не будет считаться произведение заказа товара на сайте продавца, где для исполнения заказа (доставки товара заказчику) субъектом была указана контактная информация. В этом случае необходимо получить активное, информированное согласие от субъекта на соответствующую обработку его контактной информации (рассылку рекламной информации на указанные контакты). В подтверждении данного аргумента можно привести судебную практику, согласно которой установлено, что согласием для обработки персональных данных не может считаться подписанием договора, а согласие субъекта персональных данных должно быть выражено согласно установленным в ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ требованиям [3].

Зачастую, по мнению автора, некоторые из характеристик согласия на практике не исполняются, а именно, предметность и информированность, то есть согласие должно быть предметным и информированным, что означает субъекту персональных данных, при предоставлении согласия, должна быть дана наиболее полная информация об обработке: какая категория данных будет обработана на основании согласия, срок обработки, перечень действий с персональными данными и т. д.

В ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ[4] законодатель регламентирует перечень информации, которая должна быть включена в письменное согласие, на основании которого оператор может осуществлять обработку персональных данных в случаях, предусмотренных федеральным законом. Автор полагает, что именно в ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ[4] в полной мере раскрыты понятия конкретности, предметности, информированности, сознательности и однозначности согласия субъекта персональных данных. Однако операторы зачастую ограничиваются указанием в согласии на обработку персональных данных только категорий персональных данных и целей обработки персональных данных.

По мнению автора, одной из проблем, связанных с оформлением согласия на обработку персональных данных, является отсутствие выбора субъектом персональных данных как целей обработки персональных данных, так и категорий данных, которые он согласен предоставить для обработки оператору. Для минимизации рисков, связанных с обработкой персональных данных, операторы в бланке согласия указывают как всевозможные обрабатываемые категории персональных данных, так и всевозможные цели обработки персональных данных, хотя собранные персональные данные зачастую являются избыточными и в их обработке нет необходимости, на что указывают сами операторы и ответственные за обработку персональных данных в организациях [1] и указывают именно на необходимость сбора таких согласий [5]. По мнению автора сбор таких избыточных персональных данных субъектов является проблемой, которую необходимо решать и решать её необходимо именно контролирующим органам, так как сбор избыточных персональных данных, несмотря на то, что он осуществляется с согласия субъекта персональных данных, является нарушением принципов обработки персональных данных, а именно ч. 5 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ, которая устанавливает, что «Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки» [4].

Что же касается права выбора субъекта персональных данных, то, если обработка персональных данных осуществляется только на основании согласия субъекта, значит и субъект имеет право решать какие персональные данные и для каких целей он желает предоставить оператору, ведь это именно выбор субъекта. Например, для рассылки рекламной информации субъект персональных данных согласен предоставить только электронную почту, однако для исполнения договорных обязательств с оператором субъект персональных данных желает использовать и контактный телефон. Соответсвенно в бланке согласия у субъекта персональных данных должен быть выбор, а не лишь возможность согласиться на всевозможную и всестороннюю обработку персональных данных или полностью отказаться от неё. Пример таких «массовых» согласий множество как в коммерческом секторе, так и в государственных органах.

Зачастую операторы, предлагая субъектам персональных данных, дать согласие для обработки персональных данных минимизируют риски привлечения к ответственности за нарушения, связанные с обработкой персональных данных, что, в свою очередь, вводит в заблуждение субъекта персональных данных о свободе действий по распоряжению своими персональными данным, возможности прекратить обработку своих персональных данных при отзыве согласия. Субъекты персональных данных предполагают, что обработка основывается лишь на их согласии и в любое время субъект это согласие может отозвать и в этом случае оператор прекратит обрабатывать персональные данные, а также уничтожит имеющиеся в его распоряжении персональные данные.

Операторы нередко и сами ошибочно определяют основания для обработки персональных данных субъекта. Рассмотрим пример образца согласия на обработку персональных данных Межрегионального операционного управления Федерального казначейства (далее – Управление), с которым можно ознакомиться на сайте управления https://moufk.roskazna.gov.ru/ [2]. Cогласно представленной на сайте Управления информации, целью обработки персональных данных является «исполнения Общих требований к возврату излишне уплаченных (взысканных) платежей, утвержденных приказом Министерства финансов Российской Федерации от 27.09.2021 № 137н, и пункта 16 Порядка учета Федеральным казначейством поступлений в бюджетную систему Российской Федерации и их распределения между бюджетами бюджетной системы Российской Федерации, утвержденного приказом Министерства финансов Российской Федерации от 29.12.2022 № 66н» [2], то есть гражданином ошибочно произведён платёж или произведён в чрезмерном размере, поэтому гражданин обращается в Управление с заявлением о возврате соответствующего платежа. Тем более данные полномочия и обязанности Управления установлены в нормативно правовых актах. Может быть основание для обработки персональных данных служит не согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ[4]), а осуществление и выполнение возложенных законодательством Российской Федерации на Управление функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ[4])?! По мнению автора именно так! Получение согласия на выполнения функций, полномочий и обязанностей Управления, в том числе на возврат платежа по заявлению плательщика (субъекта) некорректна и вводит в заблуждение субъекта персональных данных.

По мнению автора, операторов необходимо ориентировать на приоритет обработки персональных данных именно на основе выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, на основе исполнения договора между оператором и субъектом, для заключения такого договора между сторонами и другие основания для обработки персональных данных, а не на основании согласия. Согласие должно быть на самом последнем месте в иерархии оснований для обработки персональных данных, а не по принципу «двойное не рвётся», если субъект персональных данных отзовёт согласие, то основание обработки персональных данных будет либо заключенный договор, либо выполнение закреплённых в законе обязанностей оператора или легитимных интересов оператора. Тем более, что закон об этом указывает, что и подталкивает к такой матрице действий операторов. Например, согласно ч. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона» [4]. Однако по мнению автора, толковать эту норму закона следует следующим образом: в случае отзыва субъектом персональных данных согласия на обработку персональных данных, персональные данные, которые обрабатывались на основании согласия уничтожаются, но обработку персональных данных, которые обрабатывались и продолжают обрабатываться на иных законных основаниях, оператор вправе продолжить до исполнения целей обработки этих персональных данных, то есть необходимо уже изначально при сборе персональных данных разграничить как категории персональных данных, так и соответствующие цели, основания обработки этих категорий персональных данных. Как только цель достигнута (в том числе отозвано согласие) — соответствующие категории персональных данных уничтожаются. Это суждение автора подтверждают и закреплённые в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ[4] принципы обработки персональных данных: соответствия целей обработки персональных данных конкретным, заранее определенным и заявленным при сборе, соответствия содержания, объема и характера обрабатываемых персональных данных, способов и оснований обработки персональных данных. Следовательно, для установления определённости в такого рода ситуациях и для исключения введения в заблуждение субъекта персональных данных, по мнению автора, следует внести изменения в ч. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ, что приведёт к правовой определённости в отношении согласия субъекта персональных данных как основания обработки персональных данных.

Список литературы:

1. Беляева Ю. 3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах: [Электронный ресурс]. М., 2020. URL: https://www.garant.ru/ia/opinion/author/belyaeva/1402489/. (дата обращения: 13.03.2024).
2. Межрегиональное операционное управление Федерального казначейства : официальный сайт. - М., 2024. URL: https://moufk.roskazna.gov.ru/priem-obrashhenij/vozvrat-izlishne-ili-oshibochno-uplachennykh-denezhnykh-sredstv/. (дата обращения: 13.03.2024).
3. Постановление Девятнадцатого арбитражного апелляционного суда от 27.12.2018 г. № 19АП-8727/18 //https://base.garant.ru/62932008/ (дата обращения: 13.03.2024).
4. Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ //  https://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 13.03.2024).
5. Царев Е. Персональные данные для digital-маркетинга: полный гайд и шаблоны документов: [Электронный ресурс]. М., 2021. URL: https://skillbox.ru/media/business/personalnye-dannye-dlya-digitalmarketinga/ . (дата обращения: 13.03.2024).