ЗАЩИТА ДАННЫХ

Как предсказывается многими учеными, озабоченными глобальными проблемами современности, повсеместное внедрение цифровых технологий подразумевает преобладающее значение информации в общественных отношениях. Ценность информации растет в геометрической прогрессии, в связи с чем хозяйствующие субъекты изобретают все новые формы ее извлечения и обработки. В таких условиях классические методы охраны личных данных в самых разных правоотношениях подлежат постоянному пересмотру с учетом меняющихся реалий. Судебная практика является одним из инструментов выявления отклонения развития правоотношений от целей законодательного регулирования, провозглашенных в Конституции Российской Федерации.

Современное российское законодательство о защите персональных данных предусматривает, что для их обработки оператору необходимо получить соответствующее согласие от субъекта персональных данных. Согласие субъекта персональных данных на их обработку является единственным законным основанием для любого вида обработки персональных данных. Все случаи обработки персональных данных при отсутствии согласия субъекта на их обработку можно отнести к специальным: речь идет либо о специальных целях обработки, либо о специальном субъекте на стороне оператора, либо об обоих указанных случаях в совокупности.

В статье 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных", Закон N 152-ФЗ) к согласию на обработку персональных данных предъявляется ряд общих требований. Указанный Закон содержит несколько условий принятия решения о предоставлении согласия на обработку персональных данных: такое решение принимается свободно, своей волей и в своем интересе. Кроме того, согласие должно отвечать следующим требованиям:

- быть точным, определенным и неабстрактным. Факт дачи согласия должен быть следствием действий субъекта персональных данных, а не вытекать из характера отношений между оператором их обработки и субъектом персональных данных. Молчание или бездействие субъекта персональных данных, даже если такое поведение в соответствии с политикой конфиденциальности оператора будет признаваться согласием, не будет удовлетворять указанному требованию. Так же и в случае использования интернет-ресурсов с применением настроек конфиденциальности по умолчанию при отсутствии их изменения пользователем согласие на обработку персональных данных не будет считаться данным в надлежащей форме;

- быть информированным, то есть осведомленным о последствиях дачи такого согласия. Это требование означает, что перед дачей согласия субъекту предоставляется вся необходимая и достоверная информация о целях обработки, обрабатываемых данных, операторе и иных лицах, которые будут осуществлять обработку его персональных данных, сроки обработки, иная значимая информация, касающаяся обработки персональных данных. При этом из материалов сложившейся судебной практики следует, что желательно также и разъяснить субъекту персональных данных значение используемых терминов для полного соответствия согласия требованиям закона, поскольку без такого разъяснения информированность данного согласия может быть оспорена. Так, в Постановлении Арбитражного суда Северо-Западного округа от 18 июля 2016 г. по делу N А44-9647/2015 указано: "Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным и предполагает как минимум письменное разъяснение субъекту персональных данных значения понятия "обработка персональных данных";

- быть сознательным. Такое условие к даче согласия предполагает осмысленное принятие решения. Вынужденный характер дачи согласия ставит под сомнение его соответствие требованиям закона.

Статья 9 Закона N 152-ФЗ также содержит требования к форме согласия на обработку персональных данных: оно может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом. При этом помимо собственноручной подписи субъекта персональных данных на бумажном носителе признается и согласие в форме электронного документа, подписанного в соответствии с Федеральным законом электронной подписью. Таким образом, Закон предусматривает широкую вариативность в вопросе оформления такого согласия.

В настоящее время согласие на обработку персональных данных может быть дано в различных формах: письменный документ с собственноручной подписью, в конклюдентной форме (при заполнении человеком каких-либо форм, требующих личные данные, считается, что он согласен на передачу своих данных), в форме электронного документа, подписанного простой электронной подписью, согласие на обработку персональных данных без использования электронной подписи.

Отзыв согласия на обработку персональных данных

Часть 2 ст. 9 Закона N 152-ФЗ предусматривает возможность субъекта отозвать ранее данное согласие на обработку персональных данных. Правовым последствием отзыва является утрата права оператора на обработку персональных данных этого субъекта, за исключением случаев, когда оператор имеет иные предусмотренные Законом N 152-ФЗ основания для обработки таких данных (п. п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11).

Следует отметить, что бремя доказывания наличия таких оснований возлагается на самого оператора. Так, например, А.И. Савельев указывает, что в случае заключения кредитного договора у банковской организации возникает сразу несколько оснований обработки персональных данных: 1) согласие субъекта персональных данных; 2) цели исполнения договора, стороной которого является субъект персональных данных (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ); 3) выполнение возложенных законодательством на оператора обязанностей (например, сохранять идентифицирующие клиента документы в течение не менее пяти лет); хранение первичных учетных документов, регистров бухгалтерского учета и бухгалтерской отчетности в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет (ч. 1 ст. 17 Федерального закона от 21 ноября 1996 г. N 129-ФЗ "О бухгалтерском учете", причем все хозяйственные операции, проводимые организацией, должны оформляться оправдательными документами). Из указанного выше следует, что даже после надлежащего исполнения кредитного договора его сторонами у банковской организации возникают обязательства перед государством, связанные с персональными данными заемщика, и поэтому даже в случае отзыва согласия на обработку персональных данных обязанности по немедленному прекращению обработки и уничтожению персональных данных не возникает.

Обработка персональных данных без согласия субъекта персональных данных допускается в случае, если она осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях. Поэтому отзыв работником своего согласия на обработку персональных данных в таких случаях также не может являться основанием для прекращения обработки его персональных данных работодателем.

Согласно ч. 5 ст. 21 Закона N 152-ФЗ в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено законодательством о персональных данных. Следует подчеркнуть, что нормами Закона N 152-ФЗ не предусмотрена обязанность оператора уведомлять субъекта персональных данных о факте прекращения обработки персональных данных в связи с удовлетворением отзыва согласия субъекта на обработку его персональных данных.