Дізнаємося деякі особливості отримання згоди на обробку персональних даних.
У попередньому номері [1] ми розглянули умови обробки персональних даних (ПД), дізналися, в яких випадках потрібна згода суб'єкта ПД на обробку, а в яких дані можна обробляти без отримання згоди. Зараз дізнаємося деякі особливості отримання згоди суб'єкта ПД.
Під персональними даними розуміється будь-яка інформація, що відноситься прямо або побічно до певного або визначається фізичній особі (суб'єкту ПД) [2].
Якщо закон встановлює обов'язок отримати згоду суб'єкта ПД на їх обробку, оператор не має права примушувати цього суб'єкта до підписання відповідної угоди. Громадянин приймає рішення про надання його ПД і дає згоду на їх обробку вільно, своєю волею і в своєму інтересі (п. 1 ст. 9 Закону про персональні дані).
Якщо суб'єкт ПД недієздатний, згода на обробку дає його законний представник (наприклад, якщо суб'єкт - дитина, його представляє один з батьків). Якщо суб'єкт ПД мертвий, згода необхідно отримати у його спадкоємців (за умови, що це згоду не було дано суб'єктом ПД за життя) [3].
Роскомнадзор в роз'ясненнях [4] вказує, що роботодавець має право обробляти персональні дані працівника без отримання відповідної згоди у випадках, передбачених колективним договором, в тому числі правилами внутрішнього трудового розпорядку (є зазвичай додатком до колективного договору), угодою, а також локальними актами.
А ось при залученні сторонніх організацій для ведення кадрового та бухгалтерського обліку роботодавець зобов'язаний отримати згоду працівників на передачу їх персональних даних.
Пунктом 2 ст. 9 Закону про персональні дані передбачена можливість суб'єкта ПД відкликати свою згоду на їх обробку. Там же обмовляється можливість такої обробки без згоди суб'єкта ПД у випадках, встановлених законом.
Форма згоди на обробку ПД
Згода на обробку ПД може бути дано суб'єктом ПД або його представником в будь-якій формі, що дозволяє підтвердити факт його отримання (якщо інше не встановлено федеральним законодавством (п. 1 ст. 9 Закону про персональні дані).
Роскомнадзор в роз'ясненнях рекомендує згоду працівника або оформляти у вигляді окремого документа, або закріплювати в тексті трудового договору. Вимоги до змісту такого документа вказані в ч. 4 ст. 9 Закону про персональні дані.
Згода в письмовій формі повинно включати в себе. зокрема:
4) мета обробки персональних даних;
5) перелік ПД, на обробку яких дається згода суб'єкта ПД;
7) перелік дій з персональними даними, на вчинення яких дається згода, загальний опис використовуваних оператором способів обробки;
8) термін, протягом якого діє згоду суб'єкта ПД, а також спосіб його відкликання, якщо інше не встановлено федеральним законом;
9) підпис суб'єкта персональних даних.
Якщо згоду на обробку ПД складається в формі електронного документа. воно повинно бути підписане електронним підписом - така вимога п. 4 ст. 9 Закону про персональні дані.
Деякі питання отримання згоди суб'єкта ПД на їх обробку
Що потрібно враховувати, коли умова про обробку ПД є частиною документа, наприклад, договору?
Коли умова про обробку ПД є невід'ємною частиною підписується документа:
2. Документ повинен передбачати можливість відмови від даної умови, оскільки згоду добровільне.
Одержувач житлової субсидії не дає згоди на обробку персональних даних з релігійних міркувань. Чи має він право на отримання держпослуги?
Коли обробка персональних даних необхідна для надання державної або муніципальної послуги відповідно до Закону про держпослуг [5]. для забезпечення надання такої послуги, для реєстрації суб'єкта ПД на єдиному порталі державних і муніципальних послуг, згода суб'єкта ПД на обробку зазначеної інформації не потрібно.
Статтею 6 Закону про персональні дані визначені умови обробки персональних даних, в тому числі вказані випадки, коли допускається обробка ПД без згоди на це суб'єкта ПД, серед яких і отримання держпослуги. З буквального тлумачення названої норми випливає, що кожен з таких випадків є самостійною підставою обробки персональних даних.
Одержувач держпослуги в заяві на її отримання висловлює згоду на передачу та обробку своїх персональних даних, необхідних для надання послуги.
Звертаючись із заявою про надання житлової субсидії та вказуючи в ньому необхідні дані, а також докладаючи до нього передбачені законодавством документи, одержувач держпослуг фактично висловлює згоду на передачу та обробку своїх персональних даних, необхідних для надання послуги.
Ні Законом про персональні дані, ні Законом про держпослуг не встановлено, що обробка персональних даних громадянина з метою надання йому державних або муніципальних послуг повинна здійснюватися тільки за його письмовою згодою. Громадянин має право отримувати держпослуги навіть без подання письмової заяви на обробку своїх персональних даних.
Висновок суду про те, що МФЦ як оператор персональних даних зобов'язаний забезпечити їх захист, відповідав нормам Закону про персональні дані та Закону про держпослуг. Разом з тим наступні висновки про неможливість обробки персональних даних без письмової згоди одержувача держпослуг і обгрунтованості відхилення документів на надання субсидії апеляційний суд визнав помилковими, оскільки заяву про надання держпослуги з доданими до неї документами одержувач не відкликав, від надання послуги не відмовлявся. А відкликання заяви про згоду на обробку персональних даних, отримання якого в силу закону необов'язково, не був підставою для неможливості надання держпослуги. Тим більше що у оператора були підстави продовжити обробку персональних даних без згоди суб'єкта ПД.
Суб'єкт ПД ухиляється від виконання договору (не платить по рахунках) і не хоче, щоб кредитор турбував його дзвінками. Чи може суб'єкт відкликати згоду на обробку своїх персональних даних?
Обробка персональних даних може бути продовжена навіть після того, як суб'єкт ПД направив вимогу про її припинення, якщо правовідносини, що виникли між сторонами, тривають.
Одне з таких підстав встановлено п. 5 ч. 1 ст. 6 Закону про персональні дані: обробка ПД необхідна для виконання договору, стороною якого або вигодонабувачем або поручителем за яким є суб'єкт ПД, для укладення договору з ініціативи суб'єкта ПД або договору, за яким суб'єкт ПД буде вигодонабувачем або поручителем.
Суб'єкт ПД відкликав згоду на їх обробку. Але оператор може її продовжити при наявності на те законних підстав, наприклад, якщо це необхідно для виконання договору з суб'єктом ПД.
Як випливає зі змісту даної норми закону, згода суб'єкта ПД на обробку персональних даних не потрібно, якщо вона здійснюється з метою виконання договору, однією зі сторін якого є суб'єкт ПД. Оскільки суб'єкт ПД заборгованість перед банком не погасив - договір не розірвано. для стягнення відсутніх сум кредитна організація має право продовжувати обробку ПД і після відкликання суб'єктом ПД своєї згоди.
Чи вправі прокурор вимагати від медустанови надати персональні дані пацієнтів, хворих на наркоманію, якщо згоди на таку обробку ПД ці пацієнти не давали?
Прокурор або інша посадова особа має право на отримання персональних даних в тому числі пацієнтів лікарні, якщо обробка даних необхідна для здійснення і виконання покладених на нього законодавством РФ функцій, повноважень і обов'язків.
Посадова особа має право отримати персональні дані, якщо це необхідно для здійснення і виконання покладених на нього функцій, повноважень і обов'язків.
В силу тлумачення ст. 1, 21, 22 Закону про прокуратуру [6] прокурор при здійсненні покладених на нього функцій має право в тому числі вимагати від керівників організацій та інших посадових осіб подання необхідних для з'ясування питань, що виникли відомостей.
Відповідно до п. 2 ч. 1 ст. 6 Закону про персональні дані обробка ПД допускається для досягнення цілей, зазначених у законі, для здійснення і виконання покладених законодавством РФ функцій, повноважень і обов'язків. Таким чином, Закон про персональні дані, яким передбачена обробка персональних даних за згодою їх носія, не перешкоджає задоволенню запиту прокурора на витребування відомостей щодо осіб, які перебувають на обліку в медичних закладах з діагнозами, що не дозволяють мати дозвіл на керування транспортними засобами.
Чи має право медустанову укласти договір з ритуальним агентством на предмет перевезення померлих? Чи не буде це розцінено як порушення лікарської таємниці і незаконна передача персональних даних?
Якщо доказів отримання ритуальним агентством в якості зустрічного зобов'язання інформації про родичів померлого суду не буде представлено, тобто якщо буде доведено, що договір з медучреждением укладений без обов'язкової передачі персональних даних, дії учасників договору будуть визнані правомірними.
Факт незаконної передачі персональних даних третій особі може бути встановлено тільки при наявності відповідних доказів.
Крім того, обробка персональних даних не допускається без згоди суб'єкта ПД, а в разі його смерті - без згоди його спадкоємців (п. 1 ст. 6, п. 7 ст. 9 Закону про персональні дані). Також в силу ст. 7 Закону про персональні дані оператори та інші особи, які отримали доступ до зазначеної інформації, зобов'язані не розголошувати третім особам і не поширювати персональні дані без відповідної згоди.
Ще одна заборона на передачу інформації третім особам (в нашому випадку - ритуальному агентству) містять п. 1, 2 ст. 13 Закону про здоров'я [8]. що не допускають розголошення лікарської таємниці (відомостей про факт звернення громадянина за наданням медичної допомоги, стан його здоров'я і діагнозі, інших відомостей, отриманих при медичному обстеженні та лікуванні) в тому числі після смерті людини. Таким чином, на думку антимонопольного органу, передавати інформацію про померлих ритуальному агентству лікарня не мала права.
Однак суди вказали, що з тексту укладеного договору не випливає, що ритуальне агентство в якості зустрічного надання отримало від лікарні інформацію про померлих. У договорі також не вказано, що перевізник отримує будь-які документи, що містять персональні дані померлих. При цьому антимонопольний орган не встановив, яким способом здійснюється документообіг в лікарні. Відповідно, доказів, що підтверджують передачу від лікарні ритуальному агентству персональних даних в період виконання договору, антимонопольний орган надати не зміг - суд першої інстанції, а згодом і апеляційний суд порахували дії ФАС незаконними.
Отже, зверніть увагу, що саме оператор - тобто організація або особа, обробні персональні дані (що виробляють з ними будь-які дії), - зобов'язаний довести, що згода суб'єкта ПД на їх обробку отримано або що обробка даних можлива на підставах, встановлених законом [9 ].
В силу п. 2 ст. 24 Закону про персональні дані моральну шкоду, заподіяну суб'єкту ПД внаслідок порушення його прав, правил обробки персональних даних підлягає відшкодуванню відповідно до законодавства РФ. Причому відшкодування моральної шкоди здійснюється незалежно від відшкодування майнової шкоди та понесених суб'єктом ПД збитків.
[3] Пункти 6, 7 Закону про персональні дані.
[9] Пункт 3 ст. 9 Закону про персональні дані.