Рассказываем, когда и кому требуется получить согласие об обработке персданных, каким оно должно быть, можно ли его включать в текст иных документов. Какие условия обработки персданных необходимо соблюсти, как должно быть подписано согласие. Наша подборка судебной практики поможет избежать ошибок в оформлении документов и избежать привлечения к ответственности.
В условиях глобализации мировой экономики и проникновения Интернета во все сферы человеческой жизни особое значение приобретает защита персональных данных. С одной стороны, доверяя государству и бизнесу свою персональную информацию, человек получает более удобный и качественный сервис, а также комфортную коммуникацию. С другой же стороны, повсеместное и избыточное оставление на каждом шагу персональной информации чревато серьезными рисками для граждан, такими как: незаконная передача персональных данных субъекта третьему лицу, их обработка в противоречии с заявленными целями или с превышением допустимых пределов, хищение данных и другие неблагоприятные последствия. Все это грозит санкциями нарушителям.
Правовые основы
Правила ст. 9 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – Закон № 152‑ФЗ) устанавливают, что любой субъект персональных данных самостоятельно принимает решение о предоставлении согласия на обработку персданных, действуя своей волей и в своем интересе. Например, регистрируя на сайте известного рекрутингового агентства личный кабинет и размещая персональные данные, соискатель помимо принятия условий пользовательского (лицензионного) соглашения о порядке использования сервисов также дает согласие на обработку своих персональных данных, нажимая соответствующую электронную кнопку в интерфейсе сайта («принять», «согласен» и т. п.).
Такой порядок выражения согласия на обработку персональных данных широко распространен на практике (ст. 6 ГК РФ) и не противоречит п. 2 ст. 160, ст. 161, 432, 434 и 438 ГК РФ при условии, что акцепт помимо собственно нажатия электронной кнопки подтверждается волевыми действиями пользователя. К числу таких действий относятся введение одноразового пароля, отправленного пользователю в сообщении, перечисление символического платежа на расчетный счет и т. п. Письменное согласие требуется только в особых случаях, предусмотренных ст. 10 Закона № 152‑ФЗ, в частности, при обработке специальных категорий персональных данных.
Между тем иные лица, использующие персональные данные рекрутингового агентства, обязаны получить на это согласие пользователей, поскольку оно не предполагается, и изначально было предоставлено для иных целей другому лицу. К таким выводам пришел суд в деле № А40-81171/17-149-793, признав незаконным поручение компанией-работодателем обработки персональных данных соискателей третьему лицу (постановление Арбитражного суда Московского округа от 15.01.2018 № Ф05-18981/2017). Показательным является и дело, рассмотренное ниже.
Суд посчитал правомерными действия организатора аукциона, отклонившего заявку компании, которая в составе заявки не представила согласие участника в нарушение требований закупочной документации. Представляемая участниками аукциона информация подлежит обработке с целью обеспечения к ней доступа со стороны неопределенного круга лиц, заинтересованных в получении сведений о проводимой закупке, поэтому организатор вправе требовать представления согласия на обработку персональных данных от лиц, сведения о которых представлены в направляемых документах. При этом такое согласие должно охватывать не только разрешение самой компании обрабатывать персданные субъектов, но и передавать их третьим лицам (постановление Четвертого арбитражного апелляционного суда от 20.02.2020 № 04АП-7042/2019).
В нашей практике недавно был случай, когда медицинская клиника в связи с распространением коронавируса в Москве перешла на дистанционный формат работы со своими клиентами. При такой модели работы исключался риск возникновения угрозы жизни и здоровью людей, но не была решена проблема получения письменного согласия от клиентов на обработку их специальных персональных данных. Выходом стало обновление текста оферты, в которой был описан алгоритм действий клиента по заполнению формы анкеты с указанием своих персональных данных, нажатие электронной кнопки об отправке и перечисление на счет клиники символического платежа. В оферте содержалось указание на то, что выполнение данных действий свидетельствовало о ее акцепте клиентом, в том числе выражение согласия на обработку специальных персональных данных.
При этом, присоединяясь к оферте, клиент принимал на себя обязательство направить текст согласия по почте в адрес клиники в связи с исключением такой возможности при заключении и исполнении договора. В такой ситуации клиника могла быть привлечена к ответственности за нарушение порядка получения согласия на обработку специальных персональных данных, однако очевидно, что с учетом неблагоприятной санитарно-эпидемиологической обстановки в стране она предприняла все разумные и зависящие от нее меры по выполнению установленных требований, что, по нашему мнению, исключало наличие ее вины.
