Контролирующие ведомства
Контроль и надзор за обработкой персональных данных осуществляют несколько ведомств. Роскомнадзор в целом контролирует обработку персональных данных в соответствии с требованиями законодательства. Кроме того, ведомство ведет реестр операторов, осуществляющих обработку персональных данных.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) осуществляет надзор за техническими средствами обработки персональных данных за исключением криптографических средств. Кроме того, полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах наделена ФСБ России. Надзорными полномочиями в сфере персональных данных обладает прокуратура в силу ст. 1 Федерального закона "О прокуратуре РФ" от 17 января 1992 г. N 2202-1.
Требования и распоряжения ведомств, не уполномоченных осуществлять контроль и надзор в сфере защиты персональных данных, являются неправомерными. Федеральный арбитражный суд Северо-Кавказского в Постановлении от 22 июля 2011 г. по делу N А32-26161/2008 отметил, что налоговая инспекция, направив компании требование об отключении от системы электронного документооборота из-за нарушений законодательства о персональных данных, нарушила право фирмы на свободу предпринимательской деятельности. Инспекторы, допустив излишний административный контроль, вышли за пределы своей компетенции.
Согласие на обработку данных
Обработка персональных данных осуществляется оператором с согласия субъекта персональных данных, за исключением отдельных случаев, которые рассмотрим позже.
Субъект персональных данных предоставляет информацию и дает свое согласие на ее обработку, руководствуясь исключительно своей волей и своими интересами. Кстати, дать согласие на обработку данных может и представитель субъекта персональных данных, но в этом случае обязательно должен быть документ, подтверждающий полномочия данного представителя давать согласие от имени субъекта (доверенность).
Согласие должно быть конкретным, информированным и сознательным, выражаться прямо, а не быть предположением. Так, в одном деле оператор услуг телефонной связи был привлечен к административной ответственности за то, что в типовом договоре на оказание услуг междугородной и международной телефонной связи был определен только порядок предоставления данных услуг, но отсутствовало непосредственное указание о согласии или отказе абонента на доступ к указанным услугам и на предоставление сведений о нем третьим лицам (Постановление Федерального арбитражного суда Северо-Западного округа от 13 мая 2009 г. по делу N А66-17/2009).
Согласие дается в письменной форме и должно включать в себя определенные сведения, установленные ст. 9 Закона N 152-ФЗ (таблица 2).
Таблица 2. Сведения, которые должны содержаться в согласии
субъекта персональных данных на обработку информации
┌─────────────────────────────────────────────────────────────────────────┐
│ N Сведения │
│п/п │
├─────────────────────────────────────────────────────────────────────────┤
│ 1 Фамилия, имя, отчество, адрес субъекта персональных данных, номер │
│ основного документа, удостоверяющего его личность, сведения о дате │
│ выдачи указанного документа и выдавшем его органе │
├─────────────────────────────────────────────────────────────────────────┤
│ 2 Фамилия, имя, отчество, адрес представителя субъекта персональных │
│ данных, номер основного документа, удостоверяющего его личность, │
│ сведения о дате выдачи указанного документа и выдавшем его органе, │
│ реквизиты доверенности или иного документа, подтверждающего │
│ полномочия этого представителя (при получении согласия от │
│ представителя субъекта персональных данных) │
├─────────────────────────────────────────────────────────────────────────┤
│ 3 Наименование или фамилия, имя, отчество и адрес оператора, │
│ получающего согласие субъекта персональных данных │
├─────────────────────────────────────────────────────────────────────────┤
│ 4 Цель обработки персональных данных │
├─────────────────────────────────────────────────────────────────────────┤
│ 5 Перечень персональных данных, на обработку которых дается согласие│
│ субъекта персональных данных │
├─────────────────────────────────────────────────────────────────────────┤
│ 6 Наименование или фамилия, имя, отчество и адрес лица, осуществляющего│
│ обработку персональных данных по поручению оператора, если обработка │
│ будет поручена такому лицу │
├─────────────────────────────────────────────────────────────────────────┤
│ 7 Перечень действий с персональными данными, на совершение которых │
│ дается согласие, общее описание используемых оператором способов │
│ обработки персональных данных │
├─────────────────────────────────────────────────────────────────────────┤
│ 8 Срок, в течение которого действует согласие субъекта персональных │
│ данных, а также способ его отзыва, если иное не установлено │
│ федеральным законом │
├─────────────────────────────────────────────────────────────────────────┤
│ 9 Подпись субъекта персональных данных │
└─────────────────────────────────────────────────────────────────────────┘
Равнозначным согласию, содержащему собственноручную подпись субъекта, признается согласие, которое дано в форме электронного документа, подписанного электронной подписью (п. 4 ст. 9 Закона N 152-ФЗ).
Обязанность предоставить доказательства согласия субъекта персональных данных на их обработку возлагается на оператора.
В некоторых случаях, названных в ст. 6 Закона N 152-ФЗ, получать согласие от субъекта персональных данных не обязательно (таблица 3).
Таблица 3. Случаи обработки персональных данных,
когда получать согласие субъекта персональных данных
не обязательно
┌─────────────────────────────────────────────────────────────────────────┐
│ N Обработка персональных данных: │
│п/п │
├─────────────────────────────────────────────────────────────────────────┤
│ 1 необходима для достижения целей, предусмотренных международным │
│ договором РФ или законом, для осуществления и выполнения возложенных │
│ законодательством РФ на оператора функций, полномочий и обязанностей │
├─────────────────────────────────────────────────────────────────────────┤
│ 2 необходима для осуществления правосудия, исполнения судебного акта, │
│ акта другого органа или должностного лица, подлежащих исполнению в │
│ соответствии с законодательством РФ об исполнительном производстве │
├─────────────────────────────────────────────────────────────────────────┤
│ 3 необходима для предоставления государственной или муниципальной │
│ услуги в соответствии с Федеральным законом от 27 июля 2010 г. │
│ N 210-ФЗ "Об организации предоставления государственных и │
│ муниципальных услуг", для обеспечения предоставления такой услуги, │
│ для регистрации субъекта персональных данных на едином портале │
│ государственных и муниципальных услуг │
├─────────────────────────────────────────────────────────────────────────┤
│ 4 необходима для исполнения договора, стороной которого либо │
│ выгодоприобретателем или поручителем по которому является субъект │
│ персональных данных, а также для заключения договора по инициативе │
│ субъекта персональных данных или договора, по которому субъект │
│ персональных данных будет являться выгодоприобретателем или │
│ поручителем │
├─────────────────────────────────────────────────────────────────────────┤
│ 5 необходима для защиты жизни, здоровья или иных жизненно важных │
│ интересов субъекта персональных данных, если получение согласия │
│ субъекта персональных данных невозможно │
├─────────────────────────────────────────────────────────────────────────┤
│ 6 необходима для осуществления прав и законных интересов оператора или │
│ третьих лиц либо для достижения общественно значимых целей при │
│ условии, что при этом не нарушаются права и свободы субъекта │
│ персональных данных │
├─────────────────────────────────────────────────────────────────────────┤
│ 7 необходима для осуществления профессиональной деятельности журналиста│
│ и (или) законной деятельности СМИ либо научной, литературной или иной│
│ творческой деятельности при условии, что при этом не нарушаются права│
│ и законные интересы субъекта персональных данных │
├─────────────────────────────────────────────────────────────────────────┤
│ 8 осуществляется в статистических или иных исследовательских целях, за │
│ исключением целей, указанных в ст. 15 Закона N 152-ФЗ, при условии │
│ обязательного обезличивания персональных данных │
├─────────────────────────────────────────────────────────────────────────┤
│ 9 осуществляется обработка персональных данных, доступ неограниченного │
│ круга лиц к которым предоставлен субъектом персональных данных либо │
│ по его просьбе │
├─────────────────────────────────────────────────────────────────────────┤
│ 10 осуществляется обработка персональных данных, подлежащих │
│ опубликованию или обязательному раскрытию в соответствии с │
│ федеральным законом │
└─────────────────────────────────────────────────────────────────────────┘
Согласие субъекта персональных данных на их обработку не обязательно, если она осуществляется в рамках исполнения заключенного с ним договора. Так, суд отклонил довод истца о нарушении его прав на защиту персональных данных из-за звонка на его личный телефон со стороны ответчика, действующего по поручению кредитора истца. Истец не погасил задолженность перед кредитором, и тот поручил взыскание задолженности третьему лицу, сообщив персональные данные должника. Суд отметил, что в данном случае специально выраженного согласия не требуется (Кассационное определение Омского областного суда от 10 ноября 2010 г. N 33-7056/2010). В Постановлении Федерального арбитражного суда Восточно-Сибирского округа от 12 мая 2011 г. по делу N А33-10809/2010 отмечено, что предоставление управляющей компанией физическим лицам, проживающим в обслуживаемых домах, платежных документов с указанием в них персональных данных последних является частью деятельности последней в рамках принятых на себя обязательств по управлению жилыми домами.
Еще один случай - клиенты заказывают товары, работы или услуги, заполняя анкету на сайте в электронном виде, содержащую сведения о персональных данных. Отдельного согласия на обработку данных не потребуется. Отправляя свои данные по указанному алгоритму заполнения анкеты, физические лица фактически выражают свое согласие на передачу своих персональных данных, то есть при обработке персональных данных письменное согласие считается полученным (Постановление Федерального арбитражного суда Северо-Западного округа от 13 декабря 2010 г. по делу N А56-73636/2009).
Согласие субъекта на обработку персональных данных в государственных информационных реестрах не требуется, если он первоначально сам направил туда сведения о себе. Федеральный арбитражный суд Московского округа в Постановлении от 9 ноября 2007 г. N КГ-А40/11450-07 отметил, что, становясь акционером общества, сведения о котором содержатся в ЕГРЮЛ, лицо тем самым выражает свое согласие на использование его персональных данных в ЕГРЮЛ.
Некоторые сведения не относятся к информации, подпадающей под действие Закона о защите персональных данных. Например, не являются конфиденциальной информацией сведения о том, что гражданин не оплачивает коммунальные услуги. Подобная информация не относится к частной жизни этого лица и не является тайной, которую лицо, обладающее этой информацией, не вправе разглашать в силу своих профессиональных обязанностей (Кассационное определение Пермского краевого суда от 5 октября 2010 г. N 33-8722). Кроме того, наличие персональных данных в материалах надзорного производства прокуратуры не является их обработкой, в связи с чем действия прокуратуры не могут быть признаны незаконными (Кассационное определение Санкт-Петербургского городского суда от 8 декабря 2010 г. N 33-16601).
Назовем еще несколько ситуаций по вопросу предоставления персональных данных на основе судебной практики.
Предоставление персональных данных без согласия субъекта допускается арбитражному управляющему. Он в силу ст. ст. 66 и 67 Федерального закона о банкротстве от 26 октября 2002 г. N 127-ФЗ вправе получать любую информацию и документы, касающиеся деятельности должника (Постановление Федерального арбитражного суда Западно-Сибирского округа от 1 сентября 2010 г. по делу N А70-13989/2009).
Не допускается предоставление персональных данных миграционной службой военному комиссару. Действия миграционной службы в части исполнения законодательства о воинской обязанности и военной службе носят самостоятельный характер и не предусматривают предоставление информации по лицам, уклоняющимся от воинской службы (Решение Первореченского районного суда г. Владивостока от 26 января 2011 г. N 2-287/11).
Персональные данные не могут предоставляться Федеральной антимонопольной службе и Федеральной службе по финансовым рынкам. Данным ведомствам не предоставлено право запрашивать информацию о персональных данных (Постановления Федерального арбитражного суда Уральского округа от 18 мая 2011 г. N Ф09-2525/11-С1, Федерального арбитражного суда Московского округа от 5 августа 2010 г. N КА-А40/8263-10).
Адвокаты не имеют права запрашивать у ведомств персональные сведения. Право адвоката собирать сведения, необходимые для оказания юридической помощи, и обязанность соответствующего органа ему такую информацию предоставить не распространяется на установленные законом конфиденциальные сведения. Причем непредоставление адвокату конфиденциальной информации не препятствует реализации адвокатом права на оказание квалифицированной юридической помощи (Постановление Федерального арбитражного суда Восточно-Сибирского округа от 18 декабря 2008 г. N А58-558/08-Ф02-6318/08, Определение Московского городского суда от 8 ноября 2010 г. по делу N 33-31358).
Отдельного рассмотрения заслуживает вопрос о предоставлении персональных данных судебным приставам.