Статья 6. Условия обработки персональных данных
Статья 6.
Условия обработки персональных данных
Комментарий к статье 6
1. Соблюдение принципов обработки персональных данных, представленных предшествующей статьей, не является единственным условием, гарантирующим защищенность прав и законных интересов граждан, чьи персональные данные становятся объектом соответствующих правоотношений. В достижение заявленных целей, а равно обеспечения баланса интересов граждан — субъектов персональных данных, общества, государства и частных лиц при соблюдении требований адекватной защиты прав и свобод граждан, гарантированных Конституцией РФ, законодатель в числе обязательных условий работы с персональными данными определяет обязательность получения соответствующего согласия субъектов персональных данных. Таким образом, формально устанавливается безусловная презумпция запрета на действия с персональными данными без согласия субъекта персональных данных. Подобный законодательный подход ставит под сомнение реализацию законных прав и интересов оператора и третьих лиц в таких ключевых областях отношений, как имущественные и финансовые отношения. Кроме того, неоправданно жесткое требование потенциально исключает любую возможность сбора и обработки персональных данных в тех случаях, когда подобная работа с ними не легитимирована законом.
Комментируемая статья не определяет процедуру получения, форму и способ выражения согласия. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
Предполагается, что в целях обработки персональных данных достаточно устного согласия субъекта, за исключением случаев, когда иное установлено законом. В частности, п.4 ст.9 настоящего Закона предусмотрено, что в отдельных случаях, установленных настоящим Законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие на обработку персональных данных должно быть получено в случаях:
обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п.1 ст.10 комментируемого Закона);
обработки сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные) (п.1 ст.11 комментируемого Закона);
трансграничной передачи персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п.3 ст.12 комментируемого Закона).
Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
В отдельных случаях получение такого согласия подразумевается. Речь здесь идет, как правило, о ситуациях, когда субъект инициативно, вследствие исполнения возложенной на него обязанности предоставляет свои персональные данные оператору, например при получении паспорта гражданина РФ или постановке на воинский учет, участии в выборах, трудоустройстве, заключении различного рода договоров и т.п.
2. В целях обеспечения баланса интересов личности, общества и государства, защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства законодатель формирует круг условий, наличие которых освобождает оператора от обязанности истребования согласия субъекта персональных данных на их обработку. Формально представленный в п.2 комментируемой статьи перечень оснований, дающих возможность обработки персональных данных при отсутствии согласия на то субъекта, является исчерпывающим.
2.1. При формальном соблюдении условия о получении персональных данных только с согласия их субъекта законодатель допускает неограниченный круг случаев, когда конфиденциальные сведения предоставляются их обладателем инициативно при молчаливом согласии последнего. Авторы комментируемого Закона подчеркивают, что ситуации такого рода должны иметь место лишь в случаях, прямо оговоренных федеральным законом, когда круг субъектов персональных данных, сведения, подлежащие обработке, условия их получения, а также полномочия оператора достаточно определены и не требуют дополнительной регламентации. К такого рода случаям могут быть отнесены получение сведений при заключении трудового договора, в процессе прохождения государственной службы (вопросы, связанные с назначением на должность, аттестацией государственных служащих и т.п.), при постановке граждан на воинский учет, в ходе осуществления деятельности по пенсионному страхованию и т.п.Таким образом, создается достаточно обширная область общественных отношений, в которых согласие субъекта персональных данных является условием номинальным.
2.2. Наличие договорных отношений с субъектом персональных данных также освобождает оператора от обязанности получения согласия своего контрагента на обработку предоставляемых им конфиденциальных сведений. Законодатель не конкретизирует, какой именно договор должен иметь место, в случаях исполнения которого не требуется получения соответствующего согласия. В качестве такового могут выступать различного рода хозяйственные договоры, трудовой договор, договоры на выполнение работ и оказание услуг и т.п., тем самым сюда может быть включен весь круг договорных отношений, потенциально возможных и допустимых к существованию на территории РФ. В целях соблюдения условия, определенного требованиями настоящей статьи, к такого рода договорным отношениям предъявляются, как минимум, следующие требования:
договор должен соответствовать обязательным для сторон правилам, в части, касающейся его формы и содержания, установленным законом и иными правовыми актами (императивным нормам), действующим в момент его заключения;
договор должен быть реален к исполнению и не содержать условий, ограничивающих прав его участников, в части, касающейся защиты персональных данных, по отношению к действующему законодательству;
предмет договора, равно как и цель его заключения, должны быть неразрывно связаны с личностью одного из участников договорных отношений. Последнее требование в большей степени характерно для трудовых договоров, коллективных соглашений, договоров на выполнение работ и оказание услуг, авторских договоров и договоров о передачи результатов интеллектуальной деятельности, исполнение которых предполагает обязательную обработку персональных данных.
2.3. Обработка персональных данных для статистических, научных и иных аналогичных целей является допустимой при соблюдении гарантий по обеспечению прав субъектов персональных данных на неприкосновенность частной жизни.
Задачей статистики является обеспечение информационных потребностей общества в достоверной, научно обоснованной, своевременной и полной информации о социальном, экономическом, демографическом и экологическом положении государства. Официальная статистическая деятельность направлена на достижение стратегических целей развития государства, создание условий для повышения эффективности функционирования системы федеральных органов исполнительной власти. Статистические данные необходимы деловым кругам, научной общественности, средствам массовой информации, населению.
Обязательными условиями обработки конфиденциальных сведений, гарантирующими защиту прав и законных интересов граждан, в статистических и научных целях являются:
обеспечение соответствующего режима хранения и защиты полученных оператором в процессе деятельности персональных данных;
обезличивание обрабатываемых персональных данных.
Закрепленное в комментируемой статье требование обработки персональных данных для статистических или иных научных целей при условии обязательного обезличивания персональных данных не основано на положениях Конвенции и Директивы 95/46/ЕС о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных. Последняя указывает на необходимость гарантий в отношении персональных данных, собираемых для указанных целей, но делает исключение для обработки персональных данных, осуществляемой исключительно в целях журналистики или в целях художественного или литературного творчества, в противном случае под запрет попадает вся историческая литература.
2.4. Защита жизни, здоровья или иных жизненно важных интересов гражданина по замыслу законодателя выступают условиями обработки персональных данных при отсутствии согласия на то субъекта персональных данных в случаях, если его получение не представляется возможным. К числу последних могут быть отнесены ситуации экстраординарного характера, например поиск донора лицу, находящемуся в бессознательном состоянии, или обусловлены состоянием постоянной угрозы безопасности личности свидетелей или потерпевших в уголовном процессе, лиц, оказывающих содействие органам, осуществляющим оперативно-розыскную деятельность на конфиденциальной основе.
2.5. В состав персональных данных, которые подлежат обработке в случаях доставки почтовых отправлений организациями почтовой связи, осуществления расчетов операторами электросвязи, расчетов с пользователями услуг связи за оказанные услуги связи, а также рассмотрения претензий пользователей услугами связи, включены:
фамилия, имя, отчество или псевдоним абонента;
почтовый адрес абонента;
адрес установки оконечного оборудования;
абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование;
сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента;
сведения о передаваемых по сетям электросвязи и сетям почтовой связи сообщениях;
используемый абонентом радиочастотный спектр.
Обработка иных сведений в указанных случаях без согласия субъекта персональных данных является недопустимой. Операторы связи вправе использовать созданные ими базы данных об абонентах для осуществления информационно-справочного обслуживания, в том числе для подготовки и распространения информации различными способами, в частности на магнитных носителях и с использованием средств телекоммуникаций. При подготовке данных для информационно-справочного обслуживания могут быть использованы фамилия, имя, отчество абонента-гражданина и его абонентский номер, наименование (фирменное наименование) абонента — юридического лица, указанные им абонентские номера и адреса установки оконечного оборудования. Сведения об абонентах-гражданах без их согласия в письменной форме не могут быть включены в данные для информационно-справочного обслуживания и не могут использоваться для оказания справочных и иных информационных услуг оператором связи или третьими лицами. Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с согласия в письменной форме абонентов, за исключением случаев, предусмотренных федеральными законами.
2.6. Законодатель допускает обработку персональных данных без согласия на то субъекта в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
Согласно ст.47 Закона РФ от 27 декабря 1991г. N 2124-1 "О средствах массовой информации" журналист в целях осуществления своей профессиональной деятельности имеет право:
1) искать, запрашивать, получать и распространять информацию;
2) получать доступ к документам и материалам, за исключением их фрагментов, содержащих сведения, составляющие государственную, коммерческую или иную специально охраняемую законом тайну;
3) копировать, публиковать, оглашать или иным способом воспроизводить документы и материалы;
4) производить записи, в том числе с использованием средств аудио- и видеотехники, кино- и фотосъемки, за исключением случаев, предусмотренных законом;
5) проверять достоверность сообщаемой ему информации;
6) распространять подготовленные им сообщения и материалы за своей подписью, под псевдонимом или без подписи.
При этом журналист обязан сохранять конфиденциальность информации и (или) ее источника; получать согласие (за исключением случаев, когда это необходимо для защиты общественных интересов) на распространение в средстве массовой информации сведений о личной жизни гражданина от самого гражданина или его законных представителей; при получении информации от граждан и должностных лиц ставить их в известность о проведении аудио- и видеозаписи, кино- и фотосъемки.
Журналисту категорически запрещается использовать предоставленное ему право на распространение информации с целью опорочить гражданина или отдельные категории граждан исключительно по признакам пола, возраста, расовой или национальной принадлежности, языка, отношения к религии, профессии, места жительства и работы, а также в связи с их политическими убеждениями.
Использование прав журналиста в области обработки персональных данных штатными сотрудниками редакций, занимающимися редактированием, созданием, сбором или подготовкой сообщений и материалов для многотиражных газет и других средств массовой информации, продукция которых распространяется исключительно в пределах одного предприятия (объединения), организации, учреждения, а равно авторами, не связанными с редакцией средства массовой информации трудовыми или иными договорными отношениями, но признаваемыми ею своими внештатными авторами или корреспондентами, при выполнении ими поручений редакции осуществляется при условии получения согласия субъекта персональных данных в порядке, установленном настоящим Законом.
В состав персональных данных, используемых исключительно в области научной, литературной или иной творческой деятельности, включены:
сведения, которые идентифицируют произведение или объект смежных прав, автора, обладателя смежных прав или иного обладателя исключительных прав;
информация об условиях использования произведения или объекта смежных прав, которая содержится на экземпляре произведения или объекта смежных прав, приложена к ним или появляется в связи с сообщением для всеобщего сведения либо доведением до всеобщего сведения таких произведения или объекта смежных прав;
любые цифры и коды, в которых содержится такая информация;
сведения, позволяющие идентифицировать личность гражданина, описание которого приводится в произведении.
В отношении такого рода сведений не допускается удаление или изменение информации об авторском праве и о смежных правах, воспроизведение, распространение, импорт в целях распространения, публичное исполнение, сообщение для всеобщего сведения, доведение до всеобщего сведения произведений или объектов смежных прав.
2.7. Действующее избирательное законодательство в состав персональных данных, подлежащих обработке в целях реализации избирательных прав граждан, освещения хода, характера и содержания проходящих выборов, относит:
биографические данные кандидатов, включающие их фамилию, имя, отчество, дату и место рождения, а в случае необходимости гражданство, время проживания на территории РФ;
основное место работы или службы, занимаемая должность (в случае отсутствия основного места работы или службы — род занятий); адрес места жительства; образование;
номер и дату выдачи паспорта или документа, заменяющего паспорт гражданина, наименование и код выдавшего его органа;
сведения о наличии неснятой или непогашенной судимости;
сведения о размере и об источниках доходов кандидата и его супруга, о вкладах в банках, ценных бумагах, об обязательствах имущественного характера кандидата и его супруга.
По смыслу действующего законодательства получение согласия при их обработке не требуется в случаях опубликования информации об итогах регистрации кандидатов, биографических данных зарегистрированных кандидатов, иных сведений, поступающих в избирательные комиссии, итоги голосования по каждому зарегистрированному кандидату.
Аналогичные требования установлены в отношении персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных настоящим Законом.
Обработка персональных данных специальных категорий допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством РФ о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ.
Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством РФ, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством РФ о безопасности, законодательством РФ об оперативно-розыскной деятельности, законодательством РФ о государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из РФ и въезда в РФ.
4. По общему правилу оператор должен лично осуществлять обработку персональных данных, однако законодатель допускает возможность передоверия совершения операций с персональными данными другому лицу на основании договора. Следует отметить, что комментируемый Закон не определяет перечень случаев, равно как порядок и условия такого рода передоверия. Предположительно передача исключительных прав на обработку персональных данных должна осуществляться в случаях объективно необходимых в силу сложившихся обстоятельств для защиты интересов субъекта персональных данных.
Передача полномочий оператора по обработке персональных данных на основании договора третьему лицу допустима при соблюдении следующих условий:
наличие согласия субъекта персональных данных;
уведомление субъекта о предстоящей или состоявшейся передачи с обязательным сообщением сведений о личности нового оператора и иных данных, имеющих значение в целях обеспечения адекватной защиты прав субъектов персональных данных;
передача прав на обработку персональных данных обусловлена силой обстоятельств для охраны интересов субъекта персональных данных;
обеспечение условий конфиденциальности персональных данных, подвергающихся обработке.
Существенным условием договора передачи персональных данных по смыслу комментируемой статьи является обязанность обеспечения доверенным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. В договоре должны быть определены условия охраны конфиденциальности информации, в том числе в случае реорганизации или ликвидации одной из сторон договора в соответствии с гражданским законодательством, а также обязанность контрагента по возмещению убытков при разглашении им этой информации вопреки договору. В случае если иное не установлено договором, контрагент в соответствии с законодательством РФ самостоятельно определяет способы защиты персональных данных, переданных ему по договору. Передача персональных данных доверенному лицу осуществляется в том же объеме и на тех же условиях, которые настоящим Федеральным законом установлены для оператора персональных данных.
Контрагент обязан незамедлительно сообщить субъекту персональных данных о ставшем ему известном факте разглашения или угрозы разглашения, незаконном получении или незаконном использовании персональных данных третьими лицами. Оператор персональных данных, переданных им контрагенту, до окончания срока действия договора не может разглашать указанную информацию, а также в одностороннем порядке прекращать охрану ее конфиденциальности, если иное не установлено договором. Сторона, не обеспечившая в соответствии с условиями договора охраны конфиденциальности персональных данных, переданных по договору, обязана возместить другой стороне убытки, если иное не предусмотрено договором.