Культ согласий на обработку персональных данных: что нужно знать бизнесу при сборе согласий от субъектов

Правовое основание обработки персональных данных

В соответствии с Федеральным законом № 152-ФЗ «О персональных данных» (далее – ФЗ -152) обработка любых персональных данных субъекта должна осуществляться при наличии надлежащего основания. При выборе ненадлежащего правового основания или отсутствия возможности его предоставления предусмотрена административная и даже уголовная ответственность[1].

Согласие на обработку персональных данных является одним из ключевых правовых оснований, предусмотренных ст. 6 ФЗ-152, и может быть получено в двух формах: устной и письменной.

Проблемы с получением согласий в бизнес-процессах

Согласие субъекта является важным основанием для обработки данных, но наличие согласий на каждый бизнес-процесс не гарантирует правомерность обработки оператором данных субъектов. Кроме того, если согласие получено неправомерно, либо в нем не указаны конкретные цели обработки, оператор может быть привлечен к административной ответственности. Например, за нарушение требований к составу сведений для письменной формы согласий предусмотрена административная ответственность в соответствии со статьей 13.11 ч.ч.2 – 2.1 КоАП РФ и влечет наложение административного штрафа на юридических лиц до 700 000 рублей, а при повторном нарушении до 1 500 000 рублей.

На практике операторы часто затрудняются при выборе надлежащего правового основания для обработки персональных данных, в результате чего массово собираются согласия от субъектов без должной необходимости. В компаниях нередко подписывается около 15 согласий с каждым сотрудником, а если в организации работают тысячи человек, то процесс сбора такого количества согласий становится крайне трудоемким и времязатратным.

Важно отметить, что согласия на обработку данных необходимо не только надлежащим образом получить, но и правильно хранить. Частым нарушением законодательства о персональных данных является также необоснованное или избыточное хранение согласий. В соответствии со ст. 5 ФЗ-152 хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, и подлежат уничтожению либо обезличиванию по достижении целей обработки.

Например, в соответствие с позицией Роскомнадзора

  • срок действия согласия, которое было предоставлено в рамках договорных отношений, не может превышать срока действия таких отношений;[2]
  • согласие работников на те виды обработки, которые не предусмотрены ТК РФ (передача персональных данных третьим лицам в рамках ДМС или для изготовления визиток), должны действовать до момента прекращения трудового договора.[3]

Очевиден факт, что чем больше оператор собирает согласий на обработку персональных данных субъектов, тем выше вероятность, что надзорный орган обнаружит нарушения законодательства о персональных данных.

Альтернативные правовые основания

Во многих случаях согласие оказывается неподходящим или нецелесообразным основанием для обработки персональных данных, так как оно не отражает сущность правоотношений между субъектом данных и оператором либо не соответствует характеру организуемого бизнес-процесса.

Одной из распространённых ситуаций на практике является чрезмерное использование согласий в тех случаях, когда для обработки персональных данных существуют другие законные основания, такие как заключение и исполнение договора или осуществление и выполнение возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
Например, в контексте трудовых отношений обработка данных может осуществляться на основании трудового договора и трудового законодательства, что делает получение согласия излишним. Согласно позиции Роскомнадзора согласие, например, не требуется:

  • в отношении работников на те виды обработки, которые предусмотрены Трудовым кодексом Российской Федерации[4];
  • в адрес образовательной организации при направлении работника на обязательное повышение квалификации[5];
  • дополнительное согласие на обработку предоставляемой при трудоустройстве фотографии[6];
  • согласия близких родственников кандидата или работника, если объем собираемых данных не превышает установленный карточкой Т-2 или типовой анкетой при поступлении на госслужбу [7].

Проблему «культа» согласий на обработку персональных данных затрагивал Замглава Роскомнадзора Милоша Вагнера на сессии «Персональные данные — зона особого внимания» в рамках Петербургского международного юридического форума (ПМЮФ). В частности, он отметил, что согласие субъекта не должно быть единственным основанием для обработки персональных данных. Вагнер подчеркнул, что во многих случаях существуют иные, более релевантные правовые основания, и чрезмерное использование согласий может создавать дополнительные риски как для операторов, так и для самих субъектов данных.[8]

Судебная практика

В контексте данного вопроса также представляет интерес позиция судов. Например, Пресненского районного суда города Москвы по гражданскому делу № 2-907/2024 от 6 февраля 2024 года о защите персональных данных и взыскании компенсации морального вреда. Работник оспаривал действие оператора, заявляя о неправомерной передаче его персональных данных без его согласия аутсорсинговому агентству, которое выполняет функцию оператора по кадровому администрированию и расчету заработной платы для сотрудников. Суд отказал в удовлетворении иска о защите персональных данных, указав, что согласие истца не требовалось для обработки персональных данных. По мнению суда, обработка персональных данных в данном случае осуществлялась в рамках исполнения трудового договора, закона и не могла ставиться под условие получения согласия на обработку персональных данных, иное приводило бы к невозможности заключения и исполнения договора, соблюдения требований закона. Передача данных третьим лицам без согласия допустима, если не нарушаются права работников и обеспечивается защита данных от неправомерных действий.

А в деле между ПАО «АЭРОФЛОТ-РОССИЙСКИЕ АВИАЛИНИИ» и Роскомнадзором Арбитражный суд города Москвы указал, что передача персональных данных работников ПАО «Аэрофлот» связана с исполнением обязанностей работодателя по коллективному договору (ДМС, санаторное лечение, размещение). Согласно ТК РФ, коллективный договор обязателен для работодателя и регулирует социально-трудовые отношения. Поэтому, в случаях передачи данных третьим лицам письменное согласие работников не требовалось, так как это соответствует подп. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ[9].

Выводы и рекомендации

Указанные выше позиции носят объективный характер и позволяют компаниям оптимизировать процесс обработки персональных данных, избавляя бизнес от необходимости получать многочисленные согласия от субъектов данных. Это существенно облегчает работу с персональными данными, делая процессы более эффективными и соответствующими требованиям закона.

Таким образом, обработка персональных данных на основании согласия важна, но не должна рассматриваться как универсальный механизм. Согласие должно быть использовано при отсутствии иных надлежащих оснований. Современные подходы требуют большей гибкости в выборе правовых оснований, а также обеспечения прозрачности и безопасности обработки данных. Неправильное использование согласий может не только не защитить компанию, но и привести к административным нарушениям.

[1] В соответствии со ст.5.27 ч.ч.1-2, ст.13.11 ч.ч.1-1.1 КоАП РФ, ст.23 ч.3 п.4 152-ФЗ, ст.90, ст.232 ч.1, ст.233 ч.1 ТК РФ; ст.151, 1064, 1068, 1101 ГК РФ; ст. 137, 138 УК РФ.

[2] Вебинар Роскомнадзора 28.01.2022  https://vk.com/rkn?w=wall-76229642_246308  (1:20:20-1:23:45).

[3] Вебинар Роскомнадзора 28.01.2022  https://vk.com/rkn?w=wall-76229642_256653  (1:09:311-1:10:54).

[4] Вебинары Роскомнадзора 28.01.2022  https://vk.com/rkn?w=wall-76229642_246308 (1:34:35- 1:35:43), 29.09.2022 https://vk.com/rkn?w=wall-76229642_256653 (1:09:31-1:10:54).

[5] Вебинар Роскомнадзора 28.01.2022 https://vk.com/rkn?w=wall-76229642_246308 (1:27:17-1:29:07).

[6] Вебинар Роскомнадзора  27.07.2023 https://vk.com/rkn?w=wall-76229642_262607 (2:26:18-2:27:50).

[7] Вебинар Роскомнадзора 28.01.2022 https://vk.com/rkn?w=wall-76229642_246308 (2:58:25-2:58:52), 01.03.2023 https://vk.com/wall-76229642_258897 (3:21:19-3:22:26).

[8]  Информационное агентство ТАСС https://tass.ru/obschestvo/21203689.

[9] Решение Арбитражного суда города Москвы по делу № А40-163911/21-17-1229 https://kad.arbitr.ru/Card/d91ada1f-4138-4793-9a7b-808ac8a65ddd.

Другие статьи по темам
Смотрите также статьи из номера
Почему бизнес выбирает Гонконг

Гонконг — это уникальное место с широкими возможностями для бизнеса. Привлекательная налоговая система, удобное географическое положение, стабильность правовой и монетарной политики делают его центром притяжения капитала. Оцените преимущества ведения бизнеса в этом стратегическом регионе Азии.

16 декабря, 2024

Анализ изменений налогового режима для non-domicile резидентов Великобритании

С 2025 года Великобритания завершает эпоху налоговых льгот для non-domicile резидентов. Какие юрисдикции станут новым выбором для состоятельных лиц и компаний? Разбор ключевых изменений и сравнение налоговых режимов.

27 ноября, 2024

Налогообложение НДС двухэтапной чартерной морской перевозки

Разбор правовых подходов к налогообложению НДС при двухэтапной чартерной морской перевозке. В статье рассматривается, в каких случаях можно применить ставку 0%, а когда требуется начисление 20%, с учетом судебной практики и мнения Минфина России.

06 ноября, 2024

Личные фонды в России и в свободной зоне DIFC (ОАЭ): сравнительный анализ

В статье проводится детальный анализ различий между личными фондами в России и DIFC (ОАЭ). Рассматриваются правовые основы, структура управления, ответственность и условия ликвидации фондов, а также возможности для наследования и передачи активов.

06 ноября, 2024

Раз офшор, два офшор…

В настоящее время понятие "офшорная зона" является неоднозначным, так как с этого года для целей налогообложения применяется два перечня офшорных зон. В статье подробно рассмотрено в каких случаях необходимо применять расширенный перечень, а в каких специальный.

10 октября, 2024

Расчеты криптовалютой в РФ. Возможности развития и последствия принятия закона

В условиях санкционного давления Россия вводит экспериментальный правовой режим для расчетов криптовалютой, который позволит упростить трансграничные платежи. В статье рассматриваются нововведения и их потенциальное влияние на экономику.

10 октября, 2024

Прогрессивная шкала НДФЛ уже реальность! Богатым быть в России становится дороже

С 1 января 2025 года Россия вводит новую прогрессивную шкалу НДФЛ для физических лиц с высокими доходами. Статья раскрывает детали новых налоговых ставок и изменений для контролирующих лиц иностранных компаний (КИК).

08 октября, 2024

УСН – усложненная система налогообложения?

В 2025 году упрощенная система налогообложения (УСН) претерпит значительные изменения. В статье рассмотрены новые лимиты доходов, упразднение повышенных налоговых ставок, введение обязательного НДС для ряда налогоплательщиков и особенности применения пониженных ставок НДС.

08 октября, 2024

Годовой отчет на Британских Виргинских островах: что нового и как подавать

Новые требования к подаче годового финансового отчета для компаний BVI вступили в силу с 1 января 2023 года. Статья раскрывает подробности о формате отчета, сроках подачи, штрафах за несвоевременную сдачу и освобождениях от обязанностей.

26 сентября, 2024