- Анализ изменений налогового режима для non-domicile резидентов Великобритании
- Культ согласий на обработку персональных данных: что нужно знать бизнесу при сборе согласий от субъектов
- Налогообложение НДС двухэтапной чартерной морской перевозки
- Личные фонды в России и в свободной зоне DIFC (ОАЭ): сравнительный анализ
- Раз офшор, два офшор…
- Расчеты криптовалютой в РФ. Возможности развития и последствия принятия закона
- Прогрессивная шкала НДФЛ уже реальность! Богатым быть в России становится дороже
- УСН – усложненная система налогообложения?
- Годовой отчет на Британских Виргинских островах: что нового и как подавать
Культ согласий на обработку персональных данных: что нужно знать бизнесу при сборе согласий от субъектов
Правовое основание обработки персональных данных
В соответствии с Федеральным законом № 152-ФЗ «О персональных данных» (далее – ФЗ -152) обработка любых персональных данных субъекта должна осуществляться при наличии надлежащего основания. При выборе ненадлежащего правового основания или отсутствия возможности его предоставления предусмотрена административная и даже уголовная ответственность[1].
Согласие на обработку персональных данных является одним из ключевых правовых оснований, предусмотренных ст. 6 ФЗ-152, и может быть получено в двух формах: устной и письменной.
Проблемы с получением согласий в бизнес-процессах
Согласие субъекта является важным основанием для обработки данных, но наличие согласий на каждый бизнес-процесс не гарантирует правомерность обработки оператором данных субъектов. Кроме того, если согласие получено неправомерно, либо в нем не указаны конкретные цели обработки, оператор может быть привлечен к административной ответственности. Например, за нарушение требований к составу сведений для письменной формы согласий предусмотрена административная ответственность в соответствии со статьей 13.11 ч.ч.2 – 2.1 КоАП РФ и влечет наложение административного штрафа на юридических лиц до 700 000 рублей, а при повторном нарушении до 1 500 000 рублей.
На практике операторы часто затрудняются при выборе надлежащего правового основания для обработки персональных данных, в результате чего массово собираются согласия от субъектов без должной необходимости. В компаниях нередко подписывается около 15 согласий с каждым сотрудником, а если в организации работают тысячи человек, то процесс сбора такого количества согласий становится крайне трудоемким и времязатратным.
Важно отметить, что согласия на обработку данных необходимо не только надлежащим образом получить, но и правильно хранить. Частым нарушением законодательства о персональных данных является также необоснованное или избыточное хранение согласий. В соответствии со ст. 5 ФЗ-152 хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, и подлежат уничтожению либо обезличиванию по достижении целей обработки.
Например, в соответствие с позицией Роскомнадзора
- срок действия согласия, которое было предоставлено в рамках договорных отношений, не может превышать срока действия таких отношений;[2]
- согласие работников на те виды обработки, которые не предусмотрены ТК РФ (передача персональных данных третьим лицам в рамках ДМС или для изготовления визиток), должны действовать до момента прекращения трудового договора.[3]
Очевиден факт, что чем больше оператор собирает согласий на обработку персональных данных субъектов, тем выше вероятность, что надзорный орган обнаружит нарушения законодательства о персональных данных.
Альтернативные правовые основания
Во многих случаях согласие оказывается неподходящим или нецелесообразным основанием для обработки персональных данных, так как оно не отражает сущность правоотношений между субъектом данных и оператором либо не соответствует характеру организуемого бизнес-процесса.
Одной из распространённых ситуаций на практике является чрезмерное использование согласий в тех случаях, когда для обработки персональных данных существуют другие законные основания, такие как заключение и исполнение договора или осуществление и выполнение возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
Например, в контексте трудовых отношений обработка данных может осуществляться на основании трудового договора и трудового законодательства, что делает получение согласия излишним. Согласно позиции Роскомнадзора согласие, например, не требуется:
- в отношении работников на те виды обработки, которые предусмотрены Трудовым кодексом Российской Федерации[4];
- в адрес образовательной организации при направлении работника на обязательное повышение квалификации[5];
- дополнительное согласие на обработку предоставляемой при трудоустройстве фотографии[6];
- согласия близких родственников кандидата или работника, если объем собираемых данных не превышает установленный карточкой Т-2 или типовой анкетой при поступлении на госслужбу [7].
Проблему «культа» согласий на обработку персональных данных затрагивал Замглава Роскомнадзора Милоша Вагнера на сессии «Персональные данные — зона особого внимания» в рамках Петербургского международного юридического форума (ПМЮФ). В частности, он отметил, что согласие субъекта не должно быть единственным основанием для обработки персональных данных. Вагнер подчеркнул, что во многих случаях существуют иные, более релевантные правовые основания, и чрезмерное использование согласий может создавать дополнительные риски как для операторов, так и для самих субъектов данных.[8]
Судебная практика
В контексте данного вопроса также представляет интерес позиция судов. Например, Пресненского районного суда города Москвы по гражданскому делу № 2-907/2024 от 6 февраля 2024 года о защите персональных данных и взыскании компенсации морального вреда. Работник оспаривал действие оператора, заявляя о неправомерной передаче его персональных данных без его согласия аутсорсинговому агентству, которое выполняет функцию оператора по кадровому администрированию и расчету заработной платы для сотрудников. Суд отказал в удовлетворении иска о защите персональных данных, указав, что согласие истца не требовалось для обработки персональных данных. По мнению суда, обработка персональных данных в данном случае осуществлялась в рамках исполнения трудового договора, закона и не могла ставиться под условие получения согласия на обработку персональных данных, иное приводило бы к невозможности заключения и исполнения договора, соблюдения требований закона. Передача данных третьим лицам без согласия допустима, если не нарушаются права работников и обеспечивается защита данных от неправомерных действий.
А в деле между ПАО «АЭРОФЛОТ-РОССИЙСКИЕ АВИАЛИНИИ» и Роскомнадзором Арбитражный суд города Москвы указал, что передача персональных данных работников ПАО «Аэрофлот» связана с исполнением обязанностей работодателя по коллективному договору (ДМС, санаторное лечение, размещение). Согласно ТК РФ, коллективный договор обязателен для работодателя и регулирует социально-трудовые отношения. Поэтому, в случаях передачи данных третьим лицам письменное согласие работников не требовалось, так как это соответствует подп. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ[9].
Выводы и рекомендации
Указанные выше позиции носят объективный характер и позволяют компаниям оптимизировать процесс обработки персональных данных, избавляя бизнес от необходимости получать многочисленные согласия от субъектов данных. Это существенно облегчает работу с персональными данными, делая процессы более эффективными и соответствующими требованиям закона.
Таким образом, обработка персональных данных на основании согласия важна, но не должна рассматриваться как универсальный механизм. Согласие должно быть использовано при отсутствии иных надлежащих оснований. Современные подходы требуют большей гибкости в выборе правовых оснований, а также обеспечения прозрачности и безопасности обработки данных. Неправильное использование согласий может не только не защитить компанию, но и привести к административным нарушениям.
[1] В соответствии со ст.5.27 ч.ч.1-2, ст.13.11 ч.ч.1-1.1 КоАП РФ, ст.23 ч.3 п.4 152-ФЗ, ст.90, ст.232 ч.1, ст.233 ч.1 ТК РФ; ст.151, 1064, 1068, 1101 ГК РФ; ст. 137, 138 УК РФ.
[2] Вебинар Роскомнадзора 28.01.2022 https://vk.com/rkn?w=wall-76229642_246308 (1:20:20-1:23:45).
[3] Вебинар Роскомнадзора 28.01.2022 https://vk.com/rkn?w=wall-76229642_256653 (1:09:311-1:10:54).
[4] Вебинары Роскомнадзора 28.01.2022 https://vk.com/rkn?w=wall-76229642_246308 (1:34:35- 1:35:43), 29.09.2022 https://vk.com/rkn?w=wall-76229642_256653 (1:09:31-1:10:54).
[5] Вебинар Роскомнадзора 28.01.2022 https://vk.com/rkn?w=wall-76229642_246308 (1:27:17-1:29:07).
[6] Вебинар Роскомнадзора 27.07.2023 https://vk.com/rkn?w=wall-76229642_262607 (2:26:18-2:27:50).
[7] Вебинар Роскомнадзора 28.01.2022 https://vk.com/rkn?w=wall-76229642_246308 (2:58:25-2:58:52), 01.03.2023 https://vk.com/wall-76229642_258897 (3:21:19-3:22:26).
[8] Информационное агентство ТАСС https://tass.ru/obschestvo/21203689.
[9] Решение Арбитражного суда города Москвы по делу № А40-163911/21-17-1229 https://kad.arbitr.ru/Card/d91ada1f-4138-4793-9a7b-808ac8a65ddd.