Мы являемся образовательной организацией. Собираем согласия на обработку персональных данных для внесения в систему "Школьный портал" Московской - вопрос №2223737

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных Комментарий к статье 9 1. Статья 9 комментируемого Закона содержит комплексную норму о волеизъявлении субъекта персональных данных по вопросу о его согласии на обработку персональных данных. Норма изложена в четырех логических компонентах и восьми частях:1) первый — о праве субъекта дать и отозвать согласие на обработку персональных данных — соответствует ч. ч. 1 и 2 комментируемой статьи;2) второй — об условиях и порядке дачи такого согласия в специальных случаях обработки персональных данных — соответствует ч. ч. 4 и 5 комментируемой статьи;3) третий — о возможных заменах волеизъявления субъекта персональных данных уполномоченными лицами — соответствует ч. ч. 6 и 7 комментируемой статьи;4) четвертый — об обязанностях оператора персональных данных — соответствует ч. ч. 3 и 8 комментируемой статьи соответственно.В целом вопрос о волеизъявлении лица определенным образом соотносится с вопросом о правоспособности и дееспособности лица. Это соотношение определяется наличием автономии воли и возможностью ее реализации. Если лицо самостоятельно в принятии решения, способно к волеизъявлению, не имеет ограничений в принятии решения и закон признает это волеизъявление, то волеизъявление по общему правилу рассматривается как автономное. Наиболее полно вопросы о правоспособности и дееспособности разработаны в рамках гражданского законодательства для применения в хозяйственных, экономических отношениях. В иных сферах основные положения о правоспособности и дееспособности лиц применяются по подобию. Комментируемая статья представляет одно из первых решений вопроса правоспособности и дееспособности лиц в информационной сфере в рамках информационного законодательства. Существенное влияние на российское законодательство оказывает европейское законодательство о персональных данных и сложившаяся практика (например, обмен сведениями в процессе обращения в уполномоченные визовые центры за получением визы.)2. Часть 1 комментируемой статьи содержит общую норму о согласии на обработку персональных данных. Согласие субъекта является комплексной категорией, при оценке которой необходимо учитывать: наличие свободы принятия субъектом решения; наличие собственной воли субъекта, т.е. отсутствие какого-либо давления на него со стороны; наличие интереса субъекта в связи передачей для возможной обработки собственных персональных данных. Комментируя данную норму, российские авторы, как правило, акцентируют внимание на гражданско-правовом принципе автономии воли. Последний подразумевает свободное и самостоятельное принятие решения, основанного исключительно на внутреннем убеждении субъекта, определяющего характер и содержание собственных действий. Одним из основных международных документов в данной области, который позволяет сравнить подходы при определении наличия/отсутствия согласия, является Директива 95/46/EC Европейского парламента и Совета ЕС от 24.10.1995 о защите физических лиц в отношении обработки персональных данных и свободного обращения таких данных. Анализ положений, закрепленных в Директиве 95/46/EC, позволяет выявить несколько критериев для оценки свободы принятия решения субъектом. В соответствии со ст. 2 Директивы 95/46/EC «согласие субъекта данных означает любое свободно данное конкретное и сознательное указание на его желания, которым субъект данных выражает свое согласие на обработку относящихся к нему персональных данных». В соответствии со ст. 7 Директивы 95/46/EC согласие квалифицируется как однозначно данное согласие. В соответствии со ст. 8 Директивы 95/46/EC имеет место определение согласия как явно выраженное согласие на обработку. В соответствии со ст. 26 Директивы 95/46/EC передача персональных данных в третью страну может совершаться при условии, что субъект данных однозначно дал свое согласие на предполагаемую передачу данных.Современные представления о защите персональных данных в Европе необходимо соотносить с последними из принятых документов. Одним из таких является Резолюция Европейского парламента от 06.07.2011 о комплексном подходе к защите персональных данных в Европейском союзе (2011/2025 (INI)). В ней отражаются основные тенденции, которые могут повлиять на отношения по поводу персональных данных в России. Документом провозглашается преемственность основных принципов Директивы 95/46/EC. Наличие разных подходов в государствах — членах ЕС не снимает обязанности ЕС обеспечить неприкосновенность частной жизни в отношении любой обработки персональных данных физических лиц в пределах и за пределами ЕС при любых обстоятельствах в современных условиях, вызванных глобализацией, в целях решения многочисленных задач. Особенно подчеркивается необходимость защиты данных в связи с расширением деятельности в Интернете.В документе подчеркнуто, что право на свободу выражения мнения и информации и принцип прозрачности должны быть полностью учтены при обеспечении фундаментального права на защиту персональных данных. Далее отмечается необходимость комплексного подхода по защите персональных данных во всех областях, в которых обрабатываются персональные данные, в том числе в области полицейского и судебного сотрудничества по уголовным делам, области общей внешней политики и политики безопасности без ущерба для конкретных правил. Европейский парламент призывает Европейскую комиссию убедиться в том, что текущий пересмотр законодательства ЕС о защите данных будет предусматривать: полное согласование на самом высоком уровне предоставления правовой определенности и единого высокого стандарта уровня защиты людей в любых обстоятельствах; оценку воздействия и тщательный учет затрат; укрепление существующих принципов и элементов, таких как прозрачность данных, минимизация и цели ограничения, наличие предварительного и явного согласия, данные о нарушениях прав и уведомление субъектов, особенно в отношении глобальной онлайновой среды; подчеркивается, что согласие должно считаться действительным только тогда, когда имеется однозначное сообщение, свободное, конкретное и четкое; когда имеется адекватный реализованный механизм для фиксации согласия или отзыва согласия пользователя <22>.--------------------------------<22> См.: Personal data protection in the European Union. European Parliament resolution of 6 July 2011 on a comprehensive approach on personal data protection in the European Union (2011/2025 (INI)) // Official Journal C 033 E, 05.02.2013. P. 0101 — 0110. В условиях глобализации оператор обязан учитывать существующие мировые и европейские тенденции, при этом получение согласия не должно становиться тормозом на пути развития отношений. В существующей реальности представляется обоснованным рекомендовать придерживаться изложенной российской правовой трехкомпонентной концепции согласия субъекта, не ограничиваясь гражданско-правовым толкованием. Соответственно, оператор должен учесть наличие свободы принятия субъектом решения; наличие собственной воли субъекта, т.е. отсутствие какого-либо давления на него со стороны; наличие интереса субъекта в связи передачей для возможной обработки его собственных персональных данных. Представляется, что на современном этапе развития информационных отношений этого будет достаточно для соблюдения требований комментируемого Закона.3. Часть 2 комментируемой статьи предусматривает возможность отзыва согласия на обработку персональных данных. Поскольку согласие может быть дано лично и через представителя, возможно предположить, что отзыв может быть представлен в аналогичном формате. Одновременно возникает вопрос о том, может ли быть отзыв представлен через представителя, если согласие было представлено лично, и наоборот. Оператору персональных данных предстоит решать (устанавливать в локальных нормативных актах), каков должен быть порядок дачи согласия и отзыва согласия на обработку персональных данных субъектом.В соответствии с ч. ч. 2 и 8 комментируемой статьи обработка персональных данных может осуществляться без согласия субъекта персональных данных:— в связи с реализацией международных договоров Российской Федерации о реадмиссии;— в связи с осуществлением правосудия и исполнением судебных актов;— в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию;— в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, для предоставления государственной или муниципальной услуги, для регистрации субъекта персональных данных на Едином портале государственных и муниципальных услуг;— в связи реализацией обязательств по обязательным видам страхования;— в соответствии со страховым законодательством при обработке данных детей, оставшихся без попечения родителей;— если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, а получение согласия субъекта персональных данных невозможно;— при обработке персональных данных в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;— при обработке персональных данных в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;— если обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;— если обрабатываются персональные данные, доступ к которым предоставлен субъектом персональных данных для неограниченного круга лиц;— если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;— если обработка персональных данных необходима для заключения (исполнения) договора, участником которого является субъект персональных данных;— если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;— если обработка персональных данных необходима для осуществления профессиональной деятельности журналиста (средства массовой информации) либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;— если обработка персональных данных осуществляется в соответствии с Федеральным законом от 25.01.2002 N 8-ФЗ;— если это персональные данные участников общественного объединения и обработка данных осуществляется в соответствии с учредительными документами в пределах организации.4. Часть 4 комментируемой статьи содержит требование об обработке персональных данных исключительно с письменного согласия самого субъекта. К названным случаям относятся все виды обработки персональных данных за исключением случаев, описанных в п. 3 комментария к настоящей статье (см. выше). В ч. 4 комментируемой статьи предусмотрен формат письменного согласия с указанием всех необходимых условий и сопутствующих обстоятельств. Частью 5 комментируемой статьи предусмотрен вариант предоставления согласия субъектом персональных данных на обработку его персональных в форме электронного документа. Данная ситуация предусмотрена Федеральным законом от 27.07.2010 N 210-ФЗ. В соответствии со ст. 21.2 Федерального закона от 27.07.2010 N 210-ФЗ Правительство Российской Федерации утверждает Правила использования простых электронных подписей при оказании государственных и муниципальных услуг. В соответствии с Постановлением Правительства РФ от 25.01.2013 N 33 «Об использовании простой электронной подписи при оказании государственных и муниципальных услуг» субъект персональных данных (именуемый в тексте Постановлением «заявитель») должен указать фамилию, имя и отчество (если имеется), страховой номер индивидуального лицевого счета, а также дать согласие заявителя на обработку его персональных данных. Оператор, выдавая ключ, обязан установить личность заявителя. Таким образом, согласие в форме электронного документа предусматривает наличие простой электронной подписи и минимального количества персональных данных, необходимых для идентификации субъекта.5. Часть 6 комментируемой статьи содержит норму о представителе субъекта персональных данных.Представительство по вопросу оборота персональных данных несовершеннолетнего лица будут осуществлять его (субъекта) родители или лица их замещающие. Для лиц, ограничено дееспособных по медицинским показаниям, представителями могут выступать также должностные лица медицинского учреждения. В иных случаях представитель субъекта персональных данных будет осуществлять свою деятельность по доверенности.Требования к форме и содержанию доверенности наиболее полно разработаны в сфере гражданских правоотношений. Тем не менее начинают появляться отдельные рекомендации и комментарии на сайте Роскомнадзора как уполномоченного субъекта по контролю за оборотом в сфере персональных данных. Доверенность, выданная представителю, должна содержать:— конкретное указание о том, кому она предоставлена в каких целях и на какой срок;— указание оператора, для каких целей дается согласие на обработку персональных данных;— указание на то, что данное действие не противоречит интересам субъекта персональных данных;— указание на то, что согласие на обработку персональных данных дается по воле субъекта персональных данных;— а также, что представляется важным, причину, по которой выдана доверенность, т.е. почему субъект персональных данных дает согласие на обработку персональных данных через представителя, а не лично.Вопрос о том, каким образом оператором проверяются полномочия представителя субъекта персональных данных, решаются оператором в каждом конкретном случае самостоятельно. Оператор для данного случая должен иметь соответствующие положения, закрепленные в документе, который входит в систему документов, именуемую в целом «политика обработки персональных данных». Вероятно, что для данного случая оператором будет разработана специальная инструкция либо специальный раздел в инструкции, регулирующий отношения в сфере оборота персональных данных. Оператор, как правило, являются юридическим лицом, что предполагает наличие физического лица, действующего от имени оператора. По сути, в данной ситуации мы наблюдаем ситуацию взаимодействия представителей: представителя субъекта персональных данных, с одной стороны, и оператора — с другой. Во всех случаях оператор либо его представитель обязаны проверить два момента: факт передачи права на обработку персональных данных субъектом персональных данных и наличие (соблюдение) формы доверенности о передаче субъектом персональных данных права на обработку персональных данных.6. В ч. 7 комментируемой статьи содержится норма, устанавливающая порядок получения согласия на обработку персональных данных в случае смерти субъекта персональных данных. Действующим законодательством отношения по поводу вступления в наследство и исполнения последней воли субъекта регулируются в рамках ГК РФ. Субъектом, который будет решать вопрос о даче согласия на оборот персональных данных, вероятно, будет наследник по закону ли наследник по завещанию. В связи с развитием отношений по поводу оборота персональных данных прогнозируется в специальных случаях появление специального душеприказчика по вопросу информационного наследия, в том числе по вопросам оборота персональных данных.7. Часть 8 комментируемой статьи содержит норму, которая связана с ч. 3 комментируемой статьи и содержит требование об обязанности оператора иметь согласие субъекта на обработку его персональных данных. Сама формулировка данной части не должна дезориентировать оператора. Возможность получения оператором персональных данных от лица, не являющегося их субъектом, не означает, что оператор освобождается от доказывания, что персональные данные получены законно. Отдельные исключения, предусмотренные ч. 2 комментируемой статьи и описанные в п. 3 настоящего комментария (см. выше), представляют ограниченное множество случаев. Во всех остальных случаях, которых, представляется, подавляющее большинство, оператор должен иметь согласие субъекта на обработку его персональных данных и при необходимости доказать, что персональные данные получены законным путем.Европейская практика, влияние которой на российские отношения и законодательство по вопросу персональных данных трудно отрицать, свидетельствует о следующих тенденциях. Проект поправок в европейское законодательство о защите персональных данных предусматривает практически полное отделение отношений по поводу персональных данных от смежных гражданских и иных правоотношений. Директива 95/46/EC Европейского парламента и Совета ЕС от 24.10.1995 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных обязывает операторов обеспечить надлежащий уровень защиты персональных данных. Регламент Европейского парламента и Совета ЕС 45/2001 от 18.12.2000 о защите физических лиц при обработке персональных данных, осуществляемой учреждениями и органами Сообщества, и о свободном обращении таких данных — еще один документ, который направлен на обеспечение защиты персональных данных в учреждениях и органах Европейского союза. Документ включает положения о создании независимого надзорного органа для контроля. Исполнение перечисленных документов, а именно сочетание двух перечисленных факторов — независимого контроля и надлежащей защиты — порой приводят к весьма значимым результатам.