Обработка ПДн без согласия: когда это допустимо

Согласие на обработку персональных данных – эта фраза стала неотъемлемой частью нашей цифровой жизни. Мы ставим галочки в чекбоксах, подписываем формы, но не всегда задумываемся о механизме, который работает по ту сторону экрана. Но что если мы скажем вам, что в ряде случаев ваша компания может работать с персональными данными абсолютно легально, не собирая ни единого согласия?

В этом материале мы на простых примерах объясним, когда можно и нужно обрабатывать персональные данные без согласия, чтобы не парализовать работу компании и при этом оставаться в правовом поле.

Статьей 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – 152-ФЗ) установлен исчерпывающий (т.е. закрытый) перечень условий, при которых допускается обработка персональных данных.

Согласие на обработку персональных данных (п. 1 ч. 1 ст. 6 ФЗ-152)

Согласие субъекта персональных данных является одним из наиболее популярных оснований для подтверждения законности процессов обработки персональных данных, однако при этом и одним из наиболее хрупких, как с точки зрения предъявляемых к нему требований, так и с точки зрения возможности его отзыва субъектом персональных данных.

Исполнение требований законодательства или международного договора (п. 2 ч. 1 ст. 6 ФЗ-152)

Как видно из названия, данное правовое основание фактически охватывает два условия обработки персональных данных:

1) когда это необходимо для целей, предусмотренных международным договором,

2) когда это необходимо для целей, предусмотренных законодательством РФ, в том числе для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Обработка персональных данных может осуществляться и в случае, когда на то есть прямое указание в законодательстве РФ. При этом данная норма оперирует термином «законодательство Российской Федерации», тем самым допуская наличие соответствующих положений не только в федеральных законах, но и в постановлениях Правительства РФ, актах органов государственной власти РФ, органов государственной власти субъектов РФ, а также органов местного самоуправления.

Необходимо отметить, что при обосновании правомерности обработки персональных данных по данному основанию необходимо ссылаться на конкретный нормативно-правовой акт (а лучше на конкретную правовую норму).

Пример. При трудоустройстве работник предоставляет документы, содержащие его персональные данные, работодателю на основании ст. 65 Трудового кодекса РФ. В дальнейшем работодатель продолжает обрабатывать его данные в силу трудового, архивного, налогового законодательства и законодательства о бухгалтерском учете.

Исполнение договора, стороной которого либо выгодоприобретателем, либо поручителем является субъект персональных данных, а также инициатива такого лица по заключению договора (п. 5 ч. 1 ст. 6 ФЗ-152)

В контексте коммерческой деятельности данное правовое основание является одним из наиболее значимых и часто применимых. Речь идет о возможности обработки персональных данных физического лица, если это необходимо для заключения и (или) исполнения договора, стороной (например, покупатель или заказчик), выгодоприобретателем (лицо, в чью пользу исполняется обязательство) или поручителем, по которому он является.

Таким образом, данное правовое основание не носит универсальный характер и действует лишь в ситуации, когда субъект персональных данных вовлечен в договор в одной из указанных законом ролей, а объем обрабатываемых сведений ограничен целями конкретной сделки. Также в таком договоре должен быть предусмотрен раздел, регулирующий порядок обработки персональных данных в рамках исполнения этого договора.

О каких видах договоров идет речь в настоящем правовом основании? Сама правовая норма этого не конкретизирует, но в практике Роскомнадзора оно применяется именно в отношении гражданско-правовых договоров, поскольку основания для обработки персональных данных в рамках трудовых отношений рассматриваются им в рамках требований гл. 14 Трудового кодекса РФ.

Пример. Работодатель по собственной инициативе направляет работника на курсы повышения квалификации, для чего заключает с образовательной организацией договор оказания возмездных образовательных услуг. Платит по договору работодатель, а работник указан в качестве лица, в чью пользу будут оказаны услуги.

Осуществление прав и законных интересов оператора или третьих лиц (п. 7 ч. 1 ст. 6 ФЗ-152)

Обработка персональных данных возможна на основании законного интереса оператора, который применяется для защиты его прав, интересов третьих лиц или достижения общественно значимых целей. Данное основание предоставляет оператору некую гибкость, однако сопряжено с определенными рисками.

Оператор обязан соблюсти баланс интересов и при необходимости продемонстрировать, что его законный интерес является обоснованным и перевешивает потенциальное воздействие на приватность субъекта. Бремя доказывания наличия такого законного интереса (например, проявления должной осмотрительности при заключении сделок, предотвращения мошенничества или обеспечения информационной безопасности) лежит на операторе. Злоупотребление данным основанием может привести к оспариванию со стороны субъекта персональных данных или уполномоченного органа.

Пример. Установление пропускного режима на территории оператора в целях обеспечения безопасности работников оператора и посетителей.

Выше были подробно разобраны ключевые и наиболее применимые в повседневной деятельности компании основания для обработки персональных данных. Помимо них, существует ряд иных условий, разрешающих такую обработку, установленных 152-ФЗ. О них пойдет речь ниже.

Участие лица в судопроизводстве (п. 3 ч. 1 ст. 6 ФЗ-152)

В соответствии с настоящим пунктом обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, а также в судопроизводстве в арбитражных судах. Таким образом, предоставление в суд документов, содержащих персональные данные граждан, в качестве доказательств возможно без получения на то их согласия.

Пример. Передача сведений об ответчике (фамилии, имени, отчества и месте его регистрации) представителю юридического лица для подготовки искового заявления в суд о взыскании с ответчика задолженности.

При этом немаловажным является факт того, что данное правовое основание не освобождает оператора от обязанности соблюдать процессуальное законодательство.

Доказательства, полученные с нарушениями требований закона, являются недопустимыми. Примером таких доказательств могут быть документы и информация, содержащая персональные данные, полученные путем “пробива”, т.е. незаконного получения сведений из баз данных государственных органов или организаций.

Исполнение судебного акта (п. 3.1 ч. 1 ст. 6 ФЗ-152)

Правовым основанием в данном случае является необходимость исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

Данное основание применимо для обработки персональных данных не только непосредственно самими судебными приставами, но и иными органами и лицами, которые вовлечены в процесс исполнительного производства, в частности работодателями должника, кредитными организациями и другими лицами, которые обязаны исполнять законные постановления судебных приставов.

Пример. Запрос приставами у банков данных о наличии банковских счетов у должника и дальнейшее предоставление банками такой информации.

Исполнение полномочий государственных органов, органов субъектов и местного самоуправления при предоставлении государственных и муниципальных услуг (п. 4 ч. 1 ст. 6 ФЗ-152)

Обработка персональных данных без согласия субъекта может осуществляться для целей осуществления полномочий государственных и муниципальных органов, в том числе для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 г. N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг.

Пример. Предоставление гражданином своих персональных данных сотрудникам МФЦ при получении какой-либо государственной услуги.

Защита жизни, здоровья и иных жизненно важных интересов субъекта персональных данных (п. 6 ч. 1 ст. 6 ФЗ-152)

Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

Невозможность получения волеизъявления субъекта должна быть обусловлена конкретными обстоятельствами, такими как бессознательное состояние, безвестное отсутствие или признание его недееспособным.

В таких условиях оператор вынужден самостоятельно оценивать наличие оснований для обработки, исходя из приоритета защиты ключевых прав личности (жизни и здоровья) над правом на конфиденциальность персональных данных. Однако это право оператора на вмешательство возникает лишь тогда, когда субъект лишен возможности выразить свою волю и защитить свои интересы самостоятельно.

Пример. Распространение в информационном пространстве и социальных сетях сведений о пропавших без вести людях, включая их фотографии, имена и отличительные черты, в целях оперативного установления их местонахождения и спасения жизней.

Осуществление профессиональной деятельности журналиста (п. 8 ч. 1 ст. 6 ФЗ-152)

Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

Правом на обработку персональных данных без согласия субъекта в рамках профессиональной журналистской деятельности наделены исключительно профессиональные журналисты: лица, связанные с редакцией зарегистрированного СМИ трудовыми или гражданско-правовыми отношениями и действующие в соответствии с нормами Закона «О средствах массовой информации».

Ключевым условием является статус издания: интернет-сайт, не имеющий добровольной регистрации в качестве сетевого СМИ, по общему правилу не может ссылаться на данное правовое основание. Кроме того, правомерность обработки связана с целью достижения именно общественно значимых интересов, которые не сводятся к простому любопытству аудитории, а включают, например, раскрытие угроз общественной безопасности, демократии или окружающей среды.

Пример. Публикация материала о системных нарушениях в работе медицинского учреждения, приведших к гибели пациентов, с указанием ответственных лиц в целях защиты жизни и здоровья граждан.

Статистика или иные исследовательские цели при условии обезличивания данных (п. 9 ч. 1 ст. 6 ФЗ-152)

Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 ФЗ-152 (продвижение товаров, работ, услуг на рынке, а также политической агитации), при условии обязательного обезличивания персональных данных.

Данное положение может быть использовано для разного рода действий с «большими данными», включающими в себя персональные данные, но только в случае, если результат обработки этих данных не будет направлен на маркетинговые цели или политическую агитацию.

Пример. Обработка обезличенных персональных данных клиентов для целей формирования и реализации внутренней управленческой политики, включая разработку стратегии развития, оптимизацию бизнес-процессов и модификацию бизнес-модели организации.

Обработка обезличенных персональных данных в целях повышения эффективности государственного или муниципального управления, в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ и Федеральным законом от 31 июля 2020 года N 258-ФЗ (п. 9.1 ч. 1 ст. 6 ФЗ-152)

Сфера применения данного правового основания крайне широка благодаря общим формулировкам целей эксперимента по ИИ, которые включают повышение качества жизни, эффективности бизнеса и формирование новой системы регулирования. Это создает значительное пространство для толкования.

Формально использование основания ограничено лишь двумя условиями: оператор должен иметь официальный статус участника эксперимента, а обработка данных должна осуществляться на территории Москвы.

Обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом (п. 11 ч. 1 ст. 6 ФЗ-152)

Пример. Обязанность медицинских организаций размещать в сети Интернет сведения о медицинских работниках медицинских организаций, об уровне их образования и об их квалификации (п. 7 ч. 1 ст. 79 Закона об охране здоровья)

Необходимо отметить, что все приведенные выше правовые основания не распространяются на обработку специальных категорий персональных данных и биометрических данных, случаи обработки которых содержатся в ст. 10 и 11 ФЗ-152 соответственно.

Таким образом, ключевой задачей для любой компании является корректное определение применимого основания в той или иной ситуации и соблюдение принципов обработки персональных данных. Грамотное применение статьи 6 ФЗ-152 позволяет выстроить более эффективные бизнес-процессы.

Проверка основания за 60 секунд

• Какая цель операции (одна, не “улучшение сервиса”)?

• Какой пункт ст. 6 применим и почему без него нельзя исполнить цель?

• Какие данные минимально необходимы?

• Кто получатели (внутри/подрядчики/самостоятельные операторы)?

• Сроки хранения и правила удаления/обезличивания?

• Чем докажем при проверке: регламент/матрица оснований/договор/поручение/логика баланса интересов?

Источники:

• Публичный семинар Роскомнадзора для операторов 28 января 2021 г..

• Апелляционное определение Московского городского суда от 18 июня 2015 г. по делу N 33-20949/2015

• Определение Третьего кассационного суда общей юрисдикции от 3 февраля 2020 г. N 88-1304/2020

• Постановление Пленума Верховного Суда РФ от 15 июня 2010 г. N 16 «О практике применения судами Закона Российской Федерации «О средствах массовой информации»