Действующий федеральный закон признаёт персональными данными любую информацию, относящуюся к прямо или косвенно определённому или определяемому гражданину. По общему правилу любое использование таких сведений возможно только с его согласия.
Большинство работающих с потребителями компаний пытаются получить согласие на обработку их персональных данных. Но на практике такая политика только увеличивает риски привлечения к ответственности.
Потребитель всегда прав
Однако попытки получить такие разрешения могут обернуться для компании (оператора персональных данных) большими проблемами. В первую очередь многие клиенты не хотят раскрывать информацию о себе и тем более разрешать её использование. Особенно когда компания требует согласие на распространение и иное раскрытие паспортных реквизитов, сведений об адресе проживания и др. В итоге готовые заказать услугу или товар потребители просто откажутся и будут искать более лояльного исполнителя или продавца.
Разрешение на обработку персональных данных должно быть добровольным. "Отсутствие у потребителя права выбора возможности отказаться от предоставления согласия ущемляет его права, а соответствующие условия договора в этой части являются недействительными", — констатирует партнёр юридической группы "Парадигма" Марат Хасанов. Его выводы подтверждаются судебной практикой. Так, ООО "Единый медицинский центр" незаконно требовало от желающих сделать флюорографию согласие в том числе на распространение в любых целях всех собранных о них персональных данных, включая сведения о семейном и имущественном положении, образовании, доходах, а также "другую информацию". "Бланк согласия содержит неконкретные, избыточные сведения, в отношении которых физическому лицу предложено дать согласие на их обработку… ООО “Единый медицинский центр” не обосновало невозможность исполнения договора в объёмах, требуемых потребителем, в отсутствие персональных данных", — заключил арбитражный суд.
Кроме того, закон гарантирует гражданам право в любой момент отозвать оформленное согласие на обработку. В этом случае оператор обязан прекратить использование и даже хранение персональных данных, которые обрабатывались на основании отозванного разрешения, но не вправе отказать в продолжении обслуживания или исполнении иного договора с потребителем.
Всё на благо человека
В то же время законодательство разрешает получать, хранить, использовать, а порой даже и распространять персональные данные без согласия соответствующего лица. В частности, это можно делать ради исполнения заключённого с таким гражданином договора.
В большинстве случаев этого основания достаточно. Например, интернет–магазину не требуется разрешение заказчика на обработку таких сведений, как его фамилия, имя и отчество, адрес для доставки, e–mail и номер телефона для уведомления. Эти же данные отправитель товара обязан передать почтовой службе, а в ряде случаев ещё и таможне. Равно как и в течение не менее 4 лет хранить содержащие такую информацию первичные бухгалтерские документы.
Перечень сведений, предоставляемых постояльцем для проживания в отеле, определён правилами предоставления гостиничных услуг. Также закон предписывает отелю в течение суток передать в миграционное подразделение полиции информацию о новом госте для его регистрации по месту пребывания. Банки в рамках так называемого "антиотмывочного" законодательства обязаны проводить идентификацию всех клиентов и в ряде случаев раскрывать эти сведения надзорным ведомствам, отчитываться о полученном вкладчиками доходе перед налоговыми инспекциями и иными органами. В аналогичном порядке без согласия гражданина могут обрабатываться персональные данные практически всеми участниками рынка.
Честным быть выгодно
В свою очередь, любое использование полученных от потребителя сведений вне целей договора или иных установленных законом условий без его разрешения не допускается. Так, по словам руководителя практики адвокатского бюро "Егоров, Пугинский, Афанасьев и партнёры" Елены Агаевой, согласие клиента необходимо, например, на передачу персональных данных третьим лицам, в том числе предоставляющим услуги по хранению информации, ведению бухгалтерского учёта и др. "Многие компании практически всегда требуют от потребителя предоставить письменное согласие на обработку персональных данных, — констатирует юрист корпоративной практики компании “Дювернуа Лигал” Регина Дугаева. — Чаще всего это связано с намерениями использовать их в не связанных с исполнением договора целях, например при проведении маркетинговых кампаний, в том числе рассылки рекламных сообщений и телефонных звонков".
По мнению Екатерины Ловкис из юридической фирмы Legis Universum, отзыв клиентом согласия на обработку его персональных данных не лишает компанию права продолжить использовать такие сведения в целях исполнения заключённого договора, однако нельзя будет передавать их третьим лицам.
Административная практика Роскомнадзора свидетельствует, что отсутствие согласия или иных правовых оснований — далеко не самое распространённое нарушение, за которое на операторов налагают порой многотысячные штрафы.
Так, в минувшем году чаще всего наказывали компании, которые не зарегистрировались в реестре операторов — не представили в надзорное ведомство специальное уведомление либо указали в нём неполные или недостоверные сведения.
Трудовая коллективизация
Право требовать порой исчерпывающую информацию и документы от сотрудников прямо закреплено в Трудовом кодексе РФ. Так, в форму Т–2 ("Личную карточку") необходимо вносить сведения об образовании, воинской повинности, близких родственниках и другие персональные данные. Вот только передавать их компания может лишь в строго установленных законодательством случаях (в налоговую инспекцию, ПФР, ФСС, банк для выплаты заработной платы, военкомат и иные уполномоченные органы). В частности, нарушением признали оформление полисов ДМС без отдельного согласия сотрудников на передачу страховой компании их персональных данных.
Более того, регулятор — Роскомнадзор — не видит нарушений в использовании систем видеонаблюдения в офисах, в иных помещениях и на территориях. По мнению ведомства, фотографии и видеозаписи сами по себе не содержат биометрических персональных данных — они образуются только при их обработке оператором (владельцем видеокамеры или организовавшим её эксплуатацию) для идентификации личности изображённого.