Четыре заблуждения о согласиях на обработку персональных данных

Выступление заместителя руководителя Роскомнадзора Милоша Вагнера на ПМЮФ-2024 в очередной раз заставляет поразмышлять на тему согласий на обработку персональных данных. На этот раз Роскомнадзор прямо назвал согласие устаревшим правовым инструментом, а также предложил подумать об отказе от согласий или определить случаи, при наличии которых оператор персональных данных будет такие согласия брать. Предложение на самом деле если не радикальное, то достаточно серьезное. А причиной этому стало применение этого основания обработки персональных данных без разбора и вразрез с принципами, заложенными в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ-152).

Чтобы показать серьезность, с которой нужно относиться к согласиям на обработку персональных данных, рассмотрим ТОП-4 заблуждений операторов персональных данных относительно согласий.

Заблуждение №1: согласие на обработку персональных данных – понятный и простой инструмент, позволяющий успешно проходить проверки надзорных органов.

Как обосновывают заблуждение: в отличие от других, нерегламентированных, оснований обработки персональных данных, требования к согласию предусмотрены статьей 9 ФЗ-152.

Когда обработка персональных данных допускается только с письменного согласия субъекта персональных данных, ФЗ-152 действительно предусматривает конкретный перечень пунктов, подлежащих включению в согласие. К сожалению, наличие в законе конкретной инструкции не мешает привлечению операторов к ответственности за неверно составленные согласия.

В частности, предметом интереса проверяющих часто становится условие об указании в согласии на обработку персональных данных лиц, осуществляющих обработку персональных данных по поручению оператора (п.6 ч.4 ст.9).

В деле «Почта Банк» Девятый арбитражный апелляционный суд поддержал решение Управления Роспотребнадзора по Республике Татарстан, выявив несоответствие согласия потребителя, включенного в договор потребительского кредита, форме, установленной законом, поскольку

«из текста подписанного с потребителем заявления невозможно установить наименование или фамилию, имя, отчество и адрес компаний, осуществляющих обработку персональных данных по поручению оператора, не поименован перечень третьих лиц, кому будут в дальнейшем переданы персональные данные» (постановление Девятого арбитражного апелляционного суда от 28.03.2022 № 09АП-85268/2021 по делу № А40-205463/2021).

В данном случае суд не поставил вопрос о том, что согласие, включенное в договор, является договорным условием, однако, с момента первого решения суда вступила в силу новая редакция статьи 16 Закона Российской Федерации от 07.02.1992 № 2300-1 «О защите прав потребителей» (далее – ЗОЗПП), которая подобные сценарии переводит в плоскость потребительских споров, но в той же логике по отношению к третьим лицам.

В деле «Суп Медиа» суды трех судебных инстанций согласились с выводами Управления Роскомнадзора по ЦФО о несоответствии письменных согласий работников требованиям ФЗ-152 при передаче персональных данных работников третьим лицам.

В согласии не были указаны все лица, осуществляющие обработку персональных данных по поручению оператора, что, по мнению суда кассационной инстанции, не соответствует законодательному подходу в организации передачи персональных данных работников, направленному на

«конкретизирование обстоятельств передачи, информированность и осознанность субъекта персональных данных, который должен понимать, кому он дает свое согласие, на что конкретно, и какие последствия могут вытекать вследствие действий, на которые он дает свое согласие» (постановление Арбитражного суда Московского округа от 15.01.2018 № Ф05-18981/2017 по делу № А40-81171/17-149-793).

Для профилактики подобных ошибок в согласиях и договорах требуется анализ цепочек лиц, осуществляющих обработку персональных данных по поручению оператора персональных данных (далее – обработчиков).

Если мы «предъявляем миру» всех обработчиков, то необходимо удостовериться, что в каждом договоре с обработчиками учтены требования, предъявляемые к передаче персональных данных, а также проверить само наличие с ними договоров (например, с материнской/дочерней компанией). Кстати, последнее влечет за собой анализ корпоративных отношений и связанных с ними бизнес-процессов, в свою очередь, бизнес-процессы изменчивы, а их анализ трудоемок.

Заблуждение №2: согласие на обработку персональных данных закроет все потребности бизнеса.

Как обосновывают заблуждение: ФЗ-152 не предусматривает конкретный перечень случаев обработки персональных данных по согласию субъекта, а значит наличие многочисленные согласия помогут легализовать все процессы обработки персональных данных в компании.

Согласия нужно администрировать, а сами согласия добровольные, что доставляет сложности при организации бизнес-процессов. Мы видели, как некоторые компании используют до 20 согласий на каждого работника, если работников тысяча, то это 20 тысяч согласий только в кадровом процессе ез учета текучки кадров и соискателей. Кроме того согласия может оспорит Роскомнадзор, в некоторых случаях Роспотребнадзор, Трудовая инспекция, Прокуратура.

В судебной практике по инициативе операторов появляются решения, оспаривающие необходимость и возможность получения согласий на обработку персональных данных.

Так, например, в деле «ПАО «Аэрофлот»» в споре между компанией и Управлением Роскомнадзора по ЦФО суды трех судебных инстанций встали на сторону компании.

Сотрудниками Управления Роскомнадзора было установлено, что письменные согласия работников ПАО «Аэрофлот» на обработку их персональных данных не соответствовали требованиям закона и не могли использоваться для передачи персональных данных работников третьим лицам в целях оформления полиса добровольного медицинского страхования, санаторно-курортного лечения, предоставления служебного жилья.

Однако, как отметили суды заняв сторону ПАО «Аэрофлот», работодатель в соответствии с условиями коллективного договора заключил договоры по добровольному медицинскому страхованию, санаторно-курортному лечению, предоставлению служебного жилья с третьими лицами в интересах работников (как выгодоприобретателей), а следовательно,

«при обработке персональных лиц в рамках обозначенных договоров получение согласия субъекта персональных данных не требуется/не является обязательным» (постановление Арбитражного суда Московского округа от 30.05.2022 № Ф05-9445/2022 по делу № А40-163911/21-17-1229).

Интересны и недавние решения Кировского районного суда г. Уфы Республики Башкортостан по делам ПАО «МТС-Банк» и ПАО «Промсвязьбанк» (дела № 2-12745/2023 от 04.12.2023 и № 2-12744/2023 от 11.12.2023), изложившего развернутое обоснование в том числе по вопросу включения банками в договоры с клиентами избыточных согласий на обработку персональных данных.

Суд обратил внимание на то, что в силу статьи 6 ФЗ-152

«согласие формально истребуется только в случаях, когда иное не следует из контекста возникшей правовой связи, в частности, если наличие согласия не свидетельствуется конклюдентными действиями субъекта персональных данных по вступлению в отношения с оператором их обработки».

При этом

«правовой режим обработки персональных данных установлен публично. Закон не предполагает какого-либо договорного восполнения этого механизма в том, где согласно закону заключение договора означает выражение согласия на соразмерную обработку персональных данных».

Таким образом, в ряде случаев согласие – попросту неподходящее или нецелесообразное основание для обработки персональных данных, поскольку оно не соответствует сути правоотношений, возникших между субъектом персональных данных и оператором, или сути организуемого бизнес-процесса.

Заблуждение №3: согласие на обработку персональных данных – надежный инструмент, позволяющий длительно обрабатывать персональные данные.

Как обосновывают заблуждение: ФЗ-152 не устанавливает конкретный срок, в течение которого действует согласие субъекта персональных данных.

У субъекта персональных данных есть право отозвать свое согласие на обработку персональных данных в любое время (ч.2 ст.9 ФЗ-152) или направить требование о прекращении обработки (например, ч.12 ст.10.1, ч.2 ст.15 ФЗ-152). Если субъект персональных данных отозвал свое согласие, то продолжение обработки допускается только в случае наличия других правовых оснований обработки персональных данных. Если субъект персональных данных направил требование о прекращении обработки, то продолжение обработки не допускается.

Это право субъекта персональных данных важно учитывать при сборе согласий и заблаговременно просчитывать риски, поскольку спонтанное прекращение обработки персональных данных, их уничтожение могут стать большим препятствием для дальнейшей реализации уже запущенных проектов. Так, например, неясно, как обеспечить право субъекта на отзыв согласия в том случае, если на персональных данных субъекта или персональных данных, полученных в результате обезличивания его персональных данных, уже обучена и используется модель искусственного интеллекта.

Таким образом, в ряде проектов более надежным инструментом для обработки персональных данных выглядят другие правовые основания обработки. Например, в договор с субъектом персональных данных можно включить отдельные условия об использовании данных, порядке расторжения договора и иные условия, позволяющие оператору заранее прогнозировать развитие проекта. Но нужно быть осторожным, чтобы не нарушить ст. 16 ЗОЗПП.

Заблуждение №4: согласие на обработку персональных данных лучше всего отражает интересы самого субъекта персональных данных.

Как обосновывают заблуждение: согласие в отличие от всех других правовых оснований обработки исходит от субъекта персональных данных непосредственно, а значит учитывает его интересы.

Это заблуждение не было бы заблуждением, если бы согласия собирались в крайних случаях (когда невозможно применить любое другое основание обработки), а по содержанию были бы как минимум добровольными, информированными и доступными для субъекта персональных данных с точки зрения языка.

«Плохие» согласия, напротив, становятся бременем для субъекта персональных данных, который вынужден (еще и в условиях получения ограниченной информации) оценивать уже принятые за него решения и постоянно находиться в ситуации выбора: отказаться от сервиса, услуги или поделиться своими данными.

К тому же не будем забывать, что согласия должны даваться субъектом персональных данных в собственном интересе (ч.1 ст.9 ФЗ-152).

Все вышеуказанные заблуждения и небольшие примеры из практики демонстрируют то, что согласие на обработку персональных данных, которое устроит Роскомнадзор и суд, - это всего лишь «вершина айсберга». До его подготовки в компании должна быть проведена большая работа не только юридического, но и организационного, стратегического характера. Как показывает практика оказания услуг Lukash Partners, согласия «для галочки» становятся не интересны, мы видим постоянный запрос на снижение количества согласий в ходе наших проектов.

Бывают случаи, когда к нам обращаются непосредственно за разработкой согласия. По изложенным причинам к таким запросам мы относимся серьезно и в первую очередь смотрим на альтернативные, менее рискованные основания обработки персональных данных. Если все же принимаем решение разработать согласие, то заканчиваем работу не только согласием, но и конкретной инструкцией о том, кто и как будет сопровождать все процессы, связанные с согласием (в том числе, при поступлении от субъекта отзыва или требования о прекращении обработки), как будет фактически работать цепочка оповещений обработчиков об отзыве согласия. Может оказаться что в конце необходимо уведомить Роскомнадзор об изменении ранее внесенных сведений в реестр операторов персональных данных.

Для подготовки полностью безрисковых согласий должны быть сопоставлены все цели и другие важные параметры обработки данных в компании, а самое главное, бизнес-процессы оператора персональных данных должны быть приведены к требованиям закона иначе согласие не поможет, а станет доказательством совершения административного нарушения.

22
4 комментария

спасибо за интересную статью!

Много интересного также публикую в телеграм-канале https://t.me/privacyexpert, подписывайтесь.

Особенно важен момент, как по мне, о необходимости анализа цепочек лиц, обрабатывающих данные, что действительно может усложнить выполнение требований законодательства

Поддерживаю. В целом, если сделка связана с каким-то потоком персональных данных к контрагентам, то к договору сразу предъявляется ряд требований по 152-ФЗ. Как следствие, предъявить аналогичные требования контрагентам контрагента.