Законодательство РФ

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.


Комментарии к статье 9 152-ФЗ О персональных данных:

1. Статья 9 комментируемого Закона содержит комплексную норму о волеизъявлении субъекта персональных данных по вопросу о его согласии на обработку персональных данных. Норма изложена в четырех логических компонентах и восьми частях:

1) первый - о праве субъекта дать и отозвать согласие на обработку персональных данных - соответствует ч. ч. 1 и 2 комментируемой статьи;

2) второй - об условиях и порядке дачи такого согласия в специальных случаях обработки персональных данных - соответствует ч. ч. 4 и 5 комментируемой статьи;

3) третий - о возможных заменах волеизъявления субъекта персональных данных уполномоченными лицами - соответствует ч. ч. 6 и 7 комментируемой статьи;

4) четвертый - об обязанностях оператора персональных данных - соответствует ч. ч. 3 и 8 комментируемой статьи соответственно.

В целом вопрос о волеизъявлении лица определенным образом соотносится с вопросом о правоспособности и дееспособности лица. Это соотношение определяется наличием автономии воли и возможностью ее реализации. Если лицо самостоятельно в принятии решения, способно к волеизъявлению, не имеет ограничений в принятии решения и закон признает это волеизъявление, то волеизъявление по общему правилу рассматривается как автономное. Наиболее полно вопросы о правоспособности и дееспособности разработаны в рамках гражданского законодательства для применения в хозяйственных, экономических отношениях. В иных сферах основные положения о правоспособности и дееспособности лиц применяются по подобию. Комментируемая статья представляет одно из первых решений вопроса правоспособности и дееспособности лиц в информационной сфере в рамках информационного законодательства. Существенное влияние на российское законодательство оказывает европейское законодательство о персональных данных и сложившаяся практика (например, обмен сведениями в процессе обращения в уполномоченные визовые центры за получением визы.)

2. Часть 1 комментируемой статьи содержит общую норму о согласии на обработку персональных данных. Согласие субъекта является комплексной категорией, при оценке которой необходимо учитывать: наличие свободы принятия субъектом решения; наличие собственной воли субъекта, т.е. отсутствие какого-либо давления на него со стороны; наличие интереса субъекта в связи передачей для возможной обработки собственных персональных данных. Комментируя данную норму, российские авторы, как правило, акцентируют внимание на гражданско-правовом принципе автономии воли. Последний подразумевает свободное и самостоятельное принятие решения, основанного исключительно на внутреннем убеждении субъекта, определяющего характер и содержание собственных действий. Одним из основных международных документов в данной области, который позволяет сравнить подходы при определении наличия/отсутствия согласия, является Директива 95/46/EC Европейского парламента и Совета ЕС от 24.10.1995 о защите физических лиц в отношении обработки персональных данных и свободного обращения таких данных. Анализ положений, закрепленных в Директиве 95/46/EC, позволяет выявить несколько критериев для оценки свободы принятия решения субъектом. В соответствии со ст. 2 Директивы 95/46/EC "согласие субъекта данных означает любое свободно данное конкретное и сознательное указание на его желания, которым субъект данных выражает свое согласие на обработку относящихся к нему персональных данных". В соответствии со ст. 7 Директивы 95/46/EC согласие квалифицируется как однозначно данное согласие. В соответствии со ст. 8 Директивы 95/46/EC имеет место определение согласия как явно выраженное согласие на обработку. В соответствии со ст. 26 Директивы 95/46/EC передача персональных данных в третью страну может совершаться при условии, что субъект данных однозначно дал свое согласие на предполагаемую передачу данных.

Современные представления о защите персональных данных в Европе необходимо соотносить с последними из принятых документов. Одним из таких является Резолюция Европейского парламента от 06.07.2011 о комплексном подходе к защите персональных данных в Европейском союзе (2011/2025 (INI)). В ней отражаются основные тенденции, которые могут повлиять на отношения по поводу персональных данных в России. Документом провозглашается преемственность основных принципов Директивы 95/46/EC. Наличие разных подходов в государствах - членах ЕС не снимает обязанности ЕС обеспечить неприкосновенность частной жизни в отношении любой обработки персональных данных физических лиц в пределах и за пределами ЕС при любых обстоятельствах в современных условиях, вызванных глобализацией, в целях решения многочисленных задач. Особенно подчеркивается необходимость защиты данных в связи с расширением деятельности в Интернете.

В документе подчеркнуто, что право на свободу выражения мнения и информации и принцип прозрачности должны быть полностью учтены при обеспечении фундаментального права на защиту персональных данных. Далее отмечается необходимость комплексного подхода по защите персональных данных во всех областях, в которых обрабатываются персональные данные, в том числе в области полицейского и судебного сотрудничества по уголовным делам, области общей внешней политики и политики безопасности без ущерба для конкретных правил. Европейский парламент призывает Европейскую комиссию убедиться в том, что текущий пересмотр законодательства ЕС о защите данных будет предусматривать: полное согласование на самом высоком уровне предоставления правовой определенности и единого высокого стандарта уровня защиты людей в любых обстоятельствах; оценку воздействия и тщательный учет затрат; укрепление существующих принципов и элементов, таких как прозрачность данных, минимизация и цели ограничения, наличие предварительного и явного согласия, данные о нарушениях прав и уведомление субъектов, особенно в отношении глобальной онлайновой среды; подчеркивается, что согласие должно считаться действительным только тогда, когда имеется однозначное сообщение, свободное, конкретное и четкое; когда имеется адекватный реализованный механизм для фиксации согласия или отзыва согласия пользователя.

В условиях глобализации оператор обязан учитывать существующие мировые и европейские тенденции, при этом получение согласия не должно становиться тормозом на пути развития отношений. В существующей реальности представляется обоснованным рекомендовать придерживаться изложенной российской правовой трехкомпонентной концепции согласия субъекта, не ограничиваясь гражданско-правовым толкованием. Соответственно, оператор должен учесть наличие свободы принятия субъектом решения; наличие собственной воли субъекта, т.е. отсутствие какого-либо давления на него со стороны; наличие интереса субъекта в связи передачей для возможной обработки его собственных персональных данных. Представляется, что на современном этапе развития информационных отношений этого будет достаточно для соблюдения требований комментируемого Закона.

3. Часть 2 комментируемой статьи предусматривает возможность отзыва согласия на обработку персональных данных. Поскольку согласие может быть дано лично и через представителя, возможно предположить, что отзыв может быть представлен в аналогичном формате. Одновременно возникает вопрос о том, может ли быть отзыв представлен через представителя, если согласие было представлено лично, и наоборот. Оператору персональных данных предстоит решать (устанавливать в локальных нормативных актах), каков должен быть порядок дачи согласия и отзыва согласия на обработку персональных данных субъектом.

В соответствии с ч. ч. 2 и 8 комментируемой статьи обработка персональных данных может осуществляться без согласия субъекта персональных данных:

- в связи с реализацией международных договоров Российской Федерации о реадмиссии;

- в связи с осуществлением правосудия и исполнением судебных актов;

- в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию;

- в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, для предоставления государственной или муниципальной услуги, для регистрации субъекта персональных данных на Едином портале государственных и муниципальных услуг;

- в связи реализацией обязательств по обязательным видам страхования;

- в соответствии со страховым законодательством при обработке данных детей, оставшихся без попечения родителей;

- если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, а получение согласия субъекта персональных данных невозможно;

- при обработке персональных данных в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

- при обработке персональных данных в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

- если обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;

- если обрабатываются персональные данные, доступ к которым предоставлен субъектом персональных данных для неограниченного круга лиц;

- если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;

- если обработка персональных данных необходима для заключения (исполнения) договора, участником которого является субъект персональных данных;

- если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- если обработка персональных данных необходима для осуществления профессиональной деятельности журналиста (средства массовой информации) либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

- если обработка персональных данных осуществляется в соответствии с Федеральным законом от 25.01.2002 N 8-ФЗ;

- если это персональные данные участников общественного объединения и обработка данных осуществляется в соответствии с учредительными документами в пределах организации.

4. Часть 4 комментируемой статьи содержит требование об обработке персональных данных исключительно с письменного согласия самого субъекта. К названным случаям относятся все виды обработки персональных данных за исключением случаев, описанных в п. 3 комментария к настоящей статье (см. выше). В ч. 4 комментируемой статьи предусмотрен формат письменного согласия с указанием всех необходимых условий и сопутствующих обстоятельств. Частью 5 комментируемой статьи предусмотрен вариант предоставления согласия субъектом персональных данных на обработку его персональных в форме электронного документа. Данная ситуация предусмотрена Федеральным законом от 27.07.2010 N 210-ФЗ. В соответствии со ст. 21.2 Федерального закона от 27.07.2010 N 210-ФЗ Правительство Российской Федерации утверждает Правила использования простых электронных подписей при оказании государственных и муниципальных услуг. В соответствии с Постановлением Правительства РФ от 25.01.2013 N 33 "Об использовании простой электронной подписи при оказании государственных и муниципальных услуг" субъект персональных данных (именуемый в тексте Постановлением "заявитель") должен указать фамилию, имя и отчество (если имеется), страховой номер индивидуального лицевого счета, а также дать согласие заявителя на обработку его персональных данных. Оператор, выдавая ключ, обязан установить личность заявителя. Таким образом, согласие в форме электронного документа предусматривает наличие простой электронной подписи и минимального количества персональных данных, необходимых для идентификации субъекта.

5. Часть 6 комментируемой статьи содержит норму о представителе субъекта персональных данных.

Представительство по вопросу оборота персональных данных несовершеннолетнего лица будут осуществлять его (субъекта) родители или лица их замещающие. Для лиц, ограничено дееспособных по медицинским показаниям, представителями могут выступать также должностные лица медицинского учреждения. В иных случаях представитель субъекта персональных данных будет осуществлять свою деятельность по доверенности.

Требования к форме и содержанию доверенности наиболее полно разработаны в сфере гражданских правоотношений. Тем не менее начинают появляться отдельные рекомендации и комментарии на сайте Роскомнадзора как уполномоченного субъекта по контролю за оборотом в сфере персональных данных. Доверенность, выданная представителю, должна содержать:

- конкретное указание о том, кому она предоставлена в каких целях и на какой срок;

- указание оператора, для каких целей дается согласие на обработку персональных данных;

- указание на то, что данное действие не противоречит интересам субъекта персональных данных;

- указание на то, что согласие на обработку персональных данных дается по воле субъекта персональных данных;

- а также, что представляется важным, причину, по которой выдана доверенность, т.е. почему субъект персональных данных дает согласие на обработку персональных данных через представителя, а не лично.

Вопрос о том, каким образом оператором проверяются полномочия представителя субъекта персональных данных, решаются оператором в каждом конкретном случае самостоятельно. Оператор для данного случая должен иметь соответствующие положения, закрепленные в документе, который входит в систему документов, именуемую в целом "политика обработки персональных данных". Вероятно, что для данного случая оператором будет разработана специальная инструкция либо специальный раздел в инструкции, регулирующий отношения в сфере оборота персональных данных. Оператор, как правило, являются юридическим лицом, что предполагает наличие физического лица, действующего от имени оператора. По сути, в данной ситуации мы наблюдаем ситуацию взаимодействия представителей: представителя субъекта персональных данных, с одной стороны, и оператора - с другой. Во всех случаях оператор либо его представитель обязаны проверить два момента: факт передачи права на обработку персональных данных субъектом персональных данных и наличие (соблюдение) формы доверенности о передаче субъектом персональных данных права на обработку персональных данных.

6. В ч. 7 комментируемой статьи содержится норма, устанавливающая порядок получения согласия на обработку персональных данных в случае смерти субъекта персональных данных. Действующим законодательством отношения по поводу вступления в наследство и исполнения последней воли субъекта регулируются в рамках ГК РФ. Субъектом, который будет решать вопрос о даче согласия на оборот персональных данных, вероятно, будет наследник по закону ли наследник по завещанию. В связи с развитием отношений по поводу оборота персональных данных прогнозируется в специальных случаях появление специального душеприказчика по вопросу информационного наследия, в том числе по вопросам оборота персональных данных.

7. Часть 8 комментируемой статьи содержит норму, которая связана с ч. 3 комментируемой статьи и содержит требование об обязанности оператора иметь согласие субъекта на обработку его персональных данных. Сама формулировка данной части не должна дезориентировать оператора. Возможность получения оператором персональных данных от лица, не являющегося их субъектом, не означает, что оператор освобождается от доказывания, что персональные данные получены законно. Отдельные исключения, предусмотренные ч. 2 комментируемой статьи и описанные в п. 3 настоящего комментария (см. выше), представляют ограниченное множество случаев. Во всех остальных случаях, которых, представляется, подавляющее большинство, оператор должен иметь согласие субъекта на обработку его персональных данных и при необходимости доказать, что персональные данные получены законным путем.

Европейская практика, влияние которой на российские отношения и законодательство по вопросу персональных данных трудно отрицать, свидетельствует о следующих тенденциях. Проект поправок в европейское законодательство о защите персональных данных предусматривает практически полное отделение отношений по поводу персональных данных от смежных гражданских и иных правоотношений. Директива 95/46/EC Европейского парламента и Совета ЕС от 24.10.1995 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных обязывает операторов обеспечить надлежащий уровень защиты персональных данных. Регламент Европейского парламента и Совета ЕС 45/2001 от 18.12.2000 о защите физических лиц при обработке персональных данных, осуществляемой учреждениями и органами Сообщества, и о свободном обращении таких данных - еще один документ, который направлен на обеспечение защиты персональных данных в учреждениях и органах Европейского союза. Документ включает положения о создании независимого надзорного органа для контроля. Исполнение перечисленных документов, а именно сочетание двух перечисленных факторов - независимого контроля и надлежащей защиты - порой приводят к весьма значимым результатам.

Пример: в Объединенном Королевстве Великобритании и Северной Ирландии (UK) защитой личных данных занимается независимая Информационная комиссия (ICO). По данным от 15 февраля 2013 г. Управления Информационной комиссии Совет по сестринскому делу и акушерству был оштрафован на 150000 английских фунтов. Из официального сообщения следует, что многие организации до настоящего времени не пересмотрели свою политику по защите персональных данных и их обработке. В результате нарушения этого типа встречаются снова и снова. В рассмотренном случае Совет потерял три DVD-диска, в которых содержались конфиденциальная личная информация и данные о детях. В ходе расследования Информационная комиссия обнаружила, что информация не была зашифрована, утрата связана с проступком медсестры. Было отмечено, что если бы был сделан простой шаг по шифрованию информации, ее утрата была бы менее опасной, а санкция не была бы столь значительной.

Таким образом, операторам персональных данных требуется достаточно внимательно подходить к вопросу защиты персональных данных, начиная с подбора ответственного персонала и выполнения положений действующего законодательства. Вероятно, российский законодатель последует в направлении, которое будет учитывать европейскую практику, тем более что многие положения комментируемого Закона заимствованы из европейского законодательство о защите персональных данных.

"Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" (постатейный)
Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С.
Год издания: 2013


Популярные статьи и материалы
N 400-ФЗ от 28.12.2013

ФЗ о страховых пенсиях

N 69-ФЗ от 21.12.1994

ФЗ о пожарной безопасности

N 40-ФЗ от 25.04.2002

ФЗ об ОСАГО

N 273-ФЗ от 29.12.2012

ФЗ об образовании

N 79-ФЗ от 27.07.2004

ФЗ о государственной гражданской службе

N 275-ФЗ от 29.12.2012

ФЗ о государственном оборонном заказе

N2300-1 от 07.02.1992 ЗППП

О защите прав потребителей

N 273-ФЗ от 25.12.2008

ФЗ о противодействии коррупции

N 38-ФЗ от 13.03.2006

ФЗ о рекламе

N 7-ФЗ от 10.01.2002

ФЗ об охране окружающей среды

N 3-ФЗ от 07.02.2011

ФЗ о полиции

N 402-ФЗ от 06.12.2011

ФЗ о бухгалтерском учете

N 135-ФЗ от 26.07.2006

ФЗ о защите конкуренции

N 99-ФЗ от 04.05.2011

ФЗ о лицензировании отдельных видов деятельности

N 223-ФЗ от 18.07.2011

ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц

N 2202-1 от 17.01.1992

ФЗ о прокуратуре

N 127-ФЗ 26.10.2002

ФЗ о несостоятельности (банкротстве)

N 152-ФЗ от 27.07.2006

ФЗ о персональных данных

N 44-ФЗ от 05.04.2013

ФЗ о госзакупках

N 229-ФЗ от 02.10.2007

ФЗ об исполнительном производстве

N 53-ФЗ от 28.03.1998

ФЗ о воинской службе

N 395-1 от 02.12.1990

ФЗ о банках и банковской деятельности

ст. 333 ГК РФ

Уменьшение неустойки

ст. 317.1 ГК РФ

Проценты по денежному обязательству

ст. 395 ГК РФ

Ответственность за неисполнение денежного обязательства

ст 20.25 КоАП РФ

Уклонение от исполнения административного наказания

ст. 81 ТК РФ

Расторжение трудового договора по инициативе работодателя

ст. 78 БК РФ

Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам

ст. 12.8 КоАП РФ

Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения

ст. 161 БК РФ

Особенности правового положения казенных учреждений

ст. 77 ТК РФ

Общие основания прекращения трудового договора

ст. 144 УПК РФ

Порядок рассмотрения сообщения о преступлении

ст. 125 УПК РФ

Судебный порядок рассмотрения жалоб

ст. 24 УПК РФ

Основания отказа в возбуждении уголовного дела или прекращения уголовного дела

ст. 126 АПК РФ

Документы, прилагаемые к исковому заявлению

ст. 49 АПК РФ

Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение

ст. 125 АПК РФ

Форма и содержание искового заявления