## Персональные данные
В последние несколько лет вопрос о персональных данных стал очень актуален — рассказываем обо всем по порядку в этой статье.
![](https://xn--90aifddrld7a.xn--p1ai/upload/medialibrary/6d2/7e10dwmsxkzhjldv6akccoi405ymn0t6/49.jpg)
### Что относится к персональным данным?
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу (субъекту персональных данных), и позволяющая его определить.
Некоторые из этих данных, сами по себе, без связки с другими данными, персональными являться не будут.
Например, номер телефона сам по себе не является персональными данными, но вместе с указанием ФИО владельца — является.
### Классификация персональных данных
Персональные данные подразделяют на:
- Общедоступные персональные данные
- Специальные категории персональных данных
- Биометрические персональные данные
### Определяемся с понятиями
Оператор персональных данных — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием или без автоматизированных средств:
- Сбор
- Запись
- Систематизация
- Хранение
- Уточнение
- Использование
- Распространение
- Уничтожение
### Хранение персональных данных
После обработки персональные данные хранятся в архиве, который может быть бумажным или электронным.
Чтобы облегчить поиск и обеспечить безопасность данных, необходимо правильно организовать архив.
#### С чего начать?
Если вы еще не занимаетесь сбором и (или) обработкой персональных данных, ознакомьтесь с требованиями Закона №152-ФЗ.
#### Регистрация в Роскомонадзоре
Не всем нужна регистрация в Роскомнадзоре. Подробности можно уточнить на официальном сайте.
### Что стоит проверить?
Если вы уже занимаетесь сбором и обработкой персональных данных, обязательно проверьте:
- Политику обработки персональных данных на вашем сайте
- Согласие на обработку персональных данных для пользователей
- Порядок трансграничной передачи и локализации персональных данных
### В случае утечки данных
Если персональные данные были украдены или утекли, необходимо уведомить Роскомнадзор о компрометации данных и подготовить ответы на запросы.
## Форма согласия
Электронные подписи в России
Если согласие составляется в форме электронного документа, то оно должно быть подписано электронной подписью (ч. 4 ст. 9 Закона № 152-ФЗ). Электронная подпись является аналогом собственноручной подписи. Ее использование допускается в случаях и в порядке, предусмотренных законом и иными правовыми актами или соглашением сторон (п. 2 ст. 160 ГК РФ).
Закон № 63-ФЗ Об электронной подписи
Отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, а также во всех случаях, установленных федеральными законами, регулирует Федеральный закон от 6 апреля 2011 г. № 63-ФЗ Об электронной подписи.
Закон № 152-ФЗ допускает возможность оформления согласия в форме электронного документа, подписанного электронной подписью. Оператор вправе использовать простую электронную подпись, так как закон не требует использования квалифицированной электронной подписи.
Подписание электронного документа
Согласно п. 1 ст. 9 Закона № 63-ФЗ электронный документ считается подписанным при выполнении одного из следующих условий:
- ПЭП содержится в самом электронном документе;
- ключ ПЭП применяется в соответствии с правилами оператора информационной системы;
- электронном документе содержится информация о лице, от имени которого был создан электронный документ.
Легализация документооборота
Для легализации такого документооборота оператор должен издать соответствующий локальный акт, с которым должны ознакомиться все участники электронного взаимодействия (ст. 18.1 Закона № 152-ФЗ).
Обработка персональных данных
При соблюдении требований законов об электронной подписи и об обработке персональных данных в России, препятствий для использования простой электронной подписи при оформлении договорных отношений, включая согласие на обработку персональных данных, не существует. Оператор должен разработать алгоритм взаимодействия самостоятельно.
Однако оператору всегда необходимо иметь возможность подтвердить факт получения согласия на обработку персональных данных, поскольку на него ложится обязанность доказать факт обработки данных с согласия субъекта (ч. 3 ст. 9 Закона № 152-ФЗ).
Важность согласия на обработку персональных данных
При недееспособности гражданина письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона № 152-ФЗ). В случае смерти такое согласие оформляют наследники умершего, если оно не было получено от него самого при жизни (ч. 7 ст. 9 Закона № 152-ФЗ).
Особенности обработки персональных данных для распространения
Для обработки персональных данных, разрешенных для распространения, необходимо оформить отдельное согласие (требования к нему предусмотрены в приказе Роскомнадзора от 24 февраля 2021 г. № 18). Субъект персональных данных имеет право установить запреты на передачу данных оператором неограниченному кругу лиц и на обработку данных неограниченным кругом лиц, за исключением случаев обработки в государственных или общественных интересах. Оператор должен опубликовать информацию об условиях обработки и наличии запретов не позднее 3 рабочих дней после получения согласия субъекта.
Согласие может быть предоставлено оператору:
- При подписании соответствующего соглашения.
- Путем отправки электронным сообщением.
Субъект вправе обратиться с требованием прекратить распространение своих персональных данных в любое время к любому лицу, обрабатывающему его данные, или в суд. Лицо, получившее такое требование, должно прекратить передачу данных в течение 3 рабочих дней.
Особенности обработки биометрических персональных данных
Биометрические персональные данные характеризуют физиологические и биологические особенности человека и обрабатываются исключительно для идентификации. Для их обработки требуется согласие субъекта или его представителя. Однако согласие не требуется в определенных случаях, согласно законодательству.
Важно соблюдать законодательные требования при обработке таких данных, чтобы обеспечить защиту персональной информации.
Предоставление биометрических персональных данных
Предоставление биометрических персональных данных не может быть обязательным, кроме случаев, когда не требуется согласия субъекта. Оператор не может отказывать в обслуживании гражданину в случае отказа предоставить биометрические персональные данные или дать согласие на их обработку.
Единая биометрическая система
Подробнее о единой биометрической системе, дактилоскопической идентификационной системе и системе генетической идентификации, читайте в Энциклопедии решений системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!
Форма согласия на обработку данных
Форма согласия на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе, в том числе на передачу векторов единой биометрической системы, утверждена распоряжением Правительства РФ от 30 июня 2018 г. № 1322-р.
Последняя актуализация: 23 июня 2023 г.
Условия обработки персональных данных
Общее правило
По общему правилу обработка персональных данных должна осуществляться с согласия субъекта персональных данных. Согласие человека должно быть конкретным, предметным, информированным, сознательным и однозначным.
Конкретность и предметность
Цели обработки персональных данных должны быть четкими, ясно выраженными, обоснованными и понятными. Согласие не может быть всеобщим. Если меняются цели обработки, оператор должен получить новое согласие.
Информированность
Субъект персональных данных должен получить минимальный набор информации о сборе и обработке данных, включая информацию о праве отзыва согласия.
Однозначность
Волеизъявление гражданина должно быть выражено недвусмысленно, совершено посредством четкого утвердительного действия, а не молчанием или бездействием.
Подчеркнем, что в основу принятия субъектом персональных данных решения о предоставлении их к обработке положен гражданско-правовой принцип автономии воли (ч. 1 ст. 9 Гражданского кодекса). Принцип автономии воли подразумевает свободное и самостоятельное принятие решения, основанного исключительно на внутреннем убеждении субъекта, определяющего характер и содержание собственных действий. Согласие субъекта персональных данных на их обработку подразумевает не только свободное принятие решения на их передачу, но и свободное выражение своей воли. Волеизъявление – важный элемент согласия на обработку персональных данных, с которым, как правило, связываются юридические последствия. Согласие будет свободным, если у правообладателя имелся выбор, давать его или нет, и на каких условиях. Согласие не может считаться свободным, когда предоставление гражданину каких-либо услуг обусловлено обязательной дачей Согласия на обработку его персональных данных.
Особенности обработки персональных данных о судимости
В соответствии с ч. 3 ст. 10 Закона № 152-ФЗ обработка персональных данных о судимости может осуществляться госорганами или муниципальными органами в пределах их полномочий, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
В частности, такое право есть у полиции. Сотрудники полиции могут обрабатывать данные о гражданах, необходимые для выполнения возложенных на них обязанностей, с последующим внесением полученной информации в банки данных (ч. 1 ст. 17 Федерального закона от 7 февраля 2011 г. № 3-ФЗ "О полиции", далее – Закон № 3-ФЗ). Так, внесению в банки данных подлежит информация о лицах, подвергающихся или подвергавшихся уголовному преследованию. Полиция должна обеспечить защиту данной информации от неправомерного и случайного доступа, уничтожения, копирования, распространения и иных неправомерных действий. Статья 17 Закона № 3-ФЗ допускает раскрытие содержащейся в банках данных информации государственным органам и их должностным лицам только в случаях, предусмотренных федеральным законом; правоохранительным органам иностранных государств и международным полицейским организациям – в соответствии с международными договорами РФ, а также гражданину, права и свободы которого непосредственно затрагиваются содержащейся в банках данных информацией.
Необходимость обработки персональных данных граждан, связанных с фактами осуждения, обусловлена также положениями ст. 65 и 331 Трудового кодекса. Отсутствие судимости, в том числе снятой или погашенной, является обязательным требованием, которое предъявляется к лицу, назначаемому на должность прокурора, к кандидатам на должность судьи, к лицам, принимаемым на службу или на работу в органы федеральной службы безопасности и т. д. В таких случаях работодатель вправе осуществлять обработку персональных данных о судимости.
С позицией Верховного Суда Российской Федерации по вопросу о признании недействующим подп. 76.2 п. 76 Административного регламента МВД России по предоставлению государственной услуги по выдаче справок о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования можно ознакомиться в Решении ВС РФ от 18 июля 2022 г. № АКПИ22-365.
Согласие на обработку персональных данных несовершеннолетнего и лица, ограниченного в дееспособности
Законодатель не указывает с какого возраста субъект персональных данных вправе выражать согласие на обработку сведений о себе самостоятельно, оговаривая лишь обязательность представительства в отношении недееспособных лиц, не упоминая при этом несовершеннолетних и лиц, ограниченных в дееспособности. Однако недееспособными считаются граждане, которые признаны таковыми судом в том случае, если они вследствие психического расстройства не могут понимать значение своих действий или руководить ими (п. 1 ст. 29 ГК РФ). Несовершеннолетние граждане таковыми не являются. В силу своего возраста они наделяются законом частичной дееспособностью, объем которой постепенно расширяется.
Полагаем, что представительство лиц, под опекой которых находятся малолетние дети, то есть до 14 лет (п. 1 ст. 28 ГК РФ), в части, касающейся обработки персональных данных таких детей, необходимо. Однако несовершеннолетние в возрасте от 14 до 18 лет, на наш взгляд, могут делать соответствующее волеизъявление самостоятельно. По крайней мере, Закон № 152-ФЗ соответствующего запрета не содержит (письмо Роскомнадзора от 11 марта 2022 г. № 08-15154).
Отметим, что в Регламенте (ЕС) Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г., в отличие от отечественного законодательства, данный вопрос урегулирован: в пар. 1 ст. 8 предписано, что при предоставлении услуг информационного общества непосредственно ребенку, обработка персональных данных ребенка является законной только в случае, если ребенку исполнилось как минимум 16 лет. Если ребенок еще не достиг возраста 16 лет, такая обработка является законной, только если и поскольку согласие было дано лицом, обладающим родительской ответственностью в отношении ребенка, или было дано с его одобрения. Государствам-членам ЕС предоставлена возможность на законодательном уровне предусмотреть меньший возраст для указанных целей при условии, что такой возраст не ниже 13 лет. При этом, если профилактические мероприятия и консультационные услуги предлагаются непосредственно ребенку, то согласие лиц, обладающих родительской ответственностью, не является необходимым (пар. 38 Преамбулы).
Аналогичный подход должен иметь место и в отношении лица, ограниченного в дееспособности (ст. 30 ГК РФ). Правовой эффект ограничения дееспособности гражданина состоит в том, что он лишается возможности без помощи попечителя участвовать в имущественном обороте, за исключением совершения мелких бытовых сделок (п. 1 ст. 30 ГК РФ). Однако это не препятствует ему участвовать в иных правоотношениях, в том числе и тех, которые регулируются законодательством в области защиты персональных данных.
Обработка персональных данных в отсутствие согласия
В отсутствие согласия субъекта персональных данных оператор может обрабатывать конфиденциальную информацию о гражданах лишь в случаях, перечисленных в п. 2-11 ч. 1 ст. 6 Закона № 152-ФЗ. Отметим, данный перечень сформулирован исчерпывающим образом и расширительному толкованию не подлежит.
Так, в п. 2 ч. 1 ст. 6 Закона № 152-ФЗ установлено два основания, освобождающего оператора от получения согласия гражданина на обработку его персональных данных.
Пункты 3 и 3.1 ч. 1 ст. 6 Закона № 152-ФЗ позволяют обработку персональных данных без согласия гражданина в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве. Например, стороны по делу в целях осуществления судопроизводства и исполнения судебных актов вправе указывать в процессуальных документах сведения о других лицах без их согласия (ответчиках, третьих лицах, свидетелях, должниках и т. д.).
Обработка персональных данных, необходимая для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 г. № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг, также не требует получения согласия идентифицируемого лица (п. 4 ч. 1 ст. 6 Закона № 152-ФЗ). Иными словами, истребование от граждан помимо прочих документов согласия на обработку персональных данных при оказании им государственных или муниципальных услуг будет считаться неправомерным. Данный вывод содержится, в частности, в Постановлении Четырнадцатого арбитражного апелляционного суда от 25 апреля 2013 г. № 14АП-2080/13, Определении Московского городского суда от 30 ноября 2017 г. по делу № 33-40869/2017.
Не требуется согласие гражданина на обработку его персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ).
Это основание применимо лишь в тех случаях, когда субъект персональных данных либо выступает стороной договора, либо является выгодоприобретателем или поручителем по договору. Под выгодоприобретателем гражданское законодательство подразумевает лицо, в пользу которого заключен договор (ст. 430 Гражданского кодекса). Это может быть лицо, в пользу которого застраховано имущество по договору страхования (ст. 930 ГК РФ); лицо, в интересах которого осуществляется доверительное управление имуществом (ст. 1012 ГК РФ); лицо, в пользу которого открыт банковский вклад (ст. 842 ГК РФ), и др. Поручитель – это лицо, заключившее договор поручительства, по которому он обязывается перед кредитором другого лица отвечать за исполнение последним его обязательства полностью или в части (п. 1 ст. 361 ГК РФ).
Подчеркнем, что обработка персональных данных в подобных случаях должна строго ограничиваться целями заключения и исполнения договора. Не допускается в отсутствие согласия участника договорного правоотношения передача его персональных данных третьим лицам в рекламных или маркетинговых целях (ч. 1 ст. 15 Закона № 152-ФЗ). Хранение же и передача необходимой информации, содержащей персональные данные, в уполномоченные органы (например, налоговые, органы валютного контроля и т. п.) могут осуществляться оператором без согласия субъекта на основании п. 2 ч. 1 ст. 6 Закона № 152-ФЗ.
Кроме того, с 1 сентября 2022 г. приведенный пункт дополнен требованием о том, что заключаемый с гражданином договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством РФ, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
Следующее основание допускает возможность обрабатывать персональные данные физического лица без его согласия, если это необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта, когда получить его согласие невозможно (п. 6 ч. 1 ст. 6 Закона № 152-ФЗ). В данной ситуации оператор должен самостоятельно определить, наличествует или нет реальная угроза жизненно важным интересам человека и имеется ли объективная невозможность применения п. 1 ч. 1 ст. 6 Закона № 152-ФЗ (получение согласия). Примером такой обработки может считаться передача или распространение информации о малолетних детях, оказавшихся в трудной жизненной ситуации, потерявшихся гражданах.
Обработка персональных данных возможна без согласия субъекта, если она необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 Закона № 152-ФЗ).
По сути данное основание позволяет оператору оправдать осуществляемую им обработку персональных данных собственными законными правами и интересами или законными интересами и правами иных лиц либо публичными интересами. Но при этом он должен подтвердить, что подобная обработка не имеет отрицательных последствий для субъекта персональных данных. Заметим, что риск возможного несогласия с такой оценкой как со стороны субъекта, так и контролирующих органов несет оператор, поскольку бремя доказывания перечисленных условий возлагается на него.
Не требуется согласие лица, если обработка его персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации (СМИ) либо научной, литературной или иной творческой деятельности (п. 8 ч. 1 ст. 6 Закона № 152-ФЗ). Данное основание гарантирует профессиональным журналистам и СМИ реализовать предоставленное им право на свободу слова (ст. 29 Конституции РФ), право на свободу литературного, художественного, научного, технического и других видов творчества, преподавания (ст. 44 Конституции РФ), но только в той мере, в которой не нарушаются права и законные интересы субъектов персональных данных.
Закон допускает обработку персональных данных без согласия субъекта в статистических или иных исследовательских целях, при условии обязательного обезличивания этих данных (п. 9 ч. 1 ст. 6 Закона № 152-ФЗ). Под обезличиванием понимается действие, в результате которого становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных.
В силу прямого указания закона такая обработка не должна использоваться в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации (ст. 15 Закона № 152-ФЗ). Подчеркнем также, что это основание не распространяется на специальные категории персональных данных.
Приказом Роскомнадзора от 5 сентября 2013 г. № 996 утверждены требования и методы по обезличиванию персональных данных. Однако данный документ предназначен для операторов, являющихся государственными или муниципальными органами. Какой-либо иной нормативно-правовой акт, регламентирующий процедуру обезличивания персональных данных, в настоящее время отсутствует.
С 1 июля 2020 года Федеральным законом от 24 апреля 2020 г. № 123-ФЗ ч. 1 ст. 6 Закона № 152-ФЗ дополнена п. 9.1, в силу которого в отсутствие согласия возможна обработка личных данных физических лиц, полученных в результате обезличивания персональных данных, которая осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных данным законом.
Отметим, что Закон № 123-ФЗ создает правовую основу для разработки и внедрения технологий искусственного интеллекта и последующего возможного использования его результатов. Согласно его нормам с 1 июля 2020 года в Москве на пять лет установлен специальный экспериментальный режим, в рамках которого осуществляется нормативное правовое регулирование для создания технологий искусственного интеллекта. При этом под искусственным интеллектом понимается комплекс технологических решений, позволяющий имитировать когнитивные функции человека (включая самообучение и поиск решений без заранее заданного алгоритма) и получать при выполнении конкретных задач результаты, сопоставимые, как минимум, с результатами интеллектуальной деятельности человека. Комплекс технологических решений включает в себя информационно-коммуникационную инфраструктуру, программное обеспечение, процессы и сервисы по обработке данных и поиску решений (ст. 2 Закона № 123-ФЗ).
Целями установления такого режима являются обеспечение повышения качества жизни населения; повышение эффективности государственного или муниципального управления; повышение эффективности деятельности хозяйствующих субъектов в ходе внедрения технологий искусственного интеллекта; формирование комплексной системы регулирования общественных отношений, возникающих в связи с развитием и использованием технологий искусственного интеллекта, по результатам установления экспериментального правового режима (ч. 1 ст. 3 Закона № 123-ФЗ).
Безусловно, технологии искусственного интеллекта представляют потенциальную угрозу для неприкосновенности частной жизни, а зачастую сознательно проектируются для идентификации физических лиц. Поэтому разработчикам искусственного интеллекта важно не нарушать право граждан на защиту их персональных данных. Участники эксперимента несут ответственность за соблюдение прав субъектов персональных данных в соответствии с Законом № 152-ФЗ в течение всего срока проведения эксперимента и после прекращения их участия в эксперименте (ч. 6 ст. 4 Закона № 123-ФЗ).
И, наконец, последнее основание для обработки персональных данных без согласия субъекта касается случаев, когда эти данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом (п. 11 ч. 1 ст. 6 Закона № 152-ФЗ). Примерами требований законодательства являются положения, обязывающие граждан, претендующих на замещение должностей государственной или муниципальной службы, представлять работодателю сведения о своих доходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей (ст. 8 Федерального закона от 25 декабря 2008 г. № 273-ФЗ "О противодействии коррупции"); требования законодательства о банкротстве об опубликовании идентифицирующих сведений о должнике-гражданине (ст. 213.7 Федерального закона от 26 октября 2002 г. № 127-ФЗ "О несостоятельности (банкротстве)"), медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием Интернета, о своих медицинских работниках, уровне их образования, квалификации (п. 7 ч. 1 ст. 79 Федерального закона от 21 ноября 2011 г. № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации") и др.
В частности, применительно к медицинским работникам, Конституционный Суд Российской Федерации указал, что, реализуя право свободно распоряжаться своими способностями к труду, выбирать род деятельности и профессию (ч. 1 ст. 37 Конституции РФ), лицо тем самым выражает и свое согласие с установленными законодателем условиями и требованиями, обеспечивающими повышенную открытость сведений о деятельности и компетенции представителей отдельных профессий (Постановление КС РФ от 25 мая 2021 г. № 22-П).