Согласие – лишь одно из правовых оснований для обработки персональных данных (далее – ПД), оно не является единственным. Существуют и иные основания, при наличии которых обработка данных возможна без согласия. Они перечислены в ст. 6 Закона о персональных данных.
Так, при заключении гражданином с организацией – оператором ПД любого договора в своих интересах такая организация вправе обрабатывать его персональные данные. (Напомним: оператором ПД является организация, которая определяет цель обработки персональных данных и их состав, осуществляет обработку данных. А обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.) Например, если гражданин подписывает кредитный договор с банком, то банк вправе без его согласия обрабатывать персональные данные, необходимые для заключения и исполнения такого договора.
Также организация-оператор может исполнять полномочия и обязанности, возложенные на нее законодательством, без соответствующего согласия. Это является еще одним законным основанием обработки персональных данных без разрешения гражданина.
Итак, вы вправе самостоятельно принимать решение о предоставлении согласия. Оператор не может требовать его подписания в обязательном порядке. Если вы отказались дать согласие, то оператор вправе обрабатывать ваши персональные данные только при наличии иных оснований, определенных в Законе о персональных данных.
(В статье «Персональные данные: ответы на популярные вопросы» вы можете прочитать о том, кто и как вправе получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки.)
Что должно содержать согласие на обработку персональных данных?
Форму и содержание согласия определяет оператор ПД, исходя из конкретной ситуации. Он вправе самостоятельно установить цель и способы обработки данных, их объем, срок действия согласия и др. Так, указание паспортных данных и адреса гражданина в согласии не является обязательным.
Однако для некоторых ситуаций законом установлены более строгие требования к оформлению согласия. Например, обработка биометрических персональных данных (отпечатки пальцев, трехмерное изображение и др.) возможна только при наличии согласия гражданина в письменной форме. Такое согласие среди прочего должно содержать реквизиты его паспорта (ч.
4 ст. 9 Закона о персональных данных).
Еще пример: в согласии на обработку персональных данных, которые организация-оператор вправе не только обрабатывать, но и распространять, необходимо указывать контактные данные гражданина, а также иные сведения, перечень которых дан в законодательстве (Приказ Роскомнадзора от 24 февраля 2021 г. № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»).
(О даче согласия на обработку ПД, разрешенных для распространения, читайте в статье «Распространять персональные данные граждан по-старому больше не получится».)
Как нарушают права граждан и как их защитить?
Типичные нарушения прав субъектов ПД законодатель перечислил в ст. 13.11 КоАП РФ и установил за них административную ответственность. В частности, оператор может быть оштрафован за обработку персональных данных в случаях, которые не предусмотрены законодательством, а также за обработку данных, несовместимую с целью их сбора.
При таких нарушениях ему грозит штраф до 100 тыс. руб. За обработку данных без письменного согласия человека, когда оно необходимо по закону, оператор может быть оштрафован на сумму до 150 тыс.
руб.
Если вы считаете, что оператор ПД нарушает ваши права, можно обратиться с жалобой в Роскомнадзор или с иском в суд. В случае установления судом нарушения прав вы сможете рассчитывать на выплату оператором компенсации морального вреда.
Кроме того, с сентября 2021 г. эксперты Центра правовой помощи гражданам в цифровой среде (ЦППГ) бесплатно помогают пострадавшим от незаконного использования персональных данных. Они занимаются юридическим консультированием, подготовкой жалоб в госорганы, формированием исковых заявлений, представлением потерпевших в судах и др.
Телефон и почту для записи на прием можно найти в разделе «Контакты» на сайте ФГУП «Главный радиочастотный центр», структурным подразделением которого является ЦППГ.
(Как вычислить вину кредитной организации в разглашении персональных данных – читайте в статье «Битва за персональные данные». В случае если банк незаконно передал информацию о вас другому лицу, чтобы не тратить время на изучение законодательства или деньги на оплату работы юристов, с требованием о защите персональных данных можно обратиться в Роскомнадзор. Если нарушения будут обнаружены, то составлять исковое заявление, подавать его в суд и отстаивать ваши интересы будет именно Роскомнадзор, а не вы.
Читайте об этом в статье «Из банков утекают данные клиентов».)
Правда, что Роскомнадзор сможет проверить наличие согласия на обработку данных, если от гражданина поступит жалоба?
Роскомнадзор издал приказ 1 , который позволит ему проверять наличие согласия на обработку персональных данных, разрешенных лицом для их распространения, если поступит жалоба на неправомерные операции с ними. Приказ вступит в силу 1 марта 2022 г.
Операторы ПД будут получать согласия посредством использования информационной системы Роскомнадзора. Граждане смогут предоставить и отозвать согласие на информационном ресурсе оператора с использованием электронной подписи. После подписания человеком согласия Роскомнадзор получит сведения о даче согласия и целях обработки данных, об информационных ресурсах оператора, посредством которых будут обрабатываться ПД, списки данных, которые разрешено или запрещено обрабатывать, и перечень конкретных запретов.
При этом само согласие и персональные данные не будут переданы Роскомнадзору. Ведомство будет обладать обезличенной информацией о предоставленных и отозванных согласиях.
1 Приказ Роскомнадзора от 21 июня 2021 г. № 106 «Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором».