Реквизиты договоров это персональные данные

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

В п. 1 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 152‑ФЗ) предусмотрено, что персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Как видно из приведенного определения, закон не содержит исчерпывающего перечня сведений, которые входят в круг персональных данных. Соответственно, в каждом случае необходимо определить, может ли та или иная информация быть отнесена к конкретному лицу. Поможет в этом анализ судебной практики.

Судебная практика

Судебная практика

Некоторые особо восприимчивые граждане в такой ситуации могут вообще посчитать, что информация о наличии у них задолженности является оскорбительной и задевает их честь, достоинство и доброе имя. Однако порочащий характер сведений должен выражаться в оскорбительных высказываниях, а не в фиксации долга. Нарушение в данном случае состоит только в разглашении персональных данных (апелляционное определение Саратовского областного суда от 23.07.2019 по делу № 33-5366).

Здесь стоит отметить, что судебная практика по вопросу отнесения номеров квартир к числу персональных данных не является единообразной, есть примеры случаев, когда суды полагали возможным указание номеров квартир с информацией о наличии задолженности.

Судебная практика

Судебная практика

Профессию и образование, а также социальное положение в качестве персональных данных предлагает рассматривать Пермский краевой суд ¹. По нашему мнению, профессию и образование нельзя считать персданными, поскольку сами по себе они могут быть относимы к большому количеству людей.

Как нам представляется, те или иные разрозненные сведения, рассматриваемые отдельно,…

Что такое персональные данные?

Персональные данные (ПД) – это любая информация о человеке. ПД бывают трех видов: общие, специальные и биометрические.

1. Общие ПД

Это Ф.И.О., паспортные данные, СНИЛС, ИНН, дата и место рождения, e-mail, адрес, семейное, социальное и имущественное положение, место учебы и работы, образование, профессия, доходы и т.д.

С номером телефона сложнее. Сам по себе номер как набор цифр – это не ПД, поскольку он не может персонифицировать субъекта данных, он обезличен. Но ситуация меняется, когда помимо номера есть информация о человеке. В этом случае он может быть признан ПД. То есть записанный номер телефона без указания на человека, которому он принадлежит, не относится к персональным данным. Но если, например, на сайте вы нашли номер телефона и Ф.И.О. его владельца, он будет считаться ПД.

Не являются персональными данными: госномер транспортного средства, так как он относится не к человеку, а к автомобилю; лицевой счет ЖКХ, поскольку он относится к квартире.

Перечисленные выше ПД могут обрабатываться только с вашего согласия и лишь в некоторых случаях без него (об этом ниже).

2. Специальные ПД

Это данные о расовой и национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья, интимной жизни и т.д.

Обработка таких ПД не допускается, за исключением следующих случаев:

• вы дали письменное согласие на обработку, т.е. подписали документ, в котором выразили свое согласие;
• обработка в целях оказания медицинской помощи; при этом вам не могут отказать в медпомощи, если вы отказываетесь подписать согласие на обработку специальных ПД;
• обработка в целях страхования;
• обработка ПД госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности, а также иные исключения, предусмотренные ч. 2 ст. 10 Закона о персональных данных.

3. Биометрические ПД

Это данные о физиологических и биологических особенностях человека, которые позволяют установить его личность. К биометрическим ПД относятся: ДНК, голос, радужная оболочка глаза, отпечатки пальцев, изображение лица, рост, вес и т.д.

Такие ПД могут обрабатываться только с письменного согласия, за исключением случаев, когда обработка осуществляется госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности; а также в иных случаях, предусмотренных ч. 2 ст. 11 Закона о персональных данных.

Например, следуя в свой офис, вы проходите пункт охраны. Там вас просят приложить к сканеру палец, что позволяет службе охраны на компьютере видеть ваши ПД на основании взятого отпечатка. Так они могут установить вашу личность. Для использования отпечатка пальца охранная организация должна взять у вас письменное согласие на обработку биометрических ПД.

Что такое обработка персональных данных?

Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Примеры:

• работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
• работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
• продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
• покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.

Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.

Кто такой оператор персональных данных?

Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.

Примеры:

• работодатель, обрабатывающий ПД своих работников;
• продавец, обрабатывающий ПД клиентов-граждан;
• госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
• владельцы сайтов, собирающие ПД пользователей сайта.

Какие условия обязан соблюдать оператор при обработке персональных данных?

Главное условие – наличие вашего согласия. При этом в ст. 6 Закона о персональных данных предусмотрены случаи, когда оператор может обрабатывать ПД при отсутствии согласия:

• в целях, предусмотренных международным договором России, например договором, позволяющим выдавать преступников другой стране (экстрадиция);
• в целях, предусмотренных законами РФ, когда на оператора возложены определенные обязанности; например, работодатель обязан передать ПД в налоговые органы;
• в связи с вашим участием в суде; например, при подаче документов в суд вы должны указать свои Ф.И.О. и адрес;
• для исполнения судебного акт; например, суд по результатам рассмотрения дела выдает исполнительный документ, в котором указываются Ф.И.О., адрес, ИНН и иные данные должника;
• в целях получения госуслуг – в таких случаях мы всегда подписываем согласие на обработку ПД. В недавнем определении Верховный Суд РФ подтвердил, что отказ лица от подписания согласия не может являться основанием для отказа в предоставлении услуги органом власти¹;
• для исполнения договора, в котором вы являетесь стороной, выгодоприобретателем (например, в вашу пользу застраховано имущество) или поручителем.

Например, вы заключили с риелтором договор, согласно которому он ищет покупателя для вашей квартиры. Риелтору нужно знать ваши ПД: Ф.И.О., контактный телефон и e-mail. Так как он использует эти данные только для оказания услуг, ему не нужно ваше согласие на обработку ПД. Если же риелтор желает присылать вам рекламные материалы, которые, естественно, не связаны с оказанием услуг по заключенному договору, то он обязан будет получить ваше согласие на обработку ПД в рекламных целях;

• для защиты вашей жизни, здоровья или иных жизненно важных интересов, если получение от вас согласия невозможно; например, друг сообщает врачам ваши ПД, поскольку вы находитесь в бессознательном состоянии;
• для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей – при условии, что тем самым не нарушаются ваши права и свободы. Обычно данное исключение используется для оправдания пропускного режима на территории здания, в виде цели при этом указывают обеспечение безопасности;
• для осуществления профессиональной деятельности журналиста или СМИ либо научной, литературной или иной творческой деятельности, если при этом не нарушаются ваши права и законные интересы; например, у вас взяли интервью и опубликовали его, указав ваши Ф.И.О. и должность;
• в статистических или иных исследовательских целях – при условии обязательного обезличивания ПД. При этом собранные данные не могут быть использованы в рекламных и агитационных целях. Например, вы прошли опрос, а позже ответы были опубликованы без указания ваших ПД – сторонний читатель не сможет узнать, что ответы на вопросы дали именно вы;
• обработка общедоступных ПД. Например, вы опубликовали свои данные на сайте по поиску работы – они будут являться общедоступными, поскольку работодатели могут свободно просматривать и обрабатывать их для изучения вашей кандидатуры;
• обработка ПД, подлежащих опубликованию или обязательному раскрытию; например, чиновник раскрывает и публикует данные о своих доходах.

Что такое согласие на обработку персональных данных?

Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.

Согласие на обработку ПД должно быть оформлено:

• письменно, если того требует закон (см. выше);
• в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).

Пункты, которые обязательно должно содержать письменное согласие:

• Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
• название организации или Ф.И.О. и адрес оператора;
• цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
• перечень ПД, которые будет обрабатывать оператор;
• информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
• перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
• срок, на который выдано согласие;
• способ отзыва согласия;
• подпись.

Можно ли не давать согласие на обработку ПД?

Можно. Предоставление согласия – дело добровольное. Исключением являются те случаи, когда оператор может обрабатывать ПД без вашего согласия (см. выше).

Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

• Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
• Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.

С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

• Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.

  Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:

  • считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
  • считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.

Однако оба довода являются спорными.

Почему организация может требовать оформления согласия на обработку ПД?

Причин может быть несколько:

• оператор хочет получить возможность обрабатывать ПД в целях, не связанных с выполнением договора; самый распространенный случай – нужно согласие на рассылку рекламных материалов;
• оператор не понимает или не знает о случаях, в которых не требуется получение согласия;
• оператор хочет перестраховаться.

Может ли оператор передать кому-нибудь персональные данные?

Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.

Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.

Примеры, когда согласие не нужно:

• управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
• работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.

Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.

(Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? О том, как действовать в такой ситуации, читайте в статье «Битва за персональные данные».)

Какие персональные данные оператор собирает через сайт и зачем?

ПД, которые могут быть собраны оператором через сайт, условно можно разделить на две группы.

1. ПД, которые вы передаете сами, заполняя формы обратной связи на сайте: Ф.И.О., адрес, номер телефона, e-mail.

В этом случае объем переданных ПД вы можете определить сами. Согласие на обработку таких данных обычно можно предоставить путем:

• проставления галочки в специальном окне («Я даю свое согласите на обработку персональных данных» ☑);
• принятия условий публичной оферты, опубликованной на сайте; обычно оплата товара означает согласие с условиями.

2. ПД, которые оператор собирает без предоставления вами информации.

В основном это файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта (сведения о программном обеспечении, которым вы пользуетесь, IP вашего компьютера, информация о вашем браузере).

Ваше согласие на обработку этих ПД оператор получает, если вы остаетесь на сайте после того, как появилось всплывающее окно с информацией примерно следующего содержания: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта. Если вы против обработки ваших данных, незамедлительно покиньте сайт».

Владелец сайта вправе обрабатывать ваши ПД только в тех целях, которые были указаны при получении вашего согласия, чаще это направление вам рекламных материалов. Файлы куки обычно используются для сбора статистики и информации о ваших предпочтениях.

Законно ли направление мне рекламы без моего согласия?

Прежде чем направить вам рекламные материалы, оператор обязан взять у вас согласие:

• на получение рекламных материалов, т.е. вы должны разрешить ему высылать их;
• на обработку ПД в целях продвижения товаров, работ или услуг, т.е. вы должны разрешить ему обрабатывать ваши данные (Ф.И.О., номер телефона, e-mail) для получения рекламной рассылки.

Обычно мы не замечаем, как даем эти согласия. Например, в магазине вы заполняете анкету для получения бонусной карты, что влечет согласие на рекламную рассылку; на сайте при заполнении формы обратной связи или при оформлении заказа вы ставите галочку напротив текста, который выражает ваше согласие (☑).

Если вы не хотите сталкиваться со спамом, рекомендую внимательно следить за тем, что вы подписываете или оформляете на сайте.

(Подробнее об этом в статье «Клиент жалуется на рекламную рассылку – предприниматель платит».)

Как отказаться от назойливой рекламной рассылки?

Обычно в конце рекламного сообщения есть активная ссылка, которая позволяет отказаться от рассылки. Если это не помогло, вы должны обратиться к оператору, от которого получаете рекламу, с требованием прекратить обработку ПД в целях продвижения товаров, работ или услуг. Вы можете обратиться к нему лично, придя в офис, направить по почте письменное требование или через e-mail отправить электронный документ, подписанный усиленной квалифицированной подписью.

При оформлении отказа рекомендую указать свои контактные данные и четко сформулировать свое требование (отказ от получения рекламных материалов и от обработки ПД в целях продвижения товаров, работ, услуг). Тут же следует сослаться на ч. 2 ст. 15 Закона о персональных данных, в которой сказано, что по требования субъекта ПД оператор обязан немедленно прекратить обработку его данных.

Лучше направить письменное требование обычной почтой (ценным письмом с описью вложения). Почтовая квитанция и опись будут являться подтверждением факта обращения к оператору. Получив такое требование, он обязан будет прекратить обработку ПД.

Если вам направляют рекламу, несмотря на отказ от нее, вы можете обратиться:

• в территориальный орган Роскомнадзора с жалобой на действия оператора;
• в территориальный орган Федеральной антимонопольной службы с жалобой на действия предпринимателя, осуществляющего рассылку рекламных материалов без вашего согласия на их получение;
• в суд.

Какие права у меня есть при обработке моих персональных данных?

1. Право на получение у оператора информации, касающейся обработки ваших ПД.

Вы можете обратиться к оператору с требованием о предоставлении следующей информации:

• подтверждение факта обработки ваших ПД оператором – он должен подтвердить или опровергнуть информацию об этом;
• правовые основания и цели обработки ваших ПД – если вы дали свое согласие на обработку, то оператор должен сослаться на него. Если он вправе осуществлять обработку без вашего согласия, то должен сослаться на конкретное положение закона. Также оператор должен перечислить цели, для которых осуществляется обработка ПД;
• способы обработки ваших ПД – возможны два способа: автоматизированный – обработка с помощью средств вычислительной техники; без использования средств автоматизации – обработку осуществляет человек;
• наименование и место нахождения оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым эти данные могут быть раскрыты на основании договора с оператором или на основании федерального закона – здесь речь идет об органах госвласти, которым оператор передает ваши ПД, а также об иных третьих лицах, которым оператор передает ваши ПД на основании договора;
• перечень обрабатываемых ПД и источник их получения – оператор должен указать, какие именно ваши данные он обрабатывает и как их получил;
• сроки обработки и хранения ПД;
• порядок осуществления вами прав, предусмотренных Законом о персональных данных, – информация о том, каким образом вы можете реализовать свои права у данного оператора;
• о трансграничной передаче ПД – информация о том, передаются ли ваши ПД за границу;
• сведения о лице, осуществляющем обработку ваших ПД вместо оператора, – например, сторонняя организация вместо работодателя обрабатывает ПД работников для предоставления кадровых и бухгалтерских услуг;
• иные сведения, предусмотренные законодательством.

Право на получение такой информации не распространяется на случаи обработки ПД в целях обороны страны, безопасности государства, охраны правопорядка, в рамках законодательства о противодействии отмыванию доходов, полученных преступным путем, и т.д.

Как получить от оператора необходимую информацию?

Вы вправе обратиться к оператору лично, придя в офис. Можно направить запрос по почте в виде письменного документа или на e-mail в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.

Самый надежный способ обращения – направление по обычной почте ценного письма с описью вложения. Оставьте у себя почтовые квитанции и опись – так вы сможете подтвердить факт направления запроса оператору.

В запросе обязательно нужно указать:

• паспортные данные;
• если ваши ПД обрабатываются оператором на основании договора, то укажите дату его заключения и номер;
• если вы не заключали договор с оператором, укажите иные сведения, подтверждающие ваши взаимоотношения с ним; например, если вы купили товар на сайте оператора, можете сослаться на адрес сайта, номер вашего заказа и т.д.;
• иные сведения, подтверждающие факт обработки ваших ПД оператором; например, ссылка на электронное письмо с рекламными материалами;
• ваша подпись.

При личном обращении информация об обработке ПД должна быть предоставлена вам незамедлительно. Если запрос был направлен по почте, то ответ должен поступить в течение 30 дней с даты получения оператором запроса.

Повторно обратиться к оператору вы можете не ранее чем через 30 дней после первоначального обращения. Отправить второй запрос, не дожидаясь истечения 30-дневного срока, вы можете, только если оператор предоставил не всю информация, которую вы требовали. Но вы должны будете обосновать свое обращение. В случае несоблюдения этих условий оператор вправе отказать в выполнении повторного запроса.

2. Право на предъявление иных требований к оператору, обрабатывающему ваши ПД.

Вы можете требовать от оператора:

• уточнить ваши ПД;
• блокировать ПД – временно прекратить обработку данных. Например: вы обратились к оператору с требованием уточнить ПД и, пока вносятся изменения, заблокировать их, чтобы приостановить обработку неточных данных;
• уничтожить ПД. Например: вы просите оператора уничтожить паспортные данные, которые не нужны ему для направления вам рекламных материалов.

Такие требования можно предъявить, если ПД, которые обрабатывает оператор:

• неполные, например вместо Ф.И.О. указана только фамилия;
• устаревшие, например если вы поменяли паспорт;
• неточные, например ваша фамилия указана с ошибкой;
• получены незаконно;
• не являются необходимыми для заявленной цели обработки. Например: продавец обрабатывает ваши паспортные данные, хотя получал ПД для направления рекламных материалов, для чего ему достаточно знать ваши имя и e-mail или номер телефона.

Как обратиться к оператору с одним из требований?

Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении обращения рекомендую указать свои контактные данные и четко сформулировать свое требование (об уточнении, блокировании или уничтожении ПД). Тут же нужно сослаться на ч. 1 ст. 14 и ч. 3 ст. 20 Закона о персональных данных.

Отказать в выполнении требования оператор не может. Он обязан сделать это в течение 7 дней и уведомить об этом вас и тех, кому были переданы ваши ПД. Если оператор не выполнил ваши требования, имеет смысл обратиться в контролирующий орган – Роскомнадзор.

3. Право на отзыв согласия на обработку ПД.

После отзыва согласия оператор не может обрабатывать ваши ПД, за исключением случаев, когда обработка может быть продолжена по закону. Например: вы заключили с оператором договор оказания услуг и подписали согласие. После его отзыва оператор вправе продолжить обработку ваших ПД только в том объеме, который необходим для оказания вам услуг по договору.

Как отозвать согласие на обработку персональных данных?

Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении отзыва рекомендую указать свои контактные данные и четко сформулировать свое требование (отзыв ранее выданного согласия на обработку ПД). Сослаться нужно будет на ч. 2 ст. 9 и ч. 5 ст. 21 Закона о персональных данных.

Оператор не может вам отказать и должен будет прекратить обработку ПД в течение 30 дней с даты поступления отзыва.

4. Право принимать предусмотренные законом меры по защите своих прав.

Если вы считаете, что оператор:

• осуществляет обработку ваших ПД с нарушением требований закона, например обрабатывает биометрические данные без письменного согласия;
• иным образом нарушает ваши права, например игнорирует ваши требования об уничтожении ПД, отзыве согласия, отказе от обработки ПД в целях продвижения товаров, работ или услуг и т.д.

В таких случаях вы можете обратиться:

• в территориальный орган Роскомнадзора с жалобой на действия или бездействие оператора;
• в суд с требованием о восстановлении нарушенных прав, а также с требованием о взыскании убытков (причиненный вам имущественный вред) и компенсации морального вреда (причиненные нравственные страдания).

Вы можете обратиться за защитой своих прав в любой из этих органов. Однако наиболее быстрый и надежный способ – направление жалобы в территориальный орган Роскомнадзора. Это позволит сэкономить время и силы. При обращении в суд дело может рассматриваться очень долго, нужно будет посетить не одно судебное заседание, представить доказательства и т.д.

Подборка судебных решений за 2020 год: Статья 10 «Специальные категории персональных данных» Федерального закона «О персональных данных»«Среди оснований, при наличии которых не требуется согласие субъекта на обработку его персональных данных (п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных) предусмотрена обработка персональных данных для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также обработка персональных данных для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.»

Подборка судебных решений за 2020 год: Статья 13 «Права полиции» Федерального закона «О полиции»
(О.М. Кабанов)Дело о привлечении гражданки к административной ответственности за нарушение ст. 13 ФЗ «О полиции» в форме отказа предъявить документы, удостоверяющие ее личность, при проведении участковым уполномоченным проверки по заявлению о неправомерном использовании ее личных данных при заключении договора займа в микрофинансовой компании прекращено, так как материалы дела свидетельствуют об отсутствии обоснованных подозрений в причастности гражданки к возможному преступлению либо административному правонарушению; в розыске она не находилась, оснований для ее задержания по иным причинам не имелось. При таких обстоятельствах предъявленное сотрудником полиции требование о предъявлении документов, удостоверяющих личность, ее последующее задержание и доставление в отдел полиции являются незаконными.

Путеводитель по кадровым вопросам. Персональные данные работниковСогласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

Прежде всего, необходимо определить роль подписанных документов в обработке персональных данных подписанта.

С одной стороны, документ — это носитель персональных данных подписанта (как минимум, ФИО, должность, подпись). Поэтому рассматривать персональные данные в документе отдельно от судьбы, статуса, цели и природы этого документа — не представляется возможным. Все, что будет происходить с документом — будет происходить и с данными в нем. В то же время, с данными в документе не может произойти ничего, в отрыве от этого конкретного документа-носителя. Персональные данные в документе носят несамостоятельный, акцессорный, атрибутивный характер.

Они следуют судьбе документа, которая определяется его целью и содержанием, а не персональными данными в нем.

С другой стороны, документ — это волеизъявление представляемого лица, а подпись в нем — подтверждение воли этого лица, а вовсе не воли подписавшего документ субъекта персональных данных.

Итак, подпись на документах представляемого лица — это проявление воли этого лица, а никак не воли его представителя.

Из этого следует, что подписант не вправе блокировать своей волей волю того лица, от имени и во исполнение воли которого он поставил подпись на документе. Например, представитель не вправе реализовать свое право на удаление персональных данных с подписанных им документов, поскольку это приведет к их уничтожению и непригодности к использованию. Иными словами—уничтожит волеизъявление представляемого лица. Интерес представляемого лица был бы нарушен реализацией такого права субъектом персональных данных. Поэтому в отношении подписываемых документов воля и интересы представляемого превалируют над правами представителя как субъекта персональных данных.

Объяснение этому явлению можно также обнаружить в концепции «расширенного я» (self-extention concept, см. слайды 3-4 моего учебника по Теории права приватности http://privacylawtheory.com/), где профессиональная роль субъекта — это одна из разновидностей «производного я».

Персональные данные в документе это — не что иное как атрибуты роли человека в его профессиональной деятельности. [NB Не обязательно эти персональные данные должны быть идентичны тем, которые субъект использует для индивидуализации своего «основного я». Мы знаем немало примеров, когда люди творческих профессий используют для индивидуализации своей деятельности псевдоним или второе имя. Подпись Генерального директора на деловой документации часто может быть отличной от той, которую он ставит на личных документах.]

В рассматриваемом нами случае субъект исполняет роль представителя. Поэтому реализация им прав в области приватности ограничена рамками полномочий в этой роли. Представитель—действует от лица, в интересах и по поручению представляемого.

В настоящем рассуждении под представительством предлагаю понимать письменный или устный договор, стороной которого является субъект персональных данных. Это может быть договор поручения, выраженный в доверенности или приказе, договор с Генеральным директором, Главным бухгалтером, трудовой договор, договор корпоративного участия, акционерное соглашение или иной договор, согласно которому субъект обязан представлять интересы юридического лица (компании) перед определенным кругом третьих лиц, в том числе подписывать документы от лица представляемого (далее — «договор на представительство»).

Действия представителя влекут правовые последствия не для него самого, а для представляемого. В результате между представляемым и третьим лицом возникают правоотношения, являющиеся целью представительства. Но никакие ПРАВОотношения (права и обязанности) между представителем и этим третьим лицом не возникают. Между ними складываются лишь некие организационные отношения, не порождающие взаимных прав и обязанностей между ними.

Представитель вправе и обязан действовать от имени доверителя только в пределах данных ему полномочий. Полномочие – это субъективное право представителя выступать от чужого имени и совершать в отношении третьих лиц определенные юридические действия, порождающие правовые последствия для представляемого.

Таким образом, представительство складывается из: 1) правоотношения между представляемым лицом и представителем, 2) организационного отношения между представителем и третьими лицами (из числа лиц по договору на представительство), 3) правоотношения между представляемым лицом и третьим лицом.

Мы рассмотрим первые два и порассуждаем об обработке персональных данных в каждом из них в контексте подписания документов представителями.

Здесь представляемое лицо является оператором и обрабатывает персональные данные подписанта (в том числе, в форме передачи документа адресату) на основании договора на представительство, стороной которого он является. Очевидно, согласие на обработку от представителя не требуется и не будет надлежащим основанием для обработки его персональных данных.
Стороны договора на представительство состоят также в правоотношении по обработке персональных данных, которое является дополнительным, производным от правоотношения представительства.

Договором на представительство предполагается, что подписанные документы могут передаваться лишь тем лицам, перед которыми подписант представительствует. То есть круг таких третьих лиц ограничен рамками полномочий.

Раскрытие/передача документа должны определяться его целью и возможны лишь тем лицам, которым документ адресован или предназначен. Наличие персональных данных представителя в нем никак не влияет на возможность передачи документа тому кругу лиц, который обозначен или предполагается договором.

Для всех остальных третьих лиц и документ и, следовательно, персональные данные в нем — должны оставаться конфиденциальными, если законом или решением уполномоченного органа представляемого лица не предписана его публикация/распространение неограниченному кругу лиц: бухгалтерская отчетность, Устав, внутренние положения, публичные заявления и т.п.

Таким образом, документы носят ограниченно конфиденциальный характер, не связанный с наличием в них персональных данных подписантов, а определяемый исключительно предназначением и целью издания документов.

Адресат, получатель документа обрабатывает персональные данные в документе не как персональные данные субъекта (например, в целях его определения или идентификации), а как информацию, доказывающую полномочия на представление интересов компании. Он использует персональные данные в документе для сверки с информацией о представителе в публичных реестрах, приказах, решениях или доверенности, чтобы убедиться в достоверности волеизъявления представляемого лица.

Сам по себе подписант как субъект персональных данных не интересует получателя документа, кроме как посредник, средство взаимодействия с представляемым лицом.

Подписант здесь выступает не в роли самого себя, а в роли представителя/органа представляемого лица. Необходимо различать роли человека: когда тот действует от своего имени—это основная роль, когда действует от представляемого лица— это производная роль. И одна роль человека в одних правоотношениях не должна и не может смешиваться с его другой ролью в других правоотношениях. Это привело бы к смешению и разрушению структуры самих правоотношений.

Реализация личных прав информационной приватности в роли субъекта персональных данных невозможна, оставаясь в роли представителя внутри организационных отношений с третьим лицом. Потому что у представителя нет таких полномочий, и они не предполагаются договором на представительство или организационными отношениями с третьим лицом.

Возможно, между представителем и третьим лицом складываются производные от их организационных отношений—правоотношения по обработке персональных данных?

Давайте рассмотрим: получатель документа использует персональные данные в нем для проверки полномочий подписанта, затем хранит документ с этими данными, возможно, передает документ третьим лицам, архивирует и в, конце концов, уничтожает документ. А вместе с ним и персональные данные.

Казалось бы, персональные данные в документе есть, их обработка, предопределенная целью и судьбой документа, — также есть, следовательно, мы вынуждены презюмировать и наличие правоотношения по обработке персональных данных представителя третьим лицом?

Обратите внимание на тот факт, что намерений вступать в правоотношения по обработке персональных данных ни у одной из сторон нет, права субъекта персональных данных представитель в полной мере реализовать не может (например, удалить подпись из документа), поскольку выступает от лица представляемого, и реализует лишь те полномочия, которые ему передал представляемый. А в этот скоуп точно не входят личные права представителя на информационную приватность, реализуемые им в отношении третьего лица.

Действия в роли представителя ограничены правами, имеющимися у представляемого (нельзя передать прав больше, чем имеешь) и делегированными ему полномочиями. Такие действия порождают права и обязанности лишь у представляемого, но не у самого представителя. Поскольку у представляемого лица нет никаких правомочий в области приватности, следовательно, и у его представителя их возникнуть никак не может (за исключением ситуаций, когда представляемый – физическое лицо, но и в этом случае представитель будет реализовывать не свои личные права, а лишь права представляемого им физического лица как субъекта персональных данных).

Таким образом, действуя в роли представителя и находясь в организационных отношениях представительства с третьим лицом, представитель не может вдруг вернуться в роль своего «основного я» — субъекта персональных данных и потребовать реализации своих личных прав в области информационной приватности.

Чтобы их реализовать субъект, должен был бы действовать от себя лично, реализовывать свои права извне роли представителя, находясь вне отношений с третьим лицом.

Но, представитель не имеет личной правосубъектности в области информационной приватности, являясь одновременно производным: и от представляемого им лица, и от субъекта персональных данных. Представитель может реализовать по отношению к третьему лицу лишь те права, на которые он уполномочен. Не более того. Свои личные права на информационную приватность, в том числе права субъекта персональных данных, представитель реализовать в отношении третьего лица не может, поскольку обратное означало бы выход представителя за рамки своих полномочий и за рамки организационных отношений представительства.

Несмотря на то, что данные в документе — это персональные данные субъекта, а получатель документа выполняет их обработку, мы приходим к выводу, что правоотношение по обработке персональных данных между представителем и третьим лицом не возникает.

Признание за ролью представителя правосубъектности в сфере информационной приватности, при полном отсутствии у этой роли свободы действий в организационных отношениях — привело бы нас к парадоксу, при котором лицо, находясь в одной и той же роли – представителя, имело бы разный набор прав: в производном правоотношении по обработке персональных данных –прав больше, чем в основном организационном отношении представительства с третьим лицом.

Более того, эта презумпция поставила бы каждого получателя подписанного документа в роль оператора персональных данных, со всеми вытекающими обязанностями, включая, например, необходимость предоставлять доступ подписанту ко всем подписанным им документам; вносить изменения в данные подписанта в документе (например, при смене должности или фамилии); прекращать обработку данных подписанта в документе по его требованию; удалять данные подписанта из документа.

Очевидно, такое положение было бы противоестественным и, не только полностью блокировало бы деловой, межведомственный и международный документооборот, — но и создавало бы условия для злоупотребления правом и манипулирования со стороны подписанта любого документа.



Нужно ли при каждом оформлении договора подряда брать с физлица согласие на обработку персональных данных?

Добрый день.
Я ИП. Оформляю людей по договорам — подряда. Мне при оформлении надо каждый раз давать им на подпись заявление на обработку персональных данных или достаточно одного раза?
P.S. Просто предыдущий бухгалтер при каждом составлении договора это делала, если в год 6 договоров, значит столько и заявлений.