Обработка персональных данных: либерализация регулирования

Источник публикации - журнал "Корпоративный юрист". №9.2011.

Евгений Жилин, ассоциированный партнер Юридической фирмы «ЮСТ»

Василий Раудин, юрист Юридической фирмы «ЮСТ»

Необязательность получения согласия на обработку персональных данных

В первую очередь следует отметить изменение концепции регулирования отношений по обработке персональных данных. В ранее действовавшей редакции Закона № 152-ФЗ в качестве общего закреплялось правило, согласно которому обработка персональных данных может осуществляться оператором лишь с согласия субъекта таких данных (ч. 1 ст. 6 Закона № 152-ФЗ). Перечень случаев, когда такое согласие не требуется, устанавливался специальной нормой ч. 2 ст. 6 Закона № 152-ФЗ.

В новой редакции Закона № 152-ФЗ правило о необходимости получения согласия на обработку персональных данных от их субъекта отсутствует, а перечень случаев, когда персональные данные могут обрабатываться без такого согласия, существенно расширен. Так, согласие субъекта персональных данных на их обработку не требуется, если такая обработка необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей, а также при осуществлении правосудия, в ходе исполнительного производства, предоставления государственных или муниципальных услуг, обработки персональных данных, сделанных общедоступными их субъектом.

В то же время введены требования к согласию субъекта на обработку его персональных данных. Такое согласие должно быть конкретным, информированным и сознательным (ч. 1 ст. 9 Закона № 152-ФЗ). Кроме того, Законом № 152-ФЗ прямо закреплено разнообразие форм согласия на обработку персональных данных, что наряду с сохранением нормы о необходимости получения в некоторых случаях согласия субъекта персональных данных в письменной форме (ч. 4 ст. 9 Закона № 152-ФЗ) подтверждает специальный характер правила о письменном согласии. По общему правилу согласие на обработку персональных данных может быть дано в любой форме, позволяющей подтвердить факт его получения.

Новая редакция Закона № 152-ФЗ не содержит примеров иных форм согласия на обработку персональных данных, ограничиваясь формулировкой «в любой позволяющей подтвердить факт его получения форме». На практике согласие на обработку персональных данных часто дается в электронной форме, что является обязательным условием заключения сделок в сети Интернет, где оператором является владелец сайта, специализирующегося на продаже товаров, оказании услуг и т. д.

Отзыв согласия на обработку персональных данных

Существенно изменилось регулирование отношений, связанных с отзывом согласия на обработку персональных данных. В этой связи предусмотрены следующие нововведения:

• ч. 2 ст. 9 Закона № 152-ФЗ закреплена норма о том, что в ряде случаев оператор вправе продолжать обработку персональных данных даже в случае отзыва их субъектом своего согласия на такую обработку. К ним относятся случаи, при которых обработка персональных данных в принципе не требует соответствующего согласия, а также некоторые случаи обработки специальных (ч. 2 ст. 10 Закона № 152-ФЗ) и биометрических персональных данных (ч. 2 ст. 11 Закона № 152-ФЗ);
• срок, в течение которого оператор обязан уничтожить персональные данные при отзыве согласия на их обработку, увеличен до 30 дней (ч. 5 ст. 21 Закона № 152-ФЗ);
• указанный срок может быть продлен до шести месяцев в случае, если возможность уничтожения персональных данных в 30-дневный срок отсутствует (в подобных случаях в силу ч. 6 ст. 21 Закона № 152-ФЗ необходимо блокирование данных).

Передача прав и обязанностей оператора и субъекта персональных данных третьим лицам

Оператор персональных данных может получить персональные данные не от их субъекта в тех случаях, когда его согласие на обработку таких данных не требуется (ч. 8 ст. 9 Закона № 152-ФЗ).

Важные изменения затронули правила, предоставляющие сторонам отношений по обработке персональных данных (их субъекту и оператору) возможность передавать свои права и обязанности третьим лицам.

Так, расширен перечень существенных условий соответствующего договора, предусмотрены обязанности сторон по договору, а также распределена ответственность между ними: лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором, который, в свою очередь, несет ответственность перед субъектом персональных данных за действия указанного лица. Кроме того, лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на их обработку.

В свою очередь, субъекты персональных данных получили возможность осуществлять свои права через представителя по доверенности. Ранее действовавшая редакция Закона № 152-ФЗ предусматривала такую возможность лишь в отношении законного представителя. Теперь представитель субъекта персональных данных может:

• давать согласие на обработку персональных данных субъекта (ч. 1 ст. 9 Закона № 152-ФЗ);
• направлять запросы и получать сведения об обработке персональных данных субъекта оператором (ч. 3 ст. 14, ч. 1 ст. 20 Закона № 152-ФЗ);
• представлять оператору сведения для уточнения персональных данных (ч. 2 ст. 21 Закона № 152-ФЗ);
• получать от оператора уведомления об устранении допущенных при обработке персональных данных доверителя нарушений или об уничтожении персональных данных (ч. 3 ст. 21 Закона № 152-ФЗ).

Обеспечение безопасности при обработке персональных данных

Частью 3 ст. 14 Закона № 152-ФЗ установлены требования к запросу субъекта персональных данных, направляемому оператору, который осуществляет их обработку. Так, указанный запрос должен содержать следующие сведения:

• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
• сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата его заключения, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
• подпись субъекта персональных данных или его представителя.

Расширен перечень случаев, в которых право субъекта персональных данных на доступ к ним может быть ограничено в соответствии с федеральными законами (ч. 8 ст. 14 Закона № 152-ФЗ) <...>

Продолжение - в печатной версии журнала "Корпоративный юрист". №9. 2011.