1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.
4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
Комментарий к ст. 9 Закона о персональных данных
1. Комментируемая статья определяет порядок, условия и основания получения согласия субъекта персональных данных на их обработку. Законодатель подчеркивает, что в основу принятия субъектом персональных данных решения о предоставлении их к обработке положен гражданско-правовой принцип автономии воли (см. п.1 ст.9 ГК РФ). Последний подразумевает свободное и самостоятельное принятие решения, основанного исключительно на внутреннем убеждении субъекта, определяющего характер и содержание собственных действий. Никто не вправе препятствовать субъекту осуществлять имеющееся у него право или принуждать его к его реализации, за исключением случаев, когда законом предусмотрено обязательное предоставление персональных данных к обработке (см. п.2 комментируемой статьи).
Согласие субъекта персональных данных на их обработку подразумевает не только свободное принятие решения на их передачу, но по смыслу буквального толкования положений рассматриваемой статьи и свободное выражение своей воли. Волеизъявление — важный элемент согласия на обработку персональных данных, с которым, как правило, связываются юридические последствия. Анализ настоящего Закона позволяет отметить, что внутренняя воля при передаче персональных данных к обработке может выражаться следующими способами:
- прямой (непосредственный) — совершается в устной или письменной форме;
- косвенный, который имеет место в случаях, когда субъект, намеревающийся передать персональные данные, совершает требующиеся от него действия без предварительного уведомления оператора о своем решении.
Таким образом, субъект персональных данных свободен в выборе вариантов своего поведения, формы и целей реализации предоставленного ему права в пределах, предусмотренных действующим законодательством. Принимая самостоятельно решение, субъект персональных данных не только реализует предоставленное ему право выбора, но и одновременно приобретает риск от последствий своего решения.
Отказ субъекта персональных данных от ранее принятого решения на их обработку выступает в качестве гарантии стабильности принадлежащего лицу права. Отказ субъекта персональных данных действовать определенным образом в пределах субъективного права не влечет за собой его прекращение или ограничение. Совершение действий, от которых лицо воздерживается, остается дозволенным.
Следует отметить, что настоящим Законом не предусмотрено, каким образом и в какой форме подлежит осуществлению отзыв согласия на обработку персональных данных. Предположительно отзыв согласия должен соответствовать принятому ранее решению на обработку персональных данных, т.е. если согласие на обработку было предоставлено в письменном виде, то отзыв принятого решения также должен быть осуществлен письменно.
2. Частью второй комментируемой статьи законодатель определяет границы свободы воли субъекта персональных данных, определяя основания их обязательного предоставления к обработке. Реализация последних считается допустимым при одновременном соблюдении ряда условий. Предоставление субъектом персональных данных конфиденциальных сведений к обработке обязательно в случаях, если это:
1) предусмотрено настоящим Законом или иными федеральными законами;
2) осуществляется в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Декларируемое ограничение свободного использования собственных персональных данных в полном объеме основывается на положении п.3 ст.55 Конституции РФ и соответствует общепринятым принципам и нормам международного права, в частности п.2 ст.29 Всеобщей декларации прав человека, п.3 ст.12, п.3 ст.19 Международного пакта о гражданских и политических правах, п.2 ст.10 и п.2 ст.11 Европейской конвенции о защите прав человека и основных свобод.
Анализ действующего законодательства позволяет выделить следующие случаи обязательного предоставления персональных данных к обработке:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности;
8) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;
9) обработка персональных данных необходима в связи с осуществлением правосудия;
10) обработка персональных данных осуществляется в соответствии с законодательством РФ о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ;
11) обработка персональных данных при осуществлении первичного воинского учета. Следует отметить, что представленный перечень является примерным и может быть.
- расширен федеральным законом.
3. Частью третьей комментируемой статьи фактически устанавливается презумпция запрета на действия с персональными данными без согласия субъекта персональных данных. Вместе с тем презумпция запрета, распространяемая на категории персональных данных, выходящих за пределы понятия частной жизни, предоставляет субъекту персональных данных неограниченную возможность действовать в своекорыстных интересах. При этом в целях обеспечения защиты прав граждан, а также устранения неоправданных затруднений законного использования персональных данных было бы целесообразно закрепить презумпцию согласия гражданина на использование его персональных данных государственными органами при осуществлении своих полномочий. Распространение презумпции согласия возможно также на случаи, когда использование персональных данных в соответствии с законом является необходимым условием заключения договора, а также совершения иных юридически значимых действий.
Законодатель возлагает бремя доказывания получения согласия субъекта персональных данных на их обработку на оператора. По смыслу рассматриваемого документа доказательства законности и обоснованности деятельности оператора должны быть представлены субъекту персональных данных, если последний считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, или персональные данные были получены не от субъекта персональных данных и (или) уполномоченный орган по защите прав субъектов персональных данных в случаях осуществления последним контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона. В процессе доказывания оснований получения персональных данных к обработке оператор может использовать любые доказательства или их совокупность, допустимую действующим законодательством, в частности, это могут быть свидетельские показания, документальные материалы, заключения специалистов и т.п.
4. В случаях обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), или трансграничной передачи персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, законодатель допускает работу с конфиденциальными сведениями только с письменного согласия субъекта персональных данных. По смыслу буквального толкования рассматриваемой нормы перечень ситуаций, с которыми связано получение обязательного письменного согласия субъекта персональных данных на их обработку, предусматривается исключительно настоящим Законом и является исчерпывающим.
Письменное согласие на обработку персональных данных включает в себя все те сведения, которые позволяют субъекту персональных данных контролировать обработку его данных.
Декларируя обязанность оператора на получение письменного согласия субъекта персональных данных на их обработку в указанных случаях, законодатель вместе с тем не предусматривает обязательных требований относительно формы последнего, устанавливая императивные требования лишь в части, касающейся его содержания. Законодательный отказ от разработки стандартизированного бланка во многом обусловлен областью общественных отношений, в которой фигурируют обозначенные группы персональных данных и применительно к которым установлены индивидуальные требования к форме составляемых и используемых документов. В частности, в качестве письменного согласия субъекта персональных данных на их обработку могут расцениваться: заявление о приеме на работу; обращения в органы социальной защиты населения с заявлением об отказе от социального пакета и заменой его денежной компенсацией; заявление в банк или иную кредитную организацию о предоставлении кредита; предоставление налоговой декларации; заявление лица о его регистрации по месту проживания или месту жительства и т.п.
5. Согласно ст.29 ГК РФ недееспособным признается гражданин, который вследствие психического расстройства не может понимать значения своих действий или руководить ими. Признание гражданина недееспособным осуществляется судом в порядке, установленном гражданским процессуальным законодательством. В целях обеспечения прав и законных интересов недееспособных вводится институт опеки. Опекуны являются представителями подопечных в силу закона и совершают от их имени и в их интересах все необходимые действия. Обязанности по опеке исполняются безвозмездно.
Следует отметить, что в части, касающейся обработки персональных данных, законодатель предусматривает возможность представления интересов исключительно недееспособных граждан, совершенно упуская из виду ограниченно дееспособных и лиц, не достигших совершеннолетия. По смыслу действующего законодательства защита прав и законных интересов указанных категорий граждан осуществляется их родителями и попечителями, выступающими в роли законных представителей последних.
6. Законодатель предусматривает, что защиту прав и интересов умершего субъекта персональных данных осуществляют его наследники. Эти правомочия наследников сроком не ограничиваются.