Как работать с персональными данными?
Оператор, обрабатывающий персональные данные, обязан их защищать и использовать только разрешенными способами, т.к. эти данные конфиденциальны (ст. 7 Закона "О персональных данных").
Поэтому при работе с персданными у оператора есть такие обязанности:
- предварительно сообщать о намерении обрабатывать данные в Роскомнадзор (если требуется),
- соблюдать принципы обработки,
- реализовывать условия обработки,
- исполнять ряд обязанностей при сборе данных,
- совершать обязательные действия в процессе работы,
- реализовывать меры по защите,
- принимать другие меры, которые нужны для выполнения Закона "О персональных данных",
- обеспечивать гражданину доступ к его персональным данным,
- взаимодействовать с Роскомнадзором.
Остановимся на каждом пункте этого списка подробно.
Предварительное уведомление Роскомнадзора
По общему правилу, перед началом обработки персональных данных (ПД) оператору надо уведомить об этом Роскомнадзор. Уведомление направляют в виде обычного или электронного документа. В нем надо привести сведения, которые перечислены в ч. 3 ст. 22 Закона "О персональных данных" (далее - Закон).
На сегодняшний день действуют Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных.., утвержденные Приказом Роскомнадзора от 30.05.2017 N 94. При составлении уведомления надо руководствоваться этим актом. Так, в нем есть рекомендованная «бумажная» форма уведомления (приложение N 1). Электронную форму и порядок ее заполнения смотрите на Портале персональных данных Роскомнадзора - https://pd.rkn.gov.ru/
Учтите: иногда направлять уведомление не нужно. Такие ситуации, когда обрабатывать данные разрешается без предварительного сообщения в Службу, перечислены в ч. 2 ст. 22 Закона. Их перечень закрытый. Так что если ваш случай не указан в этой части статьи Закона, направляйте уведомление в Роскомнадзор.
После получения уведомления Служба вносит сведения в Реестр. На это у нее есть 30 дней, которые считают с даты поступления уведомления.
Принципы обработки ПД
Они закреплены в ст. 5 Закона и актуальны для всех операторов. Назовем некоторые из них:
- обработку ПД надо ограничивать конкретными и законными целями, которые определены заранее,
- нельзя обрабатывать данные, если это несовместимо с целями их сбора,
- при обработке надо обеспечить точность ПД, их достаточность, а в ряде случаев – еще и актуальность по отношению к целям обработки,
- хранить данные надо не дольше, чем требуют цели их обработки (учтите, что срок хранения ПД может быть прописан в законе или договоре, по которому гражданин выступает стороной, выгодоприобретателем или поручителем),
- персональные данные надо уничтожить или обезличить, если цели их обработки достигнуты.
Условия обработки ПД
Во-первых, оператор может обрабатывать данные только в случаях, когда это необходимо (ст. 6 Закона).
Законные основания для обработки ПД содержатся в ч. 1 ст. 6 Закона. Так, персональные данные можно обрабатывать, например, когда:
- человек дал на это согласие,
- обработка нужна для исполнения договора, стороной, или выгодоприобретателем, или поручителем по которому является гражданин,
- обработка требуется для заключения договора по инициативе гражданина или договора, по которому он станет выгодоприобретателем или поручителем,
- обработка данных нужна для осуществления прав оператора, других граждан, индивидуальных предпринимателей (далее – ИП), организаций.
Во-вторых, оператор может поручить обработку ПД другому лицу, например, на основании договора. Для этой ситуации Закон устанавливает целый ряд требований.
В-третьих, ПД считаются конфиденциальной информацией. По общему правилу, оператор не сообщает их посторонним и не распространяет никак иначе, кроме как по согласию человека (ст. 7 Закона).
В-четвертых, есть категория ПД, которые человек разрешил распространять. Это означает, что доступ к его данным будет иметь неограниченный круг лиц.
На распространение данных недостаточно «обычного» согласия на их обработку. Оператор, желающий распространять персональные данные, должен дополнительно заручиться «специальным» согласием на обработку (ст. 10.1 Закона). Мы обращаем ваше внимание на согласие на распространение персданных потому, что такое "специальное" согласие требует более формального подхода и серьезного оформления, чем типовое согласие на обработку персданных.
Таблица 2
Сведения, которые должны содержаться в согласии субъекта персональных данных на обработку информации
№ п/п |
Сведения |
1 |
Фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе |
2 |
Фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных) |
3 |
Наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных |
4 |
Цель обработки персональных данных |
5 |
Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных |
6 |
Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу |
7 |
Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных |
8 |
Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом |
9 |
Подпись субъекта персональных данных |
Как получить «обычное» согласие на обработку ПД
Дать его может сам гражданин или его представитель.
По общему правилу, форма согласия – любая, но она должна позволять подтвердить факт его получения оператором. Кстати, в случае спора именно оператор обязан доказать, что гражданин давал согласие на обработку ПД.
В случаях, которые прямо прописаны в законе, понадобится письменное согласие человека. Так, оно нужно для обработки биометрических данных и специальных категорий ПД (ч. 2 ст. 10, ч. 2 ст. 11 Закона).
Письменное согласие – это бумажный документ с собственноручной подписью гражданина или электронный документ с электронной подписью. Сведения, которые должны быть в письменном согласии, перечислены в ч. 4 ст. 9 Закона.
Важно! Человек в любое время может отозвать свое согласие. В таком случае обработку его данных надо прекратить. Но если есть основания, чтобы продолжать использовать их без согласия гражданина, оператор вправе продолжить их обработку (ст. 9 Закона). Это мы подробнее объясним ниже.
Как получить «специальное» согласие на распространение ПД
Как мы уже отметили, «специальное» согласие на обработку ПД с целью распространения, гражданин дает отдельно от «обычного» согласия на обработку (ст. 10.1 Закона).
Требования к содержанию «специального» согласия на обработку с целью распространения утверждены Приказом Роскомнадзора от 24.02.2021 N 18. Человек может дать его непосредственно оператору или через инфсистему Роскомнадзора. Правила ее использования смотрите в Приказе Роскомнадзора от 21.06.2021 N 106.
Если из согласия неясно, что человек одобрил распространение его персональных данных, оператор обрабатывает их, но не распространяет.
Важно! Молчание или бездействие гражданина нельзя считать согласием на распространение его ПД ни при каких обстоятельствах.
В «специальном» согласии человек имеет право установить:
- запреты на передачу данных неограниченному кругу лиц,
- запреты на обработку или условия обработки данных неограниченным кругом лиц.
Правда, эти ограничения не могут касаться доступа к ПД. В таких случаях оператор обрабатывает данные на указанных условиях и ограничениях.
Какие обязанности оператор выполняет, собирая ПД?
Оператор должен:
- предоставить гражданину по его просьбе информацию, которая касается обработки его ПД (мы детально разберем ниже, как правильно и вовремя обеспечить доступ к таким сведениям),
- предупредить человека, который отказывается дать свои ПД или не соглашается на их обработку, о последствиях такого отказа (это актуально только для ситуаций, когда получить от гражданина данные или согласие обрабатывать их обязательно в силу закона).
Еще одна обязанность есть у оператора, который получил данные гражданина не от него самого, а от другого источника. В таком случае оператор должен сообщить человеку, чьи данные намерен обрабатывать, ряд сведений. Среди них - перечень данных, цели их обработки, их предполагаемые пользователи и т.д.
Обратите внимание: в некоторых случаях, которые перечислены в ч. 4 ст. 18 Закона, предоставлять человеку такую информацию не нужно. Например, когда оператор получил ПД на основании федерального закона. Или когда они стали известны ему в связи с исполнением договора, по которому стороной, выгодоприобретателем или поручителем является гражданин.
Какие обязанности оператор выполняет в процессе работы с ПД?
Обязанности оператора - блокировать, уточнять, прекращать обработку и уничтожать персональные данные. Подробно о том, какие из этих действий, в какой срок и при каких условиях оператор должен совершать, говорится в ст. 21 Закона. Отметим основные моменты.
Так, оператор может выяснить, что данные о человеке неточные, неполные или неактуальные. В таком случае оператор блокирует их, если это не нарушает ничьи права, и проводит проверку. Если недостатки данных подтвердились, у оператора есть 7 рабочих дней для их уточнения. Потом блокировка снимается (ч. ч. 1, 2 ст. 21 Закона).
Другой вариант действий – когда оператору стало известно о неправомерной обработке данных гражданина. В такой ситуации после их блокировки оператор проводит проверку, и если нарушение подтвердится, в течение 3 рабочих дней прекращает их обработку. Если у оператора не получится дальше законно обрабатывать данные человека, их придется уничтожить в срок 10 рабочих дней. Если это невозможно, оператор блокирует данные и обеспечивает их уничтожение в течение 6 месяцев (ч. ч. 1, 3, 6 ст. 21 Закона).
Важно! Оператор должен уведомить об устранении нарушений в работе с ПД или об уничтожении данных гражданина и Роскомнадзор, если запрос насчет неправомерной обработки данных поступил от него или через него.
В ряде случаев оператор должен прекратить обработку ПД и уничтожить их. Например, когда цели обработки достигнуты, или когда человек отозвал согласие на обработку своих данных. Совершить эти действия оператор должен в течение 30 дней. Это общие правила, из которых есть исключения (ч. ч. 4, 5 ст. 21 Закона).
С 01 сентября 2022 года у оператора появилась обязанность прекратить обработку персональных данных, когда с таким требованием обратится сам гражданин (ч. 5.1 ст. 21 Закона). Это надо сделать в течение 10 рабочих дней (вариант – в течение 15-ти, если оператор продлил срок с предварительным уведомлением).
Правда, в некоторых ситуациях оператор может продолжить работать с ПД человека, который потребовал прекратить обрабатывать их. Это законно в случаях, когда обработка данных допускается без согласия гражданина. Их подробный перечень смотрите в пунктах 2 - 11 ч. 1 ст. 6, ч. 2 ст.10 и ч. 2 ст. 11 Закона.
Человек, который разрешил оператору распространять персональные данные, может в любое время отозвать свое согласие на это. Тогда оператор должен прекратить передачу его ПД (распространение, предоставление, доступ). Сделать это нужно с момента, когда оператор получил требование (ч. ч. 12, 13 ст. 10.1 Закона).
Что оператор должен делать для защиты персональных данных?
Закон возлагает на него обязанность принимать конкретные меры для защиты ПД: правовые, организационные и технические. Они должны ограждать данные от неправомерных действий. Например, от случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления и распространения (ст. 19 Закона).
В частности, оператор:
- выясняет, какие угрозы безопасности существуют при обработке ПД в информационных системах,
- применяет средства защиты информации, которые прошли процедуру оценки соответствия,
- ведет учет машинных носителей ПД,
- обнаруживает факты несанкционированного доступа к данным и принимает необходимые меры на этот счет,
- устанавливает правила доступа к данным, которые обрабатываются в информационной системе, а также регистрирует и учитывает все действия, которые совершаются в ней с данными.
Реализуя меры по защите данных в информационной системе, оператору надо ориентироваться на следующие акты:
- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства РФ от 01.11.2012 N 1119,
- Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утвержденные Постановлением Правительства РФ от 06.07.2008 N 512,
- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные Приказом ФСТЭК России от 18.02.2013 N 21.
Для операторов, которые используют средства криптографической защиты информации, также актуален Приказ ФСБ России от 10.07.2014 N 378. Им утверждены Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.
Меры по обеспечению безопасности ПД, которые оператор обрабатывает без использования средств автоматизации, смотрите в Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (оно утверждено Постановлением Правительства РФ от 15.09.2008 N 687).
С 01 сентября 2022 года у оператора есть еще обязанности по защите ПД:
- обеспечивать взаимодействие с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ,
- информировать ФСБ России о компьютерных инцидентах, которые привели к незаконной передаче данных.
Какие еще меры оператор предпринимает?
Их состав и полный перечень оператор определяет по своему усмотрению. А вот примерный список мер приведен в ч. 1 ст. 18.1 Закона.
Так, оператор-компания назначает лицо, ответственное за организацию обработки ПД, и издает ряд документов, которые касаются работы с ними. Это:
- документы, которые определяют политику оператора в отношении обработки ПД,
- локальные акты по вопросам обработки ПД,
- локальные акты про процедуры, которые направлены на предотвращение, выявление и устранение последствий нарушений законодательства.
К документу про политику в отношении обработки данных и к сведениям о требованиях к их защите, которые реализует оператор, он обеспечивает неограниченный доступ. Если оператор собирает данные, используя информационно-телекоммуникационные сети (например, интернет), он публикует этот документ и сведения там. А с 01 сентября 2022 года – дополнительно на своем сайте.
Обратите внимание, что при составлении документа, который определяет политику оператора в отношении обработки ПД, оператору лучше ориентироваться на Рекомендации Роскомнадзора, размещенные на его сайте. Познакомиться с документом можно, перейдя по ссылке https://rkn.gov.ru/personal-data/p908/?utm_source=yandex.ru&utm_medium=organic&utm_campaign=yandex.ru&utm_referrer=yandex.ru
Как обеспечить гражданину доступ к его данным?
Гражданин, чьи ПД обрабатывает оператор, имеет право получить информацию об этом, о самой обработке (например, ее правовые основания, цели, способы, сроки), а также возможность ознакомиться с данными.
Все это делается по запросу, который человек направляет письменно или в электронной форме. В запросе надо указать сведения, перечисленные в ч. 3 ст. 14 Закона, в том числе паспортные данные заявителя.
Оператор выполняет запрос в течение 10 рабочих дней (с 01 сентября 2022 года этот срок можно увеличить на 5 рабочих дней, предварительно известив гражданина). Столько же дается оператору, чтобы направить человеку отказ в предоставлении сведений или возможности ознакомиться с ПД с указанием его причин (ч. 2 ст. 20 Закона). За ознакомление с данными брать деньги с человека нельзя.
Если оператор предоставил всю запрошенную информацию в полном объеме, подать повторный запрос человек может только через 30 дней после первого обращения.
Важно! Есть случаи, когда человеку могут ограничить доступ к его персональным данным: они перечислены в ч. 8 ст. 14 Закона. Это возможно, например, если такой доступ нарушает права и законные интересы других граждан, ИП, компаний.
Как оператор взаимодействует с Роскомнадзором?
О некоторых способах контакта со Службой (например, когда оператор уведомляет ее о намерении осуществлять обработку ПД), мы уже рассказали. Остановимся на других вариантах взаимодействия оператора и Роскомнадзора.
По запросу последнего оператор должен:
- предоставить документы, которые относятся к работе с данными, о которых мы говорили выше (это документы, которые определяют политику оператора в отношении обработки ПД, и локальные акты по соответствующим вопросам),
- подтвердить, что он соблюдает меры по выполнению обязанностей, прописанных в Законе (ч. 4 ст. 18.1 Закона),
- сообщить другую необходимую информацию.
С 01 сентября 2022 года оператору дается на ответ 10 рабочих дней. Этот срок можно увеличить, но не больше чем на 5 рабочих дней, предварительно сообщив об этом Роскомнадзору (ч. 4 ст. 20 Закона).
С указанной даты оператор должен сообщать в Роскомнадзор обо всех инцидентах, которые связаны с неправомерной или случайной передачей данных (ч. 3.1 ст. 21 Закона). На это у оператора есть 24 часа, которые считают с момента, когда инцидент выявили. А в течение 72 часов оператор обязан предоставить Службе сведения о результатах внутреннего расследования инцидента и о лицах, виновных в нем (при наличии).
Какая ответственность существует за нарушение правил работы с ПД?
Ответственность за нарушения в сфере песрональных данных установлена несколькими кодексами и законами.
Административный штраф за персональные данные
Для операторов актуальна, прежде всего, административная ответственность. Так, основные нарушения в области работы с данными перечислены в ст. 13.11 КоАП РФ. За их совершение обычно назначают штраф. Его размер зависит от вида нарушения, а также от того, кто его совершил: гражданин, ИП, компания, должностное лицо.
За нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предусмотрена ответственность в виде предупреждения или штрафа. Штрафы устанавливаются в следующих размерах: для граждан от 2000 до 6000 руб.; для должностных лиц – от 10 000 до 20 000 руб.; для юридических лиц – от 60 000 до 100 000 руб. (ст. 13.11 КоАП РФ).
Возмещение убытков и морального вреда из-за разглашения персональных данных
Кроме того, сам субъект персональных данных, которому незаконными действиями оператора персональных данных, связанными с их распространением, причинен вред, вправе потребовать компенсации морального вреда или полного возмещения убытков (ст. 11, 12, 15, 152, гл. 59 ГК РФ).
Также гражданин, правила обработки данных которого нарушил оператор, может рассчитывать на возмещение имущественного (материального) вреда, убытков и морального вреда. На это прямо указано в ст. 24 Закона. Вопросы гражданской ответственности регулирует Гражданский кодекс РФ.
Материальная ответственность сотрудника, разгласившего персональные данные
Специальные правила об ответственности за нарушения при обработке и защите ПД работников предусмотрены в Трудовом кодексе РФ (ст. 90).
Рассмотрим вероятную ситуацию. Предположим, что кадровик организации разгласил персональные данные работника и работник, выяснивший этот факт, взыскал с организации возмещение морального вреда. В таком случае виновный в разглашении данных кадровик причинил ущерб организации (сумма возмещения взыскана именно из-за него). Поэтому организация, в свою очередь, может привлечь кадровика к материальной ответственности: потребовать с него возмещения ущерба.
Причем возможна полная материальная ответственность, даже работника, с которым не заключался договор о полной материальной ответственности. Такую суровую ответственность за разглашение любой охраняемой законом тайны предусмотрела ст. 243 Трудового кодекса РФ.
Уголовная ответственность за нарушения в сфере персональных данных
Посмотрим, когда допустима уголовная ответственность.
Примеры уголовного наказания за нарушения в сфере персональных данных:
- ч. 2 ст.173.2 Уголовного кодекса РФ - за использование персональных данных, полученных незаконным путем, предусмотрен штраф до 500 000 руб. и даже лишение свободы до 3-х лет;
- ч. 1 ст. ст. 272 УК РФ - за неправомерный доступ к персональным данным, которые повлекли уночтожение, модификацию или копирование персональных данных, предусмотрен штраф до 200 000 руб. или в размере дохода осужденного за 18 месяцев, возможно также лишение свооды на срок до 2-х лет и ряд других наказаний.
Когда получать согласие необязательно?
В некоторых случаях, названных в статье 6 Закона № 152-ФЗ, получать согласие от субъекта персональных данных необязательно.
Таблица 3
Случаи обработки персональных данных, когда получать согласие субъекта персональных данных необязательно
№ п/п |
Обработка персональных данных: |
1 |
необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей |
2 |
необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве |
3 |
необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг |
4 |
необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем |
5 |
необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно |
6 |
необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных |
7 |
необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных |
8 |
осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона № 152-ФЗ, при условии обязательного обезличивания персональных данных |
9 |
осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом |
Исполнение договора
Например, согласие субъекта персональных данных на их обработку не обязательно, если она осуществляется в рамках исполнения заключенного с ним договора. Так, суд отклонил довод истца о нарушении его прав на защиту персональных данных из-за звонка на его личный телефон со стороны ответчика, действующего по поручению кредитора истца. Истец не погасил задолженность перед кредитором, и тот поручил взыскание задолженности третьему лицу, сообщив персональные данные должника. Суды отмечают, что в данном случае специально выраженного согласия не требуется (Определение Девятого кассационного суда общей юрисдикции от 25.08.2020 № 88-6438/2020).
В постановлении Федерального арбитражного суда Восточно-Сибирского округа от 12.05.2011 № А33-10809/2010 отмечено, что предоставление управляющей компанией физическим лицам, проживающим в обслуживаемых домах, платежных документов с указанием в них персональных данных последних, является частью деятельности последней в рамках принятых на себя обязательств по управлению жилыми домами. Поэтому, наличие согласия проживающих на обработку ПД в данном случае не требуется.
Заказ товаров онлайн
Еще один случай – клиенты заказывают товары, работы или услуги, заполняя анкету на сайте в электронном виде, содержащей сведения о персональных данных. Отдельное согласие на обработку данных также не потребуется. Отправляя свои данные по указанному алгоритму заполнения анкеты, физические лица фактически выражают свое согласие на передачу своих персональных данных, то есть при обработке персональных данных письменное согласие считается полученным (Определение Третьего кассационного суда общей юрисдикции от 25.05.2020 N 88-9057/2020).
Персональные данные в государственных реестрах
Согласие субъекта на обработку персональных данных в государственных информационных реестрах не требуется, если он первоначально сам направил туда сведения о себе. Федеральный арбитражный суд Московского округа в постановлении от 09.11.2007 № КГ-А40/11450-07 отметил, что, становясь акционером общества, сведения о котором содержатся в ЕГРЮЛ, лицо тем самым выражает свое согласие на использование его персональных данных в ЕГРЮЛ.
Арбитражные споры
Предоставление персональных данных без согласия субъекта допускается арбитражному управляющему. Он в силу статей 66 и 67 Федерального закона о банкротстве № 127-ФЗ вправе получать любую информацию и документы, касающиеся деятельности должника (постановление Федерального арбитражного суда Западно-Сибирского округа от 01.09.2010 № А70-13989/2009).
Назовем еще несколько ситуаций по вопросу предоставления персональных данных на основе судебной практики.
Персональные данные: кто не вправе запрашивать
Есть некоторые сферы правоотношений, в рамках которых оборот персональных данных крайне ограничен или в принципе запрещен.
Миграционные службы
Не допускается представление персональных данных миграционной службой военному комиссару. Действия миграционной службы в части исполнения законодательства о воинской обязанности и военной службе носят самостоятельный характер и не предусматривают предоставление информации по лицам, уклоняющимся от воинской службы (решение Первореченского районного суда г. Владивостока от 26.01.2011 № 2-287/11).
Антимонопольные службы
Персональные данные не могут предоставляться Федеральной антимонопольной службе и Федеральной службе по финансовым рынкам. Данным ведомствам не предоставлено право запрашивать информацию о персональных данных ( Постановление Верховного Суда России от 04.03.2016 № 307-АД15-18844 по делу № А56-14802/2015).
Адвокатский запрос
Адвокаты не имеют права запрашивать у ведомств персональные сведения. Предоставление сведений о персональных данных субъекта по адвокатскому запросу законом не предусмотрено (Определение Первого кассационного суда общей юрисдикции от 28.04.2020 № 16-1551/2020).Право адвоката собирать сведения, необходимые для оказания юридической помощи, и обязанность соответствующего органа ему такую информацию предоставить, не распространяется, таким образом, на установленные законом конфиденциальные сведения.
При этом, непредставление адвокату конфиденциальной информации не препятствует реализации адвокатом права на оказание квалифицированной юридической помощи ( Определение Московского городского суда от 08.11.2010 № 33-31358).
Отдельного рассмотрения заслуживает вопрос о предоставлении персональных данных судебным приставам.
Персональные данные: как используют судебные приставы?
До определенного времени суды единодушно указывали, что судебные приставы не имеют права на получение персональных данных. Арбитры исходили из следующего.
Согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора. Ни законом об исполнительном производстве (Федеральный закон от 02.10.2007 № 229-ФЗ), ни законом о судебных приставах (Федеральный закон от 21.07.1997 № 118-ФЗ) названные необходимые условия обработки персональных данных не установлены. В частности, названные законы не содержат перечень субъектов, персональные данные которых подлежат обработке. Соответственно, для предоставления персональных данных третьему лицу, оператору персональных данных необходимо письменное согласие субъекта (постановление Федерального арбитражного суда Поволжского округа от 19.07.2011 № А12-23512/2010).
Отметим, что ст. 6 Закона № 152-ФЗ предусматривает обработку персональных данных для правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством об исполнительном производстве. И согласие субъекта в этих ситуациях не требуется.
В соответствии с положениями п. 1 ст. 12 Закона № 118-ФЗ, судебный пристав получает и обрабатывает персональные данные при условии, что они необходимы для своевременного, полного и правильного исполнения исполнительных документов, в объеме, необходимом для этого. А в соответствии с ч. 3 ст. 64 Закона № 229-ФЗ, полученные судебным приставом-исполнителем в ходе принудительного исполнения судебных актов, актов других органов или должностных лиц персональные данные обрабатываются им исключительно в целях исполнения исполнительных документов в необходимом для этого объеме с учетом требований, установленных Законом № 152-ФЗ.
Таким образом, в настоящее время закон предоставляет судебным приставам право запрашивать персональные данные у операторов и обрабатывать их.При этом судебный пристав в своем запросе должен указать, каким образом запрашиваемая им информация способствует выполнению исполнительных документов.
Смерть субъекта персональных данных
В случае смерти субъекта персональных данных, согласие на обработку его данных дают наследники, если такое согласие не было дано субъектом при его жизни (п. 7 ст. 9 Закона № 152-ФЗ).
К форме и содержанию такого согласия применяются общие правила, установленные для согласия субъекта. При несоблюдении данного требования персональные данные не могут быть предоставлены.
Так, организация приняла на себя обязательство изготовить из собственных материалов, доставить и установить, а заказчики (граждане, принявшие на себя обязанность увековечить память погибших) обязались принять надгробные памятники погибшим военнослужащим и ветеранам ВОВ. Организация обратилась в Пенсионный фонд за справкой о военнослужащих, подтверждающих их принадлежность к инвалидам ВОВ, и, получив отказ, обратилась в суд. Отказывая в удовлетворении требований организации, Федеральный арбитражный суд Волго-Вятского округа указал, что у фирмы отсутствовали законные основания для получения персональных данных (постановление от 27.02.2009 № А38-1119/2008-4-104).
В другом деле суд признал неправомерными действия информационного агентства по распространению информации о самоубийстве несовершеннолетней девочки и ее персональных данных без согласия родных. Суд отклонил доводы агентства о том, что согласие не требовалось, поскольку правоспособность и представительство гражданина прекращены с момента его смерти, указав на необходимость обеспечения охраны личных прав гражданина и после его смерти (постановление Федерального арбитражного суда Восточно-Сибирского округа от 01.07.2008 № А33-14182/07-Ф02-2899/08).