Такая форма дачи согласия предполагает, что оно вытекает из действий субъекта. Например, факт заполнения и предоставления резюме был признан судом в качестве согласия субъекта персональных данных, отвечающих требованиям закона[3].
Таганский районный суд в решении от 1 апреля 2015 г. по делу № 2-1464/2015 признал правомерным привлечение к дисциплинарной ответственности сотрудника, в трудовые обязанности которого входила работа с персональными данными, за распространение анкет соискателей без их согласия путем направления с корпоративной почты на адреса третьих лиц, не являющихся работниками организации. Данный факт был обнаружен службой безопасности компании. Выяснилось, что резюме кандидатов были направлены в качестве примера без согласия соискателей и иных законных оснований, что стало нарушением не только локальных нормативных актов организации, но и Федерального закона «О персональных данных»[4].
В соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (далее – Федеральный закон «Об электронной подписи» простая электронная подпись – это электронная подпись, которая создается посредством использования кодов, паролей или иных средств и подтверждает факт формирования электронной подписи определенным лицом. Суды признают документ, в котором было выражено согласие в подобной форме, в качестве подписанного простой электронной подписью. Следует отметить, что для обеспечения документа, подписанного простой электронной подписью, юридической силой необходимо идентифицировать лицо, которое использует простую электронную подпись. По общему правилу идентификация лица происходит, когда субъект лично посещает организацию, выдающую ключи электронной подписи. Подписант предъявляет документ, удостоверяющий личность, и получает ключ электронной подписи.
При этом ключ простой электронной подписи может генерироваться и онлайн с использованием различных кодов подтверждения по электронной почте, SMS-кодов и др. Такая форма не предполагает очной идентификации лица с предоставлением документа, удостоверяющего личность. Однако механизм с генерированием ключей простых электронных подписей онлайн широко применяется в сфере онлайн-банкинга для физических лиц, где идентификация подписанта осуществляется в момент выдачи дебетовой или кредитной карты, к которой услуга онлайн-банкинга привязана. Также получение согласия на обработку персональных данных в форме электронного документа, подписанного простой электронной подписью, распространено в области государственных услуг для физических лиц и в сфере коммунального хозяйства.
Так, в определении Приморского краевого суда от 7 апреля 2015 г. по делу № 33-2865 указано: «Согласно оферте СМС-код используется в качестве электронной подписи клиента для формирования им каждого электронного документа. В случае идентичности СМС-кода, направленного банком, и СМС-кода, введенного в форме электронного документа для подтверждения передачи клиентом соответствующего распоряжении/заявления через интернет-банк, такая электронная подпись считается подлинной и предоставленной клиентом»[5].
Также в качестве подписанного простой электронной подписью признается согласие, подписанное с помощью кода подтверждения, высланного по электронной почте.
При этом важно соблюсти положения ст. 6 Федерального закона «Об электронной подписи», в частности, чтобы стороны (оператор и субъект) достигли соглашения о том, что направление сообщения с определенного электронного адреса будет считаться подписанием документа простой электронной подписью. Юридическая сила сообщений электронной почты подтверждается и судебной практикой. Так, в постановлении Президиума ВАС РФ от 12 ноября 2013 г. № 18002/12 указано, что «получение или отправка сообщения с использованием адреса электронной почты, известного как почта самого лица или служебная почта его компетентного сотрудника, свидетельствует о совершении этих действий самим лицом, пока им не доказано обратное».
Электронная форма дачи согласия на обработку персональных данных может быть также выражена путем проставления так называемой галочки под условиями обработки персональных данных, например в соответствующем поле на экране при оформлении заказа или регистрации на веб-сайте.
При определенных обстоятельствах такого рода согласие также может рассматриваться в качестве электронного документа, подписанного простой электронной подписью.
При регистрации на интернет-сайтах пользователь принимает условия пользования указанным интернет-сайтом (пользовательское соглашение) и тем самым берет на себя обязательства, установленные указанным соглашением, а также всеми дополнительными правилами (правила верификации), являющимися неотъемлемой частью пользовательского соглашения.
Пользователь конкретного ресурса в момент регистрации самостоятельно принимает решение о предоставлении собственных персональных данных и дает согласие на их обработку, отвечающее требованиям закона, – конкретное, информированное и сознательное. В случае если пользователь не согласен с какими-либо положениями пользовательского соглашения конкретного интернет-ресурса, он может отказаться от его использования.
В пользовательских соглашениях нередко указано, что пользователь понимает и согласен с тем, что правообладатель может использовать информацию, предоставленную пользователем, в том числе и персональные данные. Например, при регистрации в качестве участника конкурса субъект персональных данных принимает условия правил проведения конкурса, размещенных на сайте, и тем самым берет на себя обязательства, установленные указанными правилами. При этом факт участия в конкурсе означает конкретное, информированное и сознательное согласие участника на обработку организатором конкурса предоставленных участником персональных данных, в том числе фамилии, имени, отчества, номера телефона, а также почтового адреса.
Часть 2 ст. 9 Закона № 152-ФЗ предусматривает возможность субъекта отозвать ранее данное согласие на обработку персональных данных. Правовым последствием отзыва является утрата права оператора на обработку персональных данных этого субъекта, за исключением случаев, когда оператор имеет иные предусмотренные Законом № 152-ФЗ основания для обработки таких данных (п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11).
Следует отметить, что бремя доказывания наличия таких оснований возлагается на самого оператора. Так, например, А.И. Савельев указывает, что в случае заключения кредитного договора у банковской организации возникает сразу несколько оснований обработки персональных данных: 1) согласие субъекта персональных данных; 2) цели исполнения договора, стороной которого является субъект персональных данных (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ); 3) выполнение возложенных законодательством на оператора обязанностей (например, сохранять идентифицирующие клиента документы в течение не менее пяти лет[6]); хранение первичных учетных документов, регистров бухгалтерского учета и бухгалтерской отчетности в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет (ч. 1 ст. 17 Федерального закона от 21 ноября 1996 г. № 129-ФЗ «О бухгалтерском учете», причем все хозяйственные операции, проводимые организацией, должны оформляться оправдательными документами)[7]. Из указанного выше следует, что даже после надлежащего исполнения кредитного договора его сторонами у банковской организации возникают обязательства перед государством, связанные с персональными данными заемщика, и поэтому даже в случае отзыва согласия на обработку персональных данных обязанности по немедленному прекращению обработки и уничтожению персональных данных не возникает.
Обработка персональных данных без согласия субъекта персональных данных допускается в случае, если она осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях. Поэтому отзыв работником своего согласия на обработку персональных данных в таких случаях также не может являться основанием для прекращения обработки его персональных данных работодателем.
Согласно ч. 5 ст. 21 Закона № 152-ФЗ в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено законодательством о персональных данных. Следует подчеркнуть, что нормами Закона № 152-ФЗ не предусмотрена обязанность оператора уведомлять субъекта персональных данных о факте прекращения обработки персональных данных в связи с удовлетворением отзыва согласия субъекта на обработку его персональных данных.
О проекте
О подписке