1.4. Согласие субъекта на обработку его персональных данных

Обработка персональных данных в большинстве случаев должна осуществляться с согласия субъекта. Содержание согласия субъекта должно быть конкретным и информированным, т.е. содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных. Персональные данные не должны передаваться третьим лицам без согласия субъекта.

Согласие на обработку персональных данных может быть дано субъектом или его представителем в любой форме, позволяющей подтвердить факт его получения (кроме случаев, когда законом явно требуется получение согласия в письменной форме). Оператор обязан предоставить доказательство получения согласия субъекта. Согласие на обработку персональных данных может быть отозвано субъектом.

Определить необходимость получения оператором согласия субъекта на обработку его персональных данных помогает блок-схема на рис. 1.

Рис. 1. Определение необходимости получения согласия субъекта на обработку его персональных данных

Оператор вправе обрабатывать персональные данные без согласия субъекта при наличии оснований, перечисленных в законе «О персональных данных»:

• пунктах 2 - 11 части 1 статьи 6,

• части 2 статьи 10, или

• части 2 статьи 11.

При этом оператор обязан предоставить доказательство наличия таких оснований. В этих же случаях оператор может обрабатывать данные, которые получены от третьих лиц, не являющихся субъектами персональных данных (с соблюдением требований ч.3 ст.18 закона об обязательном предоставлении информации субъекту).

Рассмотрим пункты 2-11 ч.1. ст. 6 закона, в которых перечислены исключения, когда оператору не требуется получать согласие субъекта:

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления возложенных законодательством РФ на оператора функций, полномочий и обязанностей;

3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта в соответствии с законодательством об исполнительном производстве;

4) обработка персональных данных необходима для исполнения полномочий и функций операторов, участвующих в предоставлении государственных или муниципальных услуг, предусмотренных ФЗ № 210 от 27.07.2010 года;

5) обработка персональных данных необходима для заключения или исполнения договора, стороной которого является субъект (или договора, по которому субъект будет являться выгодоприобретателем или поручителем);

6) обработка персональных данных необходима для защиты жизни и здоровья субъекта, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора либо для достижения общественно значимых целей при условии, что при этом не нарушаются права субъекта;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста или деятельности СМИ, либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права субъектов;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях (кроме рекламных) при условии обязательного обезличивания персональных данных;

10) осуществляется обработка общедоступных персональных данных;

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Под 5-й пункт данной статьи закона попадают трудовые отношения между работником и работодателем. Но, например, передача персональных данных для оформления сотрудникам банковской зарплатной карты в это исключение не входит.

Однако персональные данные работника могут быть переданы кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, без его согласия в следующих случаях:

а) договор на выпуск банковской карты заключался напрямую с работником и в тексте договора предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;

б) у работодателя имеется доверенность на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;

в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса).

Другие случаи, в которых также не требуется получение согласия субъекта (часть 2 статьи 10 и часть 2 статьи 11 закона) рассмотрены в разделе 2 данного пособия.