Специальная норма закона об отдельном согласии субъекта
Норма о необходимости получать отдельное согласие субъекта на обработку персональных данных, разрешенных таким субъектом для распространения, появилась в ст. 10.1 закона «О персональных данных» (ФЗ № 152) 1 марта 2021 года. Она сразу вызвала массу вопросов о том, как ее правильно толковать и применять на практике. Больше всего дискуссий в юридическом сообществе развернулось вокруг соотношения нового положения со ст. 6 ФЗ № 152, где перечислены общие основания для обработки персональных данных. Должен ли оператор получать согласие на распространение данных по ст. 10.1, если обязанность их распространять возложена на него профильным законом?
Примечательно, что изначально, после вступления нормы о согласии на распространение, Роскомнадзор придерживался позиции, что ст. 10.1 ФЗ № 152 специальная по отношению ко всем основаниям, указанным в ст. 6 закона. Поэтому любое распространение персональных данных должно сопровождаться предварительным согласием субъекта даже в том случае, когда есть соответствующее основание по ст. 6 ФЗ № 152. Однако впоследствии указанная позиция претерпела некоторые изменения. Роскомнадзор в письме от 06.10.2022 № 08-90016 со ссылкой на ч. 11 ст. 10.1 ФЗ № 152 указал, что получать согласие на распространение персональных данных в принципе не нужно до тех пор, пока такое распространение идет в государственных, общественных и иных публичных интересах, определенных законодательством РФ.
Полагаю, что подход Роскомнадзора изменился под влиянием Постановления Конституционного суда от 25.05.2021 № 22-П. Тогда КС признал правомерным распространение СМИ персональных данных медработника, ранее законно размещенных на официальном сайте медорганизации, вне зависимости от наличия на то согласия субъекта.
Такую позицию Роскомнадзор обозначил исключительно в контексте распространения СМИ персональных данных, когда это «необходимо для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации» (п. 8 ч. 1 ст. 6 ФЗ № 152), поэтому не должна рассматриваться как универсальная для всех случаев распространения персональных данных. Подобный вывод подтвердился в судебном разбирательстве, возникшем между страховой компанией «Арсеналъ» и управлением Роскомнадзора. Этот спор в итоге дошел до Верховного суда (дело № А40-139096/2022).
Суть дела страховой компании «Арсеналъ»
Страховая компания подала иск к Управлению Роскомнадзора по ЦФО. Заявитель ссылался на то, что ранее получил от ответчика запрос-требование. В нем утверждалось: госорган обнаружил, что на сайте фирмы размещались персональные данные руководителей и участников страховой организации. Поскольку имело место распространение персональных данных, ведомство потребовало от компании предоставить сведения о правовых основаниях такого распространения, а при отсутствии оснований — сведения о прекращении неправомерной обработки.
Истец, доказывая правоту, сослался на формулировки подп. 2–11 ч. 1 ст. 6 ФЗ № 152: «во исполнение возложенных на оператора законодательством РФ обязанностей» и «во исполнение требований федерального законодательства по раскрытию персональных данных». Однако Роскомнадзор счел доводы компании несостоятельными и повторно потребовал прекратить неправомерную обработку персональных данных (без согласия лиц, чьи персональные данные распространяются, на такое распространение в соответствии со ст. 10.1 ФЗ № 152).
Страховая компания с подобной оценкой не согласилась, доказывая, что ст. 10.1 ФЗ № 152 не имеет приоритетного характера над общими основаниями для обработки персональных данных. А значит, обращение к ст. 10.1 допустимо лишь в случае, если основанием для распространения становится согласие, а не иные основания, установленные подп. 2–11 ч. 1 ст. 6 ФЗ № 152 и не предполагающие получения согласия субъекта персональных данных. Проще говоря, если оператор обязан раскрывать персональные данные неопределенному кругу лиц (например, на сайте) в силу прямых требований федерального закона, то ему не нужно получать отдельное согласие по правилам ст. 10.1 ФЗ № 152. Как утверждала фирма, законодательство о страховой деятельности, включая акты ЦБ, четко предписывают страховым организациям раскрывать определенный набор информации, в том числе содержащей персональные данные, на сайте. А неисполнение требований банковского регулятора грозит привлечением к ответственности.
Суд поддержал доводы компании: ст. 10.1 ФЗ № 152 устанавливает порядок обработки персональных данных, разрешенных субъектом персональных данных к распространению, а это частный случай обработки персональных данных «с согласия субъекта персональных данных». Такой вывод следует и из названия статьи («Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения») и ее содержания: норма устанавливает специфические форму и порядок получения согласия в отношении тех персональных данных, которые подлежат распространению.
Вышестоящие инстанции полностью разделили позицию АСГМ, а ВС отказался рассматривать кассационную жалобу Роскомнадзора по существу, указав, что доводы ответчика ранее уже получили правовую оценку.
Ценность позиции для развития правоприменения
Заявленная судами в деле страховой компании «Арсеналъ» правовая позиция относительно распространения персональных данных имеет особую практическую значимость по многим причинам.
И операторов, обязанных раскрывать персональные данные, и субъектов, чьи персональные данные подлежат раскрытию, освободили от необходимости получать и давать дополнительные согласия. Это особенно важно, поскольку отказ субъекта от дачи согласия на распространение, равно как и его отзыв, который прямо допускается ФЗ № 152 и никак не может быть ограничен, не освобождают оператора от необходимости раскрывать такие персональные данные, если обязанность по их раскрытию предусмотрена законодательно. Фактически оператор оказывался «заложником» одновременно двух нормативных требований: о необходимости получать согласие на распространение и в то же время раскрывать такую информацию независимо от волеизъявления соответствующего лица.
С подобной проблемой сталкивались и владельцы агрегаторов информации о товарах или услугах (маркетплейсы), которые по закону «О защите прав потребителей» обязаны доводить до сведения потребителей определенный набор информации о продавцах, включая физлиц-ИП. Отказ продавца от дачи согласия на распространение его персональных данных означал невозможность размещения его товаров на маркетплейсе, то есть отказ от заключения с ним договора. При подобном подходе согласие как правовое основание для обработки персональных данных уже не обеспечивает защиту прав и интересов субъекта персональных данных, поскольку тот вынужден давать такое одобрение, если хочет вступить в соответствующие отношения с оператором. Другими словами, зачем получать согласие субъекта персональных данных, если федеральный закон все равно требует обработки персональных данных в форме распространения безотносительно к факту получения или неполучения оператором каких-либо согласий?
Подобная логика соответствует и положениям самого ФЗ № 152, который прямо допускает обработку персональных данных даже в отсутствие согласия субъекта персональных данных (ч. 2 ст. 9, ч. 4 и 5 ст. 21). В частности, если оператор обрабатывает персональные данные на основании согласия, то отзыв такого согласия соответствующим субъектом не лишает оператора права продолжать обработку при наличии у него иных правовых оснований к такой обработке, как они предусмотрены подп. 2–11 Закона.
Как следствие, с учетом общей логики ФЗ № 152 и практических последствий таких выводов для российского бизнеса стоит поддержать выводы судов по делу «Арсенала». Правда, остается открытым вопрос о возможности использовать эту позицию, например, для обоснования законности распространения персональных данных на основании договора (п. 5 ч. 1 ст. 6 ФЗ № 152), или для осуществления прав и законных интересов оператора либо третьих лиц, или для достижения общественно значимых целей, если при этом никак не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 ФЗ № 152).
Примечательно, что в последнее время суды часто не соглашаются с регулятором, трактуя отдельные положения законодательства в области персональных данных (как, например, в деле № А40-163911/2021, где «Аэрофлот — российские авиалинии» противостоял Управлению Роскомнадзора по ЦФО). При этом вряд ли стоит ожидать, что госорган вскоре откажется от своего понимания ст. 10.1 ФЗ № 152 в части ее соотношения с другими правовыми основаниями для обработки персональных данных. Вероятно, в перспективе нас ждут новые, не менее интересные судебные дела, в которых под сомнение могут поставить и другие «устоявшиеся» на практике позиции этого ведомства.