Требуется ли согласие на обработку персональных данных от клиента, самостоятельно обратившегося с заявлением на сайт компании?
На сайте организации предусмотрен раздел "Обратная связь", в котором клиенты могут задать интересующие вопросы по работе организации (в том числе направить жалобу). При этом форма обращения клиента, заполняемая on-line, содержит поля для указания клиентом его персональных данных (фамилия, имя и отчество, номер телефона, адрес электронной почты).
Согласно ст. 9 Федерального закона N 152-ФЗ от 27.07.2006 "О персональных данных" согласие на обработку персональных данных может быть дано субъектом персональных данных в любой позволяющей подтвердить факт его получения форме.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.
Обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.
Правомерно ли получение согласия клиента на обработку его персональных данных посредством проставления клиентом отметки в соответствующем поле, содержащем текст согласия на обработку персональных данных, формы обращения на интернет-странице?
Требуется ли вообще получение от него согласия на обработку персональных данных, поскольку клиент организации самостоятельно обращается с заявлением?
Случаи допустимости обработки персональных данных перечислены в ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее — Закон N 152-ФЗ). В частности, обработка персональных данных признается допустимой в случаях, когда она:
— осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
— необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п.п. 1, 2, 5 ч. 1 ст. 6 Закона N 152-ФЗ).
Напомним, что под обработкой персональных данных для целей Закона N 152-ФЗ понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ). Частью 1 ст. 9 Закона N 152-ФЗ определено, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Часть 4 той же статьи предусматривает, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. В той же норме перечислены сведения, которые в обязательном порядке должно содержать согласие субъекта персональных данных на их обработку. Из системного толкования норм ч. 1 и 4 ст. 9 Закона N 152-ФЗ можно сделать вывод о том, что оператор должен получить письменное согласие субъекта персональных данных на их обработку, включающее сведения, предусмотренные ч. 4 ст. 9 этого федерального закона только в случаях, когда федеральный закон прямо указывает на необходимость получения согласия именно в такой форме. К примеру, согласие в письменной форме требуется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ч. 2 ст. 10 Закона N 152-ФЗ), биометрических персональных данных (ч. 1 ст. 11 Закона N 152-ФЗ), на трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона N 152-ФЗ). В остальных случаях согласие на обработку персональных данных может быть дано в любой форме в соответствии с правилом ч. 1 ст. 9 Закона N 152-ФЗ.
Из вопроса не следует, что речь идет об обработке персональных данных, требующей получения согласия субъекта персональных данных именно в письменной форме. Поэтому согласие может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. Если технология заполнения размещенной на сайте формы запроса обеспечивает сохранность сведений о получении согласия (позволяет подтвердить его получение), то, на наш взгляд, такое согласие получено в надлежащей форме.
Следует учитывать, что в случае спора обязанность представления доказательств получения такого согласия возлагается на оператора (ч. 3 ст. 9 Закона N 152-ФЗ).
В рассматриваемом случае, как мы поняли из вопроса, обработка персональных данных заключается в их сборе, накоплении и использовании в целях информирования клиента об организации, оказываемых ею услугах и в соответствующих случаях об исполнении заключенного с клиентом договора. При этом избранный организацией способ коммуникации (размещенная на сайте форма запроса) с учетом информации о его назначении, которая доводится до клиента, позволяет клиенту исходя из обычного уровня понимания определить способы и цели обработки его персональных данных и путем заполнения и отправки запроса в электронном виде дать осознанное согласие на такую обработку персональных данных.
Поэтому мы полагаем, что размещение дополнительной формы согласия на обработку персональных данных организации в этом случае не требуется, если обработка не выходит за рамки тех целей, которые заявлены организацией (для дачи ответа на сформулированный клиентом запрос). Если персональные данные будут обрабатываться не только в связи с предоставлением клиенту интересующей его информации, относящейся к сфере деятельности организации, но и для других целей, такая обработка потребует дополнительного согласия субъекта персональных данных, при отсутствии предусмотренных законом обстоятельств, когда оператор не обязан получать такое согласие (например, в силу п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).
Косвенно этот вывод можно подтвердить судебной практикой. В постановлении от 13.12.2010 N Ф07-13220/2010 ФАС Северо-Западного округа указал применительно к рассмотренной им ситуации, что, отправив свои данные по алгоритму заполнения анкеты-запроса на получение ипотечного кредита, форма которой была размещена на веб-ресурсе, физические лица — потенциальные клиенты фактически выразили свое согласие на обработку своих персональных данных для определенных в анкете целей.
Кроме того, на наш взгляд, обработка персональных данных в этой ситуации может быть соотнесена с положением п. 2 ч. 1 ст. 6 Закона N 152-ФЗ, в соответствии с которым такая обработка допускается, если она необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
Так, если на отношения клиента и организации распространяется действие Закона РФ от 07.02.1992 N 2300-I "О защите прав потребителей" (далее также — Закон о защите прав потребителей), следует иметь в виду, что пункт 1 ст. 8 этого закона наделяет потребителя (гражданина, имеющего намерение заказать или приобрести либо заказывающего, приобретающего или использующего товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности — смотрите преамбулу к данному закону) правом требовать предоставления ему необходимой и достоверной информации об изготовителе (исполнителе, продавце), режиме его работы и реализуемых им товарах (работах, услугах). Закон о защите прав потребителей в ряде случаев предписывает определенные способы информирования потребителя (п. 1 ст. 9, п.п. 2, 3 ст. 10), однако по смыслу норм п. 2 ст. 8, п. 1 ст. 10 этого закона перечень форм и способов, с использованием которых потребитель может быть ознакомлен с информацией об исполнителе и оказываемых им услугах, не является исчерпывающим.
В связи с этим мы полагаем, что, если в рассматриваемом случае информация, доводимая до клиента с использованием электронной формы запроса, объективно направлена на возможность правильного выбора клиентом оказываемых организацией услуг, согласия на обработку персональных данных оператору не требуется, поскольку такое предоставление информации осуществляется во исполнение обязанности, возложенной на организацию как исполнителя услуг в соответствии с федеральным законом. При этом обработка персональных данных не должна выходить за пределы информирования потребителя в соответствии с требованиями Закона о защите прав потребителей.
Отметим также, что персональные данные должны обрабатываться в целях, заранее определенных и заявленных при сборе персональных данных, в соответствии с полномочиями оператора (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ). По достижении цели обработки или в случае утраты необходимости в ее достижении персональные данные подлежат уничтожению (ч. 2 ст. 5, ч. 4 ст. 21 Закона N 152-ФЗ).
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Ерин Павел Информационное правовое обеспечение ГАРАНТ http://www.garant.ru