Правовые основания обработки

Согласие субъекта персональных данных

В соответствии с абзацем пятнадцатым статьи 6 Закона согласие субъекта персональных данных на обработку не требуется при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором.

Обработка персональных данных по этому правовому основанию будет соответствовать Закону, если:

• оператор осуществляет обработку персональных данных только того физического лица, которое является (будет являться) стороной по договору, заключенному (заключаемому) с оператором.

  В случае, если для исполнения своих обязательств, предусмотренных договором, оператору необходимо обрабатывать персональные данные иных физических лиц (не являющихся стороной по договору, заключенному (заключаемому) с оператором), требуется согласие таких физических лиц, если у оператора отсутствует иное правовое основание на обработку их персональных данных, предусмотренное законодательными актами.

  Пример.
  В статье 18 Закона от 25 ноября 1999 г. № 326-З ”О туризме“ определено, что оказание туристических услуг осуществляется в соответствии с Правилами оказания туристических услуг, утверждаемыми Советом Министров Республики Беларусь.

  В соответствии с пунктом 23 Правил оказания туристических услуг, утвержденных постановлением Совета Министров Республики Беларусь от 12 ноября 2014 г. № 1064 ”Об утверждении Правил оказания туристических услуг“ (далее – Правила), оказание туристических услуг осуществляется исключительно на основании типовой формы договора.

  Указанным постановлением утверждена типовая форма договора, в соответствии с которой в приложении к договору необходимо указать также сведения о лицах, которым оказываются туристические услуги.

  В соответствии с пунктом 27 Правил заказчик обязан предоставить исполнителю информацию о себе и третьих лицах, в пользу которых заключается договор, в объеме, необходимом для исполнения обязательств по такому договору, в том числе данные документов, удостоверяющих его личность или личности третьих лиц.

  В этой связи не требуется получение согласия на обработку персональных данных у заказчика и третьих лиц (субъекты персональных данных) при заключении договора в соответствии с его типовой формой;

• оператор осуществляет обработку только тех персональных данных физического лица, которые указаны в договоре либо получены при заключении договора с оператором;

• оператор осуществляет обработку персональных данных физического лица только для целей совершения действий, установленных договором, т.е. когда обработка персональных данных является необходимой для оказания услуг, выполнения работ, совершения действий в отношении конкретного физического лица, и без обработки таких данных выполнение обязательств по договору невозможно или существенно затруднено.

  Пример.
  Между оператором и субъектом персональных данных заключен договор купли-продажи, по которому оператор обязан осуществить доставку товаров. Для этой цели оператор может обрабатывать имя, фамилию, адрес места жительства и (или) номер телефона субъекта персональных данных.

  Важно!
  Для обработки персональных данных физического лица в иных целях, не связанных с заключением (исполнением) договора, требуется согласие физического лица или иное правовое основание, предусмотренное законодательными актами.

  В указанном выше примере обработка оператором персональных данных субъекта (имя, фамилия, адрес места жительства, контактные данные) с целью направления ему информации рекламного характера или нового коммерческого предложения на правовом основании, предусмотренном абзацем пятнадцатым статьи 6 Закона, недопустима;

• оператор может осуществлять обработку персональных данных субъекта персональных данных на стадии заключения договора. При этом договор с субъектом персональных данных в последующем может быть не заключен.

Согласно абзацу шестнадцатому статьи 6 Закона согласие субъекта персональных данных не требуется при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа.

Данное правовое основание может быть применено, если:

• документ адресован оператору;
• документ подписан субъектом персональных данных (собственноручно либо с использованием электронной цифровой подписи или иных технических средств, компьютерных программ, информационных систем или информационных сетей, если такой способ подписания позволяет достоверно установить, что документ подписан субъектом персональных данных);
• обработке подлежат те персональные данные, которые указаны в документе;
• обработка осуществляется для целей, указанных в документе.

Пример.
Весьма распространенным примером обработки персональных данных на данном основании является подача заявлений на оказание материальной помощи, частичное возмещение стоимости путевок санаторно-курортные и оздоровительные учреждения, компенсацию стоимости подписки, абонементов и т.п.

В соответствии с абзацем восьмым статьи 6 Закона согласие субъекта персональных данных на обработку персональных данных не требуется, если обработка необходима для оформления трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством.

В связи с неравным статусом сторон в рамках трудовых отношений согласие работников на обработку их персональных данных нанимателем, как правило, не может носить свободного характера и, соответственно, выступать правовым основанием для обработки. В большинстве случаев такая обработка осуществляется в силу требований законодательства.

При использовании данного правового основания к случаям, предусмотренным законодательством, следует относить  как случаи, когда обработка персональных данных и круг обрабатываемых персональных данных работников прямо предусматриваются в актах законодательства, так и случаи, когда в акте законодательства данная информация напрямую не указана, но необходимость такой обработки прямо вытекает из предписаний такого акта, возлагающего на нанимателя определенные обязанности.

Примеры.
При приеме на работу работник заполняет ряд документов, в том числе личный листок по учету кадров. Требования об оформлении документов и их формы установлены законодательством.

Трудовым кодексом Республики Беларусь предусмотрены определенные гарантии для отдельных категорий работников (в связи с беременностью, наличием детей, инвалидностью, при служебных командировках, в связи с переездом на работу в другую местность и т.п.), которые наниматель обязан предоставить. Однако перечень документов, необходимых для предоставления гарантии, законодательством не установлен и определяется в каждой конкретной ситуации, исходя из предоставляемой гарантии.

И в первом, и во втором случаях правовым основанием для обработки персональных данных работников является абзац восьмой статьи 6 Закона. 

В целях определения единообразных подходов к обработке нанимателями персональных данных работников, а также соискателей на трудоустройство Национальным центром защиты персональных данных подготовлены и согласованы с Министерством труда и социальной защиты Рекомендации по обработке персональных данных в связи с трудовой (служебной) деятельностью .

Согласно абзацу восемнадцатому статьи 6 Закона согласие субъекта персональных данных на обработку персональных данных
не требуется для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно.

Аналогичное правовое основание обработки персональных данных без согласия субъекта персональных данных предусмотрено и в международной практике, в том числе в Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28 января 1981 года, в Общем регламенте защиты персональных данных (GDPR), в Федеральном законе Российской Федерации от 27 июля 2006 года № 152-ФЗ ”О персональных данных“.

Данное основание имеет за рубежом устоявшуюся узкую трактовку и применяется в очень редких ситуациях, если есть прямая угроза жизни, например, при оказании неотложной медицинской помощи (когда лицо не в состоянии выразить согласие по причине болезненного, бессознательного состояния такого лица и т. п.), в гуманитарных целях (контроль эпидемий и их распространения и т.п.) или в чрезвычайных ситуациях гуманитарного характера (техногенные или природные катастрофы, стихийное бедствие и т. п.), в иных исключительных ситуациях.

Приведенное правовое основание весьма ограничено в применении и может быть использовано при одновременном соблюдении двух условий:

• обработка персональных данных необходима для целей защиты жизни, здоровья или иных жизненно важных интересов либо самого субъекта персональных данных, либо иных лиц;
• получение согласия субъекта персональных данных на обработку персональных данных невозможно.

Пример.

Субъект персональных данных поступает в тяжелом состоянии в больницу и не может дать согласие на обработку персональных данных. Работники больницы в целях защиты его жизни вправе осуществить обработку его медицинских и иных данных.  

Пример.

Заинтересованные граждане распространяют информацию о пропавшем субъекте персональных данных в социальных сетях с указанием его примет и иных персональных данных. В таком случае обработка персональных данных пропавшего согласно абзацу восемнадцатому статьи 6 Закона признается законной.

Пример.

Человеку требуется экстренная операция, для проведения которой необходимы отдельные сведения из медицинских документов его родителей. Вместе с тем, работники больницы по объективным причинам не могут связаться с ними и получить согласие на обработку их персональных данных.

При выборе рассматриваемого правового основания оператор должен исходить из того, что обработка персональных данных, основанная на жизненно важных интересах, имеет место только при невозможности использования иных правовых оснований.

В случаях, когда физическая или юридическая возможность получения согласия субъекта персональных данных на обработку персональных данных имеется, абзац восемнадцатый статьи 6 Закона не может быть применен.

Пример.

В подъезде жилого дома в целях обеспечения сохранности имущества по решению более половины собственников квартир установлена камера видеонаблюдения. Обработка персональных данных субъектов персональных данных, чье видеоизображение попало в объектив камеры, не может осуществляться на основании этого абзаца, поскольку собственники остальных квартир, которые не выражали согласия или не принимали участие в опросе, и другие субъекты персональных данных не лишены юридической возможности дать согласие на обработку их персональных данных.

Как правило, обязанности (полномочия) государственных органов и (или) иных организаций по защите жизненно важных интересов граждан в различных сферах, для реализации которых необходима обработка их персональных данных, закреплены в законодательных актах, что предусматривает применение соответствующего правового основания – абзаца двадцатого статьи 6, а в отношении специальных персональных данных – абзаца шестнадцатого пункта 2 статьи 8 Закона.

Пример.

В соответствии с абзацем четвертым статьи 16 Закона Республики Беларусь от 5 января 2016 г. № 3564-З ”О промышленной безопасности“ к полномочиям местных исполнительных и распорядительных органов в области промышленной безопасности (ею является состояние защищенности жизненно важных интересов личности и общества от возникновения аварий и инцидентов, обеспеченное комплексом организационных и технических мероприятий, установленных данным Законом и иными актами законодательства) относится обеспечение своевременного информирования населения об угрозе возникновения или о возникновении аварий и инцидентов.

Правовым основанием обработки персональных данных граждан для указанной цели (например, номера мобильного телефона для отправки уведомления) будет выступать абзац двадцатый статьи 6 Закона.

Согласно абзацу девятнадцатому статьи 6 Закона согласие субъекта персональных данных не требуется в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами.

Данное основание является развитием положений абзаца седьмого статьи 1 Закона и применяется при обработке общедоступных персональных данных, которые ранее были распространены (то есть направлены на ознакомление неопределенного круга лиц):

• самим субъектом персональных данных;
• с согласия субъекта персональных данных.

  Пример.
  Оператор использует информацию о субъекте персональных данных из статьи, опубликованной в средствах массовой информации с согласия субъекта персональных данных;
  

• в соответствии с требованиями законодательных актов.

  Пример.
  Оператор направляет приглашения для участия в мероприятии, используя при этом информацию о руководителях организаций, размещенную на их официальных сайтах в соответствии с требованиями Указа Президента Республики Беларусь от 1 февраля 2010 г. № 60 ”О мерах по совершенствованию использования национального сегмента сети Интернет“.
  

Если субъект персональных данных заявил требование о прекращении обработки распространенных персональных данных, а также об их удалении, их обработка должна быть прекращена, если у оператора не имеется иных оснований для обработки персональных данных, предусмотренных Законом или иными законодательными актами.

В соответствии с абзацем двадцатым статьи 6 Закона согласие субъекта персональных данных на обработку персональных данных не требуется в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.

Данное правовое основание, как правило, применяется в случаях, когда имеют место превалирующие интересы государства и общества над правами конкретного субъекта персональных данных, в частности, когда обработка необходима для реализации государственных функций (например, отправление правосудия, борьба с коррупцией), которые не могут зависеть от волеизъявления отдельного лица.

Обработку персональных данных по данному основанию могут осуществлять как государственные органы для выполнения своих задач и функций, так и иные организации при выполнении возложенных на них обязанностей (полномочий) в общественных интересах.

Примеры.
В соответствии с пунктом 1 статьи 44 Жилищного кодекса Республики Беларусь местные исполнительные и распорядительные органы ежегодно с 1 февраля до 1 мая уточняют данные, являющиеся основанием для сохранения права граждан состоять на учете нуждающихся в улучшении жилищных условий. Обработка персональных данных для этой цели местными исполнительными и распорядительными органами осуществляется без согласия субъекта персональных данных.

Законом Республики Беларусь от 30 июня 2014 г. № 165-З ”О мерах по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения“ ряд обязанностей (в том числе по верификации, идентификации участников финансовых операций) установлен для организаций, являющихся участниками финансовых операций.

При этом как обработку персональных данных, которая является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами, следует рассматривать как ситуации, когда полномочия прямо предусмотрены законодательными актами, так и случаи, когда законодательный акт содержит отсылочную норму к подзаконным актам об определении порядка реализации обязанностей (полномочий).

Пример.
Законом Республики Беларусь от 5 ноября 1992 г. № 1914-XII   ”О воинской обязанности и воинской службе“ предусмотрено ведение воинского учета призывников и военнообязанных в местных исполнительных и распорядительных органах, военных комиссариатах (обособленных подразделениях) и организациях в порядке, определяемом указанным Законом и Положением о воинском учете, утверждаемым Правительством Республики Беларусь.

Положением о воинском учете, утвержденным постановлением Совета Министров Республики Беларусь от 18 декабря 2003 г. № 1662, определено, что для ведения воинского учета руководители местных органов власти, ведущих воинский учет, должностные лица, ответственные за военно-учетную работу (работники
по воинскому учету), обязаны вносить в книги учета и в карточки первичного учета изменения в части фамилии, собственного имени, отчества (если таковое имеется), семейного положения, состава семьи, уровня основного образования, места основной работы (учебы), занимаемой должности (специальности, профессии) по месту основной работы, состояния здоровья, места жительства и другие изменения и в месячный срок сообщать о произошедших изменениях в военный комиссариат района (города) (обособленное подразделение).

Следует учитывать, что большинство оснований, перечисленных в статье 6 Закона, являются частными случаями обработки персональных данных, необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами. Включение таких оснований в качестве самостоятельных направлено на упрощение правоприменения, облегчение ”узнавания“ как операторами, так и гражданами наиболее распространенных случаев обработки персональных данных без согласия.

Правовое основание, предусмотренное абзацем двадцатым статьи 6 Закона, как основание более общего порядка применяется при отсутствии конкретизирующего его основания в данной статье или ином законодательном акте.

Согласно абзацу тринадцатому статьи 6 Закона согласие субъекта персональных данных на обработку персональных данных не требуется в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных.

Данное правовое основание может быть применено при одновременном соблюдении следующих условий:

• обработка персональных данных осуществляется в научных или иных исследовательских целях;
• персональные данные обезличены.

Пример.
Оператор электросвязи передает персональные данные в обезличенном виде организациям, которые аккредитованы согласно постановлению Совета Министров Республики Беларусь от 8 ноября 2005 г. № 1240 ”О некоторых вопросах проведения опросов общественного мнения, относящихся к республиканским референдумам, выборам и общественно-политической ситуации в стране, и об опубликовании их результатов в средствах массовой информации“, для проведения исследований и опросов общественного мнения.

Под обезличиванием персональных данных понимаются действия,
в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Порядок обезличивания предусмотрен Положением о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утвержденным приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66 ”О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449“.

Важно!
Данное правовое основание не может применяться при обработке обезличенных персональных данных, направленной на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и (или) его продвижение на рынке.