2 Ноября, 2009

О конклюдентности и персональных данных

Алексей Лукацкий
Я на своих курсах по персданным всегда начинаю с общей рекомендации привлекать к проектам по персданным юристов, т.к. любая тема, связанная с законодательством, не может обойтись без их помощи. ФЗ-152 не является исключением. Возьмем к примеру вопрос с получением согласия субъекта ПДн. Обычно считается, что согласие может быть либо в письменной, либо в устной форме. Так нам подсказывает здравый смысл. А вот любой юрист подскажет, что есть и третья форма согласия - конклюдентные действия. Конклюдентные действия - это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении. Эта форма совершения сделки определена и в ГК (ст.158). Это понятие очень сильно облегчает нам жизнь при получении согласия субъекта ПДн. Допустим, мы размещаем резюме. Если следовать распространненому мнению, нам необходимо получить согласие субъекта ПДн на обработку его ПДн. Однако сам факт размещения или отправки им резюме является согласием на обрботку его ПДн, т.е. конклюдентными действиями. Разумеется, он дает свое согласие на обработку данных, указанных в резюме, только при их рассмотрения для закрытия вакансии. Т.е. передавать их третьим лицам (если это не сайт поиска вакансий) или использовать для других целей (без согласия) - незаконно. Другой пример конклюдентных действий: оплата платежекрегистрация на форумах и Интернет-сервисахоплата товаров в Интернетприобретение билетов на транспортпредоставление удостоверения личности для прохода на территорию. Последний пример тоже интересен. В зависимости от того, куда мы приходим, предоставление нами удостоверения личности может как быть конклюдентным действием, так и не быть таковым. Допустим мы пришли в банк за кредитом. На входе у нас попросили паспорт - на лицо обработка ПДн. Нужно ли получать дополнительное согласие? Нет. Мы пришли в банк по своей воле и прекрасно понимаем, что пройти в банк мы можем только предоставив паспорт. Но мы можем и не ходить в банк. Тем самым, предоставляя паспорт, мы делаем это своей волей и в своем интересе. Налицо признаки согласия из ст.9 ФЗ-152. А теперь представим, что мы пришли в суд по повестке. Мы также предоставляем свои паспортные данные, но конклюдентными наши действия уже не назовешь. Нас "вынуждают" придти в суд - отказаться от этого мы не можем. Поэтому требуется дополнительное согласие на обработку наших ПДн. Этот пример лишний раз показывает, что приведение себя в соответствие с требованиями ФЗ-152 и подзаконных актов - это не такая простая задача и заниматься ею должны не столько службы ИБ, сколько юристы.