Законный интерес как основание для обработки персональных данных: возможности и риски

Сокращения

152-ФЗ – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

ПДн Персональные данные.

В течение всего 2024 года мы наблюдали изменения подходов к правовым основаниям для обработки ПДн, в частности, усложнение работы с согласиями на обработку ПДн.

Вспомним, например, предложения об оформлении согласия отдельным, самостоятельным документом; введении обязательных стандартов для обработки ПДн; отраслевом регулировании и исключении обработки ПДн только в силу согласия; упрощении отзыва согласия и др.

Все это побуждает операторов пересмотреть подход к использованию согласия, как единственного условия для обработки данных, и подумать над применением иных положений ч. 1 ст. 6 152-ФЗ. И все чаще внимание операторов переключается и на возможность применения законного интереса при обработке ПДн (п. 7 ч. 1 ст. 6 152-ФЗ).

В этой статье мы рассмотрим, что такое законный интерес, когда его можно использовать, а также какие риски он может нести.

Что такое законный интерес

Законный интерес — это одно из оснований для обработки персональных данных, предусмотренное п. 7 ч. 1 ст. 6 152-ФЗ. Оно напрямую связано с реализацией четко установленных прав оператора, а также с защитой законных интересов оператора или неопределенного круга третьих лиц, но только при условии, что при этом не нарушаются права и свободы субъектов персональных данных.

Когда стоит задуматься о применении данного правового основания

  • В ситуациях, когда получение конкретного, информированного и сознательного согласия в форме, позволяющей подтвердить его наличие, становится невозможным, нецелесообразным или мешает осуществлению прав субъектов персональных данных.
  • Когда нужно предусмотреть альтернативу на случай отказа человека дать согласие или на случай отзыва ранее полученного согласия.

Для использования законного интереса одновременно должны выполняться три главных условия.

1. Цели обработки должны отражать права и законные интересы оператора или третьих лиц, либо должна быть явно выражена общественная значимость целей.   

Закон не определяет конкретный список допустимых целей, оператор определяет их самостоятельно.

Определенная оператором цель должна быть правомерной (не нарушать законодательство) и ясной при сборе данных.

Приведем несколько ситуаций, в отношении которых с большей долей вероятности получится применить законный интерес как правовое основание:

  • Анализ финансовой устойчивости клиентов;
  • Досудебное урегулирование споров; 
  • Предотвращение мошенничества;
  • Решение внутренних административных задач в группе компаний;
  • Предоставление личных данных в процессе объединения двух организаций;
  • Система доступа, пропускной режим, видеонаблюдение для обеспечения безопасности, предотвращения правонарушений, защиты имущества и материальных ценностей;
  • Охрана имущества, предотвращение краж и обеспечение безопасности;
  • Взыскание долгов;
  • Обработка ПДн, использование записей камер видеонаблюдения в рамках служебного расследования;
  • Привлечение третьих лиц для исполнения договора с клиентом в соответствии с Гражданским кодексом Российской Федерации.  

Однако помните, что данный перечень не является закрытым и не означает автоматического наличия законного интереса в указанных ситуациях.

Как сообщает Роскомнадзор в ответе на одно из обращений: «Оценка деятельности оператора по обработке персональных данных на предмет соответствия правовым основаниям, в том числе установленным п. 7 ч. 1 ст. 6 152-ФЗ, осуществляется в каждом конкретном случае индивидуально с учетом требований законодательства Российской Федерации в области персональных данных» (письмо от 31.07.2024 № 08-310584).

Что касается общественно значимых целей – действующее законодательство закрытого перечня таких целей не содержит. Но в судебной практике встречаются следующие примеры: защита основ конституционного строя, обеспечения безопасности жизни и здоровья граждан, а также обороны и безопасности государства, охраны окружающей природной среды, предупреждение и пресечение противоправных действий.

Примерами законного интереса, направленного на достижение значимых для общества результатов, могут служить такие сферы, как научные исследования, сбор данных о людях, совершивших выдающиеся поступки, и волонтерская деятельность и т.п.

2. Обоснована и реально существует необходимость в обработке ПДн для достижения конкретной цели.

Необходимость должна быть реальной. Обработку данных «на всякий случай» законным интересом обосновать не получится!

Для обоснования необходимости применения законного интереса:

  • Ответьте на вопросы: «Можете ли Вы достигнуть своей цели иным способом? Реально ли получить согласие на обработку в данной ситуации или применить иные правовые основания?».
  • Оцените, каких затрат и усилий потребуют альтернативные варианты. Если они несоразмерно большие, можно говорить о приоритете законного интереса как правового основания для обработки ПДн. 
  • Помните про недопущение излишней обработки ПДн. Оцените:
    • какие именно данные нужны Вам для реализации своих прав и законных интересов;
    • можете ли Вы обойтись без ПДн для достижения целей. Если без ПДн не обойтись, то подумайте, возможно получится уменьшить их объем;
    • не нарушите ли Вы права и свободы субъекта персональных данных.

– какие именно данные нужны Вам для реализации своих прав и законных интересов;

– можете ли Вы обойтись без ПДн для достижения целей. Если без ПДн не обойтись, то подумайте, возможно получится уменьшить их объем;

– не нарушите ли Вы права и свободы субъекта персональных данных.

3. Обработка не нарушает права и свободы субъекта персональных данных.

Обработка персональных данных не должна нарушать конституционные и иные права и свободы человека (жизнь, здоровье, честь и достоинство, неприкосновенность частной жизни и т.д.).

Например, в магазине в целях предотвращении краж используется система видеонаблюдения, что обосновано законным интересом. Однако, если видеонаблюдение будет вестись в примерочных, это будет противоречить праву человека на частную жизнь.

Нарушения могут также иметь место в случае причинения ущерба, распространения недостоверной информации, нарушения приватности, чрезмерной обработки персональных данных или утраты возможности осуществления прав.

Обратите внимание, что без особых правовых оснований запрещены обработка биометрических и специальных категорий данных и законным интересом тут не обойтись.

Обработка личных данных, причиняющая вред интересам их владельца, может осуществляться только в редких ситуациях, когда это необходимо для защиты прав оператора, третьих лиц или достижения значимых социальных целей. К обстоятельствам, позволяющим подобную обработку, относятся, проверка деловых партнеров и предотвращение материальных потерь.

Самой лучшей ситуацией будет такая, при которой, интересы оператора превышают интересы физического лица или есть препятствие реализации оператором своих законных прав.

В одном из судебных дел было отмечено, что, если у владельца здания нет ПДн жильцов, а также они отказываются предоставить такую информацию, это лишает оператора (владельца здания) возможности осуществить свое право на подачу требования о добровольном освобождении объекта и аннулировании регистрации лиц.

Если интересы человека равны или выше, от применения законного интереса будет больше вреда, чем пользы.

Таким образом, обработка данных должна учитывать баланс интересов субъекта, оператора, третьих лиц и общественного интереса.

В качестве примера приведем судебное дело 2024 года, касающееся передачи ПДн работника без согласия с отсылками за законный интерес.

Сотрудник оператора направил жалобу в Роскомнадзор, поскольку посчитал, что работодатель незаконно передал его персональные данные аутсорсинговому агентству (для целей кадрового администрирования и расчета заработной платы), а также юрисконсультам (для подготовки документов от имени оператора).  

Роскомнадзор, а в последствии суд подчеркнули, что передача данных была обусловлена необходимостью выполнения обязательств по трудовому договору и соблюдения локальных нормативных актов, а также требований налогового и бухгалтерского законодательства. В связи с чем согласие работника не является обязательным для обработки его данных третьими лицами.

Суд также указал, что оператор действовал в рамках законного интереса, привлекая третьих лиц для расчета зарплаты и передачи данных. Обработка данных осуществлялась в соответствии с трудовым договором и законодательством, что исключает необходимость получения согласия сотрудника.

Плюсы законного интереса:

  1. Позволяет обрабатывать ПДн без оформления согласия на обработку ПДн.
  2. По сравнению с законным интересом другие основания являются более ограничительными, например, необходимость явного согласия, наличие договора с четкими условиями.

Риски, связанные с использованием законного интереса:

  1. Пределы законного интереса в законодательстве четко не сформулированы. Законный интерес – самое противоречивое правовое основание, которое может пониматься и интерпретироваться по-разному оператором, субъектом, контролирующим органом и тд.  Поэтому операторам зачастую сложно определить, когда они имеют право на его использование и где «граница» между их законным интересом и правами субъекта. Это может привести к юридическим спорам, а следовательно, возникнет следующий риск.
  2. Придется доказывать свою позицию перед субъектом, контролирующим органом или в суде. И операторы должны заранее быть готовы четко обосновать процесс оценки законного интереса по трем вышеуказанным условиям его применения, что потребует дополнительных ресурсов и времени.
  3. Операторы должны тщательно оценивать свои интересы в сравнении с правами и свободами субъектов данных. Неправильная оценка может привести к нарушению законодательства и штрафам, потере доверия и репутационным рискам.

В заключение отметим, что «единого для всех» правила использования законного интереса нет, однако для его оценки предлагаем руководствоваться следующим порядком:

1. Уточните свои намерения: Какую основную задачу вы планируете решить, работая с личной информацией?

2. Определите его социальную ценность: является ли этот интерес общепринятым в обществе?

3. Установите связь между вашими интересами и правами человека: Каковы последствия применения законного интереса для человека, как это может негативно повлиять на его права и свободы? Какие именно права и свободы субъекта персональных данных могут быть нарушены в связи с обработкой персональных данных в определенной ситуации?

4. Примите меры для повышения безопасности: сократите количество обрабатываемых данных, адаптируйте использование технологий так, чтобы они не угрожали личной жизни. Обеспечьте защиту личной информации, соблюдение норм, установленных действующим законодательством по обработке персональных данных и т. д.

5. Записывайте результаты: любым способом задокументируйте «историю» определения интересов, их сопоставления с правами граждан и любые действия, предпринятые для снижения воздействия. Это нужно, чтобы самим не запутаться в рассуждениях, а также на случай необходимости обоснования своей позиции в случае спорной ситуации.

6. Приготовьтесь к пересмотру: если кто-то выступает против обработки данных, следует немедленно остановить процесс и сделать повторную оценку с учетом всех высказанных возражений.

Заключение

Законный интерес является мощным инструментом для операторов персональных данных, позволяющим обрабатывать данные без согласия пользователей. Однако важно помнить о рисках и обязательствах, связанных с его использованием. Операторам следует тщательно оценивать свои интересы и быть готовыми к прозрачному взаимодействию с пользователями, чтобы избежать потенциальных проблем и сохранить доверие клиентов.

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять