Дееспособность несовершеннолетнего в отношении своих персональных данных

В нескольких последних проектах, выполняемых нашим агентством, мы столкнулись с одной и той же проблемой – с какого возраста наступает дееспособность субъекта в отношении распоряжения своими персональными данными - передачи их третьим лицам, выражении согласия на обработку и т.д. Ответ оказался совсем непростым и неоднозначным.

В соответствии с частью 6 статьи 9 закона «О персональных данных» в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных. Для операторов, имеющих дело с несовершеннолетними субъектами, – это головная боль и постоянный риск нарушить закон, конституционные права несовершеннолетнего, оказаться ответчиком по иску родителей и т.д.

Возникают эти ситуации довольно часто. Самая распространенная – принятие пользовательского соглашения и получение доступа к контенту на сайте, к платным или бесплатным информационным услугам, к рассылкам и т.п. Усугубляется ситуация анонимностью интернета, невозможностью в большинстве случаев идентифицировать пользователя и установить его возраст. Но здесь риски для оператора хоть и есть, но не очень большие. А есть ситуации с перспективой существенной материальной ответственности.

Надо ли брать согласие на обработку персональных данных в отношении учащихся учебных заведений, если обучение не предусматривает заключение договора? Если да, то у кого – у учащегося или его родителей? С какого возраста?

Кроме учащихся, есть многочисленные группы несовершеннолетних - участников творческих и спортивных соревнований, юные актеры и модели, имеющие вполне профессиональные контракты, и многие другие.

Так что делать?

Если кто не знает, Гражданский кодекс РФ вводит три возраста дееспособности.

Гражданская дееспособность, т.е. способность гражданина своими действиями приобретать и осуществлять гражданские права, создавать для себя гражданские обязанности и исполнять их возникает в полном объеме, в соответствии с частью 1 статьи 21 ГК РФ, с наступлением совершеннолетия, то есть по достижении 18-летнего возраста. Если законом допускается вступление в брак до достижения 18 лет, гражданин, не достигший 18-летнего возраста, приобретает дееспособность в полном объеме со времени вступления в брак.

Часть 1 статьи 26 ГК РФ предусматривает, что в возрасте от 14 до 18 лет юноши и девушки вправе совершать сделки, за исключением перечисленных в части 2 той же статьи, только с письменного согласия своих законных представителей - родителей, усыновителей или попечителя.

Без согласия законного представителя можно:

1) распоряжаться своими заработком, стипендией и иными доходами;

2) осуществлять права автора произведения науки, литературы или искусства, изобретения или иного охраняемого законом результата своей интеллектуальной деятельности;

3) вносить вклады в кредитные организации и распоряжаться ими;

4) совершать мелкие бытовые сделки и иные сделки, предусмотренные частью 2 статьи 28 ГК РФ – см. ниже.

При этом несовершеннолетние, совершая перечисленные действия, самостоятельно несут имущественную ответственность и за причиненный ими вред.

Ограничить или лишить несовершеннолетнего в возрасте от 14 до 18 лет права самостоятельно распоряжаться своими заработком, стипендией или иными доходами может только суд, при наличии достаточных оснований, и по ходатайству родителей, усыновителей или попечителя либо органа опеки и попечительства, кроме случаев, когда несовершеннолетний успел вступить в брак.

Но и здесь есть нюансы. Статья 27 ГК РФ с красивым названием «Эмансипация» предусматривает, что несовершеннолетний, достигший 16 лет, может быть объявлен полностью дееспособным, если он работает по трудовому договору, в том числе по контракту, или с согласия родителей, усыновителей или попечителя занимается предпринимательской деятельностью.

Объявление несовершеннолетнего полностью дееспособным (эмансипация) производится по решению органа опеки и попечительства с согласия обоих родителей, усыновителей или попечителя, либо при отсутствии такого согласия, – по решению суда.

После такого важного события законные представители эмансипированного чада уже не несут ответственность по его обязательствам, в частности, по обязательствам, возникшим вследствие причинения им вреда.

Наверное, для многих будет неожиданностью узнать, что есть дееспособность и у детишек от 6 до 14 лет. Это указано как раз в упоминавшейся выше части 2 статьи 28. Они могут без участия родителей или иных представителей совершать (1) мелкие бытовые сделки (естественно, кодекс не определяет, что под них подпадает, мы включаем здравый смысл и полагаем, что это покупка мороженого или воздушного шарика, например), (2) сделки, направленные на безвозмездное получение выгоды, не требующие нотариального удостоверения либо государственной регистрации, а также (3) сделки по распоряжению средствами, предоставленными законным представителем или с согласия последнего третьим лицом для определенной цели или для свободного распоряжения.

Но имущественную ответственность по сделкам малолетнего, в том числе по сделкам, совершенным им самостоятельно, несут его родители, усыновители или опекуны, если не докажут, что обязательство было нарушено не по их вине. Эти лица, в соответствии с законом, также отвечают за вред, причиненный малолетними.

Самое интересное, с точки зрения рассматриваемого вопроса, – это сделки за номером (2), направленные на безвозмездное получение выгоды. Под эту категорию вполне подпадает принятие пользовательского соглашения на сайте сети интернет, а оно часто требует в качестве акцепта представления своих персональных данных.

И что же, пусть неграмотный шестилетка занимается этим на законном основании?

Не думаю.

А думаю вот что. Дееспособность в отношении своих персональных данных у субъекта наступает в возрасте 14 лет, когда он лично, а не его представители, получает паспорт, который, в терминах Научно-практического комментария Роскомнадзора, имеет идентификаторы субъекта, присвоенные государством и которые сами по себе однозначно определяют физическое лицо (стр. 16 комментария).

Было бы странно выдавать такой документ и ограничивать его самостоятельное использование обладателем в случаях, когда законом такие ограничения прямо не предусмотрены.

С другой стороны, статья 61 Семейного кодекса РФ предусматривает, что родительские права прекращаются по достижении детьми возраста 18 лет (совершеннолетия), а также и в других установленных законом случаях приобретения детьми полной дееспособности до достижения ими совершеннолетия. А статья 64 Семейного кодекса устанавливает, что родители являются законными представителями своих детей и выступают в защиту их прав и интересов в отношениях с любыми физическими и юридическими лицами, в том числе в судах, без специальных полномочий. Значит, действия, предусмотренные частью 6 статьи 9 закона «О персональных данных», в отношении 17-летнего абитуриента или бегуна-полумарафонца должны выполнить его родители?

Все не так просто.

Часть 2 статьи 54 закона «Об основах охраны здоровья граждан в Российской Федерации» дает право несовершеннолетним в возрасте старше 15 лет, больным наркоманией несовершеннолетним в возрасте старше 16 лет на информированное добровольное согласие на медицинское вмешательство или на отказ от него. С согласием на трансплантацию в качестве реципиента еще хуже, но об этом писать не буду – страшно.

В соответствии со статьей 9 закона «О гражданстве Российской Федерации», для приобретения или прекращения гражданства Российской Федерации ребенком в возрасте от 14 до 18 лет необходимо его согласие, что точно требует представления персональных данных. Про согласие родителей в законе нет ничего.

Статья 58 закона «Об актах гражданского состояния» дает право 14-летнему ребенку переменить свое имя, включающее в себя фамилию, собственно имя и (или) отчество, т.е. по своему усмотрению, без родителей, распорядиться персональными данными.

Статья 20 Трудового кодекса РФ в общем случае устанавливает, что вступать в трудовые отношения в качестве работников имеют право лица, достигшие возраста 16 лет, а в случаях и в порядке, которые установлены Кодексом, также лица, не достигшие указанного возраста. С момента начала трудовых отношений такие лица приобретают все права, предусмотренные главой 14 ТК РФ как субъекты персональных данных.

Аргументы можно приводить и дальше, их в наших законах много.

Поэтому резюмирую. Дееспособность в отношении своих персональных данных, в том числе право выражать согласие на их обработку и предоставлять иным лицам по своему усмотрению наступает в возрасте 14 лет.

Хорошо бы по этому поводу услышать мнения регулятора и надзорного органа, но, увы, они пока молчат.

И каждый пошел своею дорогой, а суд пошел своей

Письмо Банка России № 42-Т от 14 марта 2014 г. «Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан», судя по его содержанию, было реакцией надзорного подразделения на участившиеся случаи массового выноса на городские помойки документов с персональными данными клиентов не самых последних российских банков.

Хроника событий (взятых из открытых источников) выглядела примерно так:

Май 2013: ветер разносит заявления и договоры клиентов Сбербанка над  московским Зеленоградом.

Май 2013: мешки с заявками на предоставление кредитов в банке «Кедр» в мусорных баках Абакана.

Январь 2014: на свалке мешки документов из офиса Сбербанка, ставшего под ремонт в Ижевске.

Февраль 2014: мешки с документами Альфа-Банка в центре Екатеринбурга.

Тем не менее письмо № 42-Т не вызвало большого внимания специалистов, которые вяло пообсуждали, согласившись, что опять рассказали про Волгу и Каспийское море. На нюансы письма одним из первых обратил внимание Николай Беляков из банковского сообщества. Предпоследний абзац письма сурово сообщал, что «Территориальным учреждениям Банка России при осуществлении надзора за деятельностью кредитных организаций следует учитывать случаи выявления недостатков в деятельности, связанных с исполнением норм Федерального закона от 27.07.2006 № 152-ФЗ, и рассматривать их как негативный фактор при оценке качества управления кредитной организацией, в том числе оценке организации системы внутреннего контроля в соответствии с Положением Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».

Дальше мостик перекидывается весьма неожиданно. Статья 48 Федерального закона от 23.12.2003 № 177-ФЗ «О страховании вкладов физических лиц в банках Российской Федерации» предусматривает возможность прекращения банками привлечения средств физических лиц, если группа показателей качества управления банком, включая показатели, характеризующие систему управления рисками, состояние внутреннего контроля, оценивается как неудовлетворительная в течение трех месяцев подряд. Как терручреждения ЦБ будут оценивать документы на свалке, знают только они, но банки, попавшие под раздачу, кое-какие выводы сделали. Сбербанк, отделение которого отличилось в г. Зеленограде, управляющую отделением, чьи документы ветер развеял над городом, сначала отстранил от работы, а затем уволил.

Но, как я люблю говорить на своих курсах, это было только начало истории.

А продолжение она получила уже в апреле этого года. Материалов судебного дела в открытом доступе обнаружить, к сожалению, не удалось, поэтому выводы буду делать на основании публикации в «Известиях».

Уволили руководителя отделения «банка друзей» за разглашение банковской тайны - подпункт в) п.6 ст.81 Трудового кодекса, предусматривающего расторжение трудового договора по инициативе работодателя в случае однократного грубого нарушения работником трудовых обязанностей, в частности – разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.

Формулировку в трудовой книжке уволенного руководителя и материалов служебного расследования я, естественно, не видел, но, подозреваю, что там кадровики дали маху. Подозреваю, потому что суд все доводы работодателя отмел и … восстановил управляющую в должности с компенсацией ей более миллиона рублей за вынужденный прогул, моральный вред и судебные издержки. По мнению суда, руководитель отделения Сбербанка ни в чем не виновата – документы на помойку вынесла сотрудница клининговой компании (это сейчас так толерантно называют уборщиц) из Киргизии, которую быстро отправили на родину. Коробку с документами она взяла из-под стола в операционном зале, причем, по мнению уволенного руководителя, взяла неправомерно, потому как документы на выброс не предназначались. Адвокат восстановленной работницы с гордостью сообщил, что «мы доказали, что она не имела к этой истории никакого отношения: уборщица самовольно, без чьего-либо указания и приказа, в нарушение всех инструкций взяла под столом документы, которые находились в работе и не предназначались к выносу за пределы Сбербанка. К тому же, когда утром уборщица выкидывала документы, самой Ломовой еще не было на рабочем месте».

Еще раз повторюсь, дело, на мой взгляд, в формулировке причин увольнения. Если она была таковой, как указано в публикации «Известий» - разглашение банковской тайны, то оспорить ее было не так уж и трудно. Управляющая отделением ничего сама не разглашала. Она не создала условий, обеспечивающих выполнение закона. А это – совсем другая история.

Что значит, не создала условий в данном случае? Читаем закон 152-ФЗ «О персональных данных» и постановление Правительства № 687. Ст.19 152-ФЗ: «Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных». Пункт 15 постановления: «При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором».

В рассматриваемой ситуации имел место и неправомерной (случайный) доступ уборщицы к персональным данным клиентов, и сохранность их не обеспечена, и распространение налицо – заявления на получения пластиковых карт, банковское обслуживание, договоры на открытие счетов с фамилиями, именами, отчествами клиентов, их паспортными данными и даже финансовыми историями клиентов летали над городом, и каждый желающий мог с ними ознакомиться.

Вот если бы должностные обязанности руководителю отделения банкам были определены корректно, и в них бы предусматривалось обеспечение соблюдения законодательства в сфере персональных данных, основание для увольнение должно было быть совсем другим – не п.6, а п.10 той же статьи 81 ТК РФ: «однократного грубого нарушения руководителем организации (филиала, представительства), его заместителями своих трудовых обязанностей». Оспорить его в суде при установленном факте наличия документов в мусорном баке и вокруг него было бы крайне сложно.

Еще одна история. В отделении того же банка в Ижевске документы оказались на улице вообще по анекдотичной причине. Водитель грузовика, вывозившего бумажные документы банка на утилизацию, толкнул его первому же желающему «для подсыпки дороги». Сами понимаете, кредитные заявления для этой цели, в отличие от строительного мусора, годятся плохо, вот и полетели они над Ижевском, как ранее над Зеленоградом.

И рецепты по традиции.

1.     Определяя приказом ответственного за организацию обработки персональных данных в юридическом лице, не забудьте вменить в обязанность руководителям структурных подразделений (филиалов, отдельных операционных офисов) обязанности по обеспечению требований 152-ФЗ во вверенном подразделении и предусмотреть ответственность за их невыполнение.

2.     В договор с организацией, производящей утилизацию носителей персональных данных, не забудьте включить пункт о конфиденциальности и ответственности за ее несоблюдение.

3.     Если такого условия нет и включить его почему-то нельзя, обеспечьте присутствие ответственного работника оператора при следовании транспорта на предприятие по утилизации и в ходе самой утилизации вплоть до полного уничтожения носителя.

И помните – в соответствии с законом лицо, которому оператором поручена обработка персональных данных (в данном случае – уничтожение) перед субъектом ответственности не несет, а отвечает только перед оператором. Как отвечает – должно быть определено в договоре, иначе неизбежны долгие и сложные споры в арбитраже с непредсказуемым исходом.

Специально для банков. Закон о персональных данных теперь – элемент оценки деятельности банка с точки зрения эффективности управления и внутреннего контроля. Принять превентивные меры, доказывающие добросовестность оператора (правильно написать нормативные документы) не сложно. Но сделать это надо заранее.

Кто имеет право знать наши тайны?

Весенняя сессия Государственной Думы в очередной раз расширила права органов власти получать информацию, доступ к которой ограничен федеральным законодательством, для осуществления своих функций и реализации возложенных полномочий.

Ситуация выглядит парадоксальной – в стране порядка пятидесяти видов различных тайн, установленных законами, но как только вопрос коснется полномочий того или иного властного института, оказывается, что для него получить скрываемые на законном основании сведения не составляет никакой проблемы. Да и ответственность за неправомерные действия с защищаемыми сведениями в большинстве случаев лишь декларируется, а на деле ограничивается почти не работающей статьей 13.14 КоАП «Разглашение информации с ограниченным доступом» со смешными по нынешним временам максимальными штрафами в 1000 рублей для граждан и 5000 рублей для должностных лиц, да статьей 81 ТК РФ, допускающей увольнение за такое однократное грубое нарушение трудовых обязанностей, как разглашение охраняемой законом тайны, в том числе разглашение персональных данных другого работника. Кстати это сразу вызывает вопрос о последствиях разглашения персональных данных не-работника, а, например, клиента. Это тоже охраняемая законом тайна, но зачем-то ведь работника отметили отдельно?

Ситуация с тайнами, доступом и ответственностью давно требует серьезной систематизации, осмысления и изменения нормативного регулирования, а пока несколько «заметок на полях законов».

В Рунете активно обсуждался Федеральный закон от 23.07.2013 № 205-ФЗ «О внесении изменений в отдельные законодательные акты РФ в связи с уточнением полномочий органов прокуратуры РФ по вопросам обработки персональных данных», наделяющий прокуратуру правами доступа к врачебной тайне без согласия субъекта и судебного решения, но лишь немногие обратили внимание на гораздо более серьезное изменение в законе «О прокуратуре», которое касается не только врачебной тайны, но вообще любых охраняемых законом сведений и наделяет надзорный орган правом получать необходимую для осуществления прокурорского надзора информацию, доступ к которой ограничен в соответствии с федеральными законами. То есть фактически – к любой! Есть там, правда, слова «в установленных законодательством Российской Федерации случаях», но проверка и надзор и есть установленные законом случаи. А вот знакомить гражданина с материалами проверки, затрагивающими его права и свободы, но содержащимисведения, составляющие охраняемую законом тайну, нельзя ни при каких обстоятельствах.

Обязательность представления тем или иным органам власти сведений, доступ к которым органичен законом, регулируется очень большим количеством актов, часто не соответствующих друг другу и противоречивых, и разобраться в них совсем не просто.

Например, в соответствии с законами «О рекламе» и «О защите конкуренции» коммерческие и некоммерческие организации обязаны представлять в антимонопольный орган по его мотивированному требованию в установленный срок информацию, составляющую коммерческую, служебную, иную охраняемую законом тайну. Слово «иную» означает так же, как и в случае с прокуратурой, фактически любую. А в случае отказа такая информация истребуется путем обязания ее предоставления судебным решением. Мотивированность же запроса – понятие относительное и не главное. 

Не захотел, к примеру, в 2007 году «Псковпищепром» предоставлять запрошенные Управлением ФАС по Псковской области сведения об объеме реализации алкогольной продукции и организациях, чья доля составляет на рынке более 10% от общего объема продаж, а суды в первой, апелляционной и кассационной инстанциях с ним не согласились, обязав представить сведения, составляющие на законном основании коммерческую тайну, в УФАС. В отношении мотивированности запроса Федеральный арбитражный суд Северо-Западного округа постановил, как отрезал: «По смыслу положений ст.1, 22, 23 и 25 ФЗ «О защите конкуренции», а также ст.6 ФЗ «О коммерческой тайне», степень конкретизации имеющих правовое значение критериев (мотив, цель, правовое основание запроса) как оценочная категория представляется юридически подчиненной общим задачам и целям соответствующего запроса, равно как и пределам полномочий антимонопольного органа». Чего там мотивировать…

Для многих будет, наверное, неожиданностью, что в отличие от антимонопольных органов права налоговиков на доступ к охраняемым законом сведениям очень ограничены. Если к банковской тайне, как я уже писал, теперь доступ у них фактически неограниченный, то с коммерческой тайной ситуация другая. При проверке налоговиками документов, связанных с исчислением и уплатой обязательных платежей, не являющихся налогами или сборами, пенями, штрафами, предусмотренными Налоговым кодексом, они могут получать необходимые объяснения, справки и сведения, за исключением сведений, составляющих коммерческую тайну, определяемую в установленном законодательством порядке. Т.е. тех, в отношении которых владельцем установлен режим коммерческой тайны.

Например, ООО «Баренц-Алко» при проведении налоговой проверки отказалось ознакомить налоговиков с результатами проведенного по их заказу маркетингового исследования рынка, которое посчитало составляющим коммерческую тайну. Налоговая инспекция требовать ознакомления не стала, а просто посчитала неправомерным отнесение стоимости исследования на расходы, т.к. в договоре на проведение работ отсутствовала цена, а акт выполнения работ и калькуляция не соответствовали требованиям закона «О бухгалтерском учете», и доначислила налоги. И суд кассационной инстанции с инспекцией согласился.

В соответствии с законом «Об организации страхового дела в Российской Федерации» Банк России, получивший функции надзорного органа в отношении субъектов страхового дела, тем не менее не вправе получать (во всяком случае, пока) от страховых компаний сведения, составляющие банковскую тайну.

А вот Агентство страхования вкладов вправе получать информацию, составляющую служебную, коммерческую и банковскую тайну банка, в отношении которого наступил страховой случай, необходимую для осуществления им функций, установленных законом «О страховании вкладов физических лиц в банках Российской Федерации».

Напоследок еще один забавный случай. Истребовала инспекция ФНС по Ленинскому административному округу Омска у местного филиала «Промсвязьбанка» информацию, которую банк посчитал составляющей банковскую тайну. Банк запрос удовлетворить отказался, ссылаясь на то, что запрос таких сведений требует особого подтверждения подлинности, а печать налоговики на письме не поставили.

Инспекция попыталась привлечь банк к административной ответственности за отказ в предоставлении информации, однако банк оспорил это в суде, и во всех трех инстанциях суды с банком согласились. Я, правда, до сих пор не понимаю, почему на письмо нельзя было поставить печать и не доводить рассмотрение этого сложного вопроса до окружного федерального арбитражного суда.

Ну, и рецепт. Читайте внимательно законы, особенно регламентирующие деятельность вашей конкретной организации. Может оказаться, что предоставлять информацию органу власти по его запросу вы не только не обязаны, но и получать такую информацию запрашивающий орган права не имеет.