Энциклопедия решений. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных (декабрь 2024)

Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

Частью 1 ст. 16 Закона N 152-ФЗ установлен запрет на принятие решений, порождающих юридические последствия в отношении субъектов персональных данных или каким либо иным образом затрагивающих права и законные интересы этих субъектов, если такие решения принимаются на основании исключительно автоматизированной обработки их персональных данных. Как видим, данная норма сформулирована законодателем не совсем удачно, т.к. не ясно, о чем идет речь.

В ст. 15 Директивы*(1) Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24.10.1995 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных (далее - Директива) аналогичное положение было изложено несколько иначе, а именно: государства-члены ЕС предоставляют каждому лицу право не подвергаться действию решения, которое порождает правовые последствия, касающиеся его или существенно влияющие на него, основанные только на автоматической обработке данных, предназначенных для оценки отдельных относящихся к нему проявлений, таких как результаты работы, кредитоспособность, надежность, поведение и т.д. Регламент (ЕС) 2016/679 Европейского Парламента и Совета Европейского Союза от 27.04.2016 вводит понятие "профилирования", что подразумевает автоматизированную обработку персональных данных в любой форме, при которой оцениваются личные аспекты, связанные с физическим лицом, в частности для анализа или прогнозирования аспектов, касающихся работы субъекта данных, его экономического положения, здоровья, личных предпочтений или интересов, его надежности или поведения, местонахождения или передвижений, когда такая обработка создает юридические последствия для него или оказывает существенное влияние на него (формирование профиля (п. 4 ст. 4 Регламента (ЕС)). В случае автоматической обработки субъекту данных предоставляется право на то, чтобы не подпадать под действие такого решения, кроме случаев, когда это допустимо законодательством, под действие которого подпадает контролер, в том числе в целях мониторинга и предупреждения мошенничества и незаконного сокрытия доходов в соответствии с регламентами, стандартами и рекомендациями институтов Союза или национальных органов надзора, а также для гарантии безопасности и надежности услуги, предоставляемой контролером, или если это необходимо для заключения или исполнения договора между субъектом данных или контролером, или если субъект данных дал свое прямое согласие. В любом случае указанная обработка должна осуществляться в соответствии с надлежащими гарантиями, включающими в себя особое информирование субъекта данных и право на вмешательство оператора, на высказывание своей точки зрения, получение объяснения в отношении решения, принятого после оценки, а также на оспаривание такого решения. Причем указанная мера не должна касаться ребенка (параграф 71 Преамбулы Регламента (ЕС)).

Безусловно, что в случаях, когда анализ персональных данных и принятие решения в отношении конкретного человека осуществляются исключительно в автоматизированном режиме, для субъекта персональных данных возникают определенные риски. Например, кредитная организация может отказать потенциальному заемщику в выдаче кредита после оценки информационной системой его платежеспособности, кредитной истории и т.п. информации. Работодатель на основе автоматизированной обработки персональных данных соискателя может счесть его непригодным для выполнения той или иной работы. К тому же возможны погрешности внесения персональных данных в информационную систему самим субъектом, поскольку он делает это самостоятельно без чьей-либо помощи, что также может повлечь для него негативные последствия. В связи с этим законодатель и устанавливает дополнительные гарантии для защиты прав и законных интересов субъектов персональных данных.

Так, условия допустимости принятия подобных решений приведены в ч. 2 ст. 16 Закона N 152-ФЗ. Такая обработка персональных допускается исключительно при наличии согласия физического лица в письменной форме либо в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных (см., например, ст. 85.1 Воздушного кодекса РФ, ст. 11 Федерального закона от 09.02.2007 N 16-ФЗ "О транспортной безопасности").

При этом оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов (ч. 3 ст. 16 Закона N 152-ФЗ). Если субъект возражает, то оператор обязан рассмотреть заявленное возражение в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения (ч. 4 ст. 16 Закона N 152-ФЗ). В какой форме должно быть заявлено возражение, Закон N 152-ФЗ не раскрывает. Полагаем, это отнесено на усмотрение оператора и должно быть закреплено во внутреннем документе организации.

______________________________________

*(1) Регламентом (ЕС) 2016/679 Европейского Парламента и Совета ЕС от 27.04.2016 настоящая Директива отменена с 25 мая 2018 г.

Тема

Права субъекта персональных данных

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.