Могут ли персональные данные быть законно распространены без согласия субъекта?
Суды приходят к выводу, что в некоторых случаях это возможно.
Ст. 10.1 №152-ФЗ устанавливает требования к согласию на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
При этом закон не допускает применение положений этой статьи к обработке персональных данных в целях выполнения функций, полномочий и обязанностей государственными и муниципальными органами (ч. 15 ст. 10.1 №152-ФЗ).
У регулятора и надзора по этому вопросы позиции разные:
- Минцифры назвало согласие “единственным правовым основанием, которое свидетельствует о том, что субъект персональных данных разрешил распространять персональные данные”.
- Однако Роскомнадзор указывал, что при распространении персональных данных в соответствии с ч. 11 ст. 10.1 №152-ФЗ согласие субъекта не требуется.
Суды, в свою очередь, не так категоричны.
- В деле №А40-139096/22 кассационная инстанция подтвердила, что согласие на распространение персональных данных необходимо только в том случае, если основанием обработки выбран п. 1 ч. 1 ст. 6 №152-ФЗ.
- Ранее подобный подход наблюдался в ситуации с согласием на поручение обработки персональных данных (например, дело №А21-4273/2014).
Соответственно, видится перспективность иных подходов, допускающих распространение персональных данных без согласия субъекта персональных данных, если обработка осуществлялась по п. 2 - 11 ч. 1 ст. 6 №152-ФЗ. Однако операторам стоит не забывать о позиции регулятора и оценивать риски.
