Федеральный закон «О персональных данных» в статье 3 относит любую информацию, относящуюся к прямо или косвенно определенному физическому лицу, к персональным данным. Копии паспорта и ИНН, очевидно, содержат такую информацию, следовательно, их предоставление и последующая обработка компанией подпадают под регулирование этого закона. Компания выступает оператором, а гражданин — субъектом персональных данных.
"Статья 3 определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Копии паспорта и ИНН содержат персональные данные. Оператор - юридическое или физическое лицо, организующее и осуществляющее обработку персональных данных. Обработка включает сбор, запись, систематизацию, накопление, хранение, использование, передачу и другие действия. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или кругу лиц."
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 3
Условия, при которых обработка персональных данных допускается без отдельного согласия, установлены статьёй 6 Закона. В данном случае обработка необходима для заключения и исполнения договора по инициативе субъекта персональных данных (гражданин сам обращается за услугой). Следовательно, компания вправе обрабатывать копии паспорта и ИНН именно для целей оформления и выполнения договора вывоза мусора без истребования отдельного письменного согласия. Однако та же норма прямо запрещает включать в договор положения, ограничивающие права и свободы субъекта персональных данных, и допускающие в качестве условия заключения договора бездействие субъекта. Это означает, что компания не может навязывать гражданину отказ от каких-либо мер защиты своих данных, а условие договора, обязывающее предоставить копии без возможности нанесения пометок, могло бы быть поставлено под сомнение, если бы оно лишало субъекта права контролировать использование своих данных.
"Статья 6. Условия обработки персональных данных: ... 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных"
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 6
Принципы обработки персональных данных, закреплённые в статье 5, требуют, чтобы обработка осуществлялась на законной и справедливой основе, ограничивалась достижением конкретных, заранее определённых и законных целей, а содержание и объём обрабатываемых данных не были избыточными по отношению к заявленным целям. Цель компании — идентификация контрагента и исполнение договора. Паспорт и ИНН необходимы для этой цели, но гражданин вправе обратить внимание на избыточность: например, подпись на копии паспорта не является идентифицирующим признаком, а её зачёркивание не препятствует достижению целей обработки. Кроме того, данные должны храниться не дольше, чем этого требуют цели обработки, и по их достижении подлежать уничтожению либо обезличиванию. Компания обязана соблюдать эти ограничения.
"1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
- Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
- Обработке подлежат только персональные данные, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
- Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных... Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки и"
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 5
Статья 7 Закона устанавливает обязанность оператора и иных лиц, получивших доступ к персональным данным, не раскрывать их третьим лицам и не распространять без согласия субъекта, если иное не предусмотрено федеральным законом. Компания, получив копии паспорта и ИНН, обязана обеспечить конфиденциальность этих данных и использовать их исключительно в целях договора. Гражданин может ссылаться на эту норму, требуя от компании соответствующих гарантий, в том числе при личном присутствии при снятии копий — это дополнительный контроль, но не прямое требование закона.
"Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом."
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 7
Согласие субъекта персональных данных на обработку, согласно статье 9, должно быть свободным, конкретным, информированным, сознательным и однозначным. В данном случае обработка осуществляется на основании договора (ст. 6, п. 5), поэтому отдельное согласие не требуется, но гражданин, предоставляя копии, тем самым выражает свою волю на обработку в определённых целях. Он вправе конкретизировать эту волю, например, нанеся пометку «для заключения договора на вывоз мусора» — это делает цель обработки более явной и ограничивает оператора в использовании данных за пределами этой цели. Такое действие не противоречит закону, а, напротив, способствует информированности и конкретности предоставления данных.
"Статья 9. Согласие субъекта персональных данных на обработку его персональных данных. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных. 2. Согласие на обработку персо"
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 9
Оператор обязан принимать меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом, включая издание внутренних документов, определяющих политику обработки персональных данных (статья 18.1). Компания как оператор должна самостоятельно определить состав и перечень таких мер, достаточных для защиты данных. Это может включать, в частности, организацию приёма документов, при котором снятие копий происходит в присутствии субъекта, но закон не предписывает именно такого способа; компания может предложить иные меры (например, получение сканов через защищённые каналы). Если компания не принимает необходимых мер, она нарушает Закон, что влечёт ответственность по статье 24.
"Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом. 1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам, в частности, относятся: ... 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику о"
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 18.1
Статья 24 Закона предусматривает ответственность за нарушение требований законодательства о персональных данных, включая возможность взыскания морального вреда независимо от возмещения имущественного вреда и убытков. Если компания использует копии паспорта и ИНН за пределами целей договора (например, передаёт третьим лицам), гражданин вправе требовать компенсации морального вреда, а также привлечения компании к административной ответственности по КоАП РФ. Это служит дополнительной гарантией защиты прав субъекта, даже если он предоставил копии с пометками или без них.
"Статья 24. Ответственность за нарушение требований настоящего Федерального закона
- Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
- Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков."
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 24