Всі ми надаємо згоди на обробку персональних даних – коли реєструємося у цифрових сервісах, укладаємо договори або отримуємо адміністративні послуги. Як правило, споживач не ставить під сумнів правомірність збирання його згоди, адже в Україні це звична практика, а бізнес, застосовуючи таку правову підставу для обробки персональних даних клієнтів, часто не замислюється над умовами та правовими наслідками її використання.

Про які умови та правові наслідки йдеться? Спробуємо знайти відповіді в законодавстві та судовій практиці.

Відповідно до ст. 2 Закону України «Про захист персональних даних» (далі – Закон) згода суб’єкта персональних даних – добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. У сфері електронної комерції згода суб’єкта персональних даних може бути надана під час реєстрації в інформаційно-комунікаційній системі суб’єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки.

Також Закон дозволяє суб'єкту персональних даних відкликати згоду на обробку, якщо остання відбувається згідно з пунктом 1 частини першої статті 11 Закону.

Отже, Закон вимагає дотримання наступних умов дійсності згоди: добровільність, наявність сформульованої мети обробки, поінформованість суб’єкта даних про таку мету, форма згоди. Одразу необхідно звернути увагу на те, що добровільність передбачає вільний вибір – надавати згоду чи ні, відкликати згоду чи ні. Іншими словами, якщо особа відкликає згоду на обробку певного обсягу її персональних даних, це не повинно негативно позначитись на можливості продовжити користуватися цифровим сервісом/послугою/тощо, інакше про який вільний вибір може йти мова?

«Стривайте, якщо особа відкликає згоду на обробку її персональних даних, це призведе до розірвання договору, тому що унеможливлює подальші відносини з клієнтом», – може заперечити бізнес в Україні.

Така точка зору сягає корінням до листа Міністерства юстиції України від 26.04.2013 № 5543-0-33-13/6.1 й національна судова практика активно використовує запропонований у ньому підхід.

Так, у постанові від 22.03.2024 у справі № 540/4500/21, Верховний Суд послався на зміст вищенаведеного листа, зазначивши: «Надання згоди на обробку персональних даних за своєю правовою природою є правочином у сенсі статті 202 Цивільного кодексу України. У той же час статтею 214 Цивільного кодексу України встановлено, що відмова від правочину вчиняється у такій самій формі, в якій було вчинено правочин. Отже, відкликання згоди можливе лише стосовно майбутньої обробки персональних даних, але не тих даних, які вже були оброблені. Рішення та процеси, які були здійснені під час обробки персональних даних, не можуть бути анульованими».

Місцеві загальні суди також використовують цю позицію, зокрема, при розгляді спорів щодо визнання кредитних договорів недійсними. Наприклад, Васильківський міськрайонний суд Київської області у рішенні від 04.12.2020 у справі № 362/3249/20, посилаючись на вищенаведене обґрунтування, виснував, що «у володільця персональних даних після отримання відкликання згоди суб`єкта персональних даних більше не існує правових підстав для зберігання персональних даних, якщо строки зберігання таких даних не визначені законодавством (стаття 15 Закону)».

Інший приклад – Києво-Святошинський районний суд Київської області у рішенні від 15.03.2021 р. по справі № 369/8445/20 дійшов висновку, що «у даному випадку згода позивача на обробку його персональних даних була також надана у зв`язку з укладанням Кредитного договору (п. 3 частини першої ст. 11 Закону). А той факт, що Кредитний договір продовжує свою дію, а у суду нема доказів його припинення, відповідно відкликання згоди на обробку персональних даних можливе лише шляхом укладання сторонами Кредитного договору додаткового договору чи припинення дії Кредитного договору шляхом його виконання з боку позивача. Вказане твердження підтверджується наступним. Надання згоди на обробку персональних даних за своєю правовою природою є правочином у розумінні статті 202 ЦК України. В той же час статтею 214 ЦК України встановлено, що відмова від правочину вчиняється у такій самій формі, в якій було вчинено правочин».

Схожі висновки можна зайти у рішеннях Березнівського районного суду Рівненської області від 30.08.2023 у справі №555/1285/23, Дубенського міськрайонного суду Рівненської області від 02.12.2021 по справі № 559/1621/21 та багатьох інших.

Насправді, переважну більшість рішень місцевих судів об’єднує відсутність всебічного аналізу різниці між окремими пунктами ст. 11 Закону та фактичне прирівнювання обробки персональних даних для цілей укладення та виконання договору до їх обробки на підставі згоди. Навіть у випадках, коли суди констатують, що згода та виконання договору є самостійними підставами обробки персональних даних, подальшого розгорнутого мотивування різниці між ними, на жаль, не відбувається.

Наприклад, Макарівський районний суд Київської області у рішенні від 07.06.2021 у справі № 370/2799/20 сфокусувався на твердженні про те, що «Відповідно до п. 3 ст. 11 Закону України «Про захист персональних даних», підставою для обробки персональних даних, зокрема є: «3) укладення та виконання правочину […] Виходячи із прямої норми даної статті та вимог законодавства у сфері фінансових послуг відповідач не тільки може, а і зобов`язаний обробляти персональні дані позивача до моменту припинення договірних відносин». Суд знову-таки звернувся до вже згаданого листа Міністерства юстиції України й констатував, що оскільки обробка персональних даних відбувається для цілей виконання договору, відкликання згоди є застосовним лише у випадках, передбачених п. 1 ч. 1 ст. 11 Закону. При цьому, згода, розміщена на сайті відповідача, з якою необхідно було погодитись для укладення договору, містила таку мету обробки, як виконання кредитного договору, але ця обставина не була проаналізована судом, тож "позивач добровільно дала згоду на обробку її персональних даних, а умови кредитного договору та Правил не містять жодних обмежень щодо права позивача, передбаченого ст. 8 ЗУ «Про захист персональних даних», про відкликання своєї згоду на обробку персональних даних".

Тим не менш, згода та виконання договору все ще залишаються окремими правовими підставами для обробки персональних даних. На відміну від вітчизняної судової практики, рішення наглядових органів із захисту персональних даних в ЄС вичерпно та однозначно окреслюють їх відмінності: обсяги персональних даних, що обробляються за цими підставами, є різними, можуть існувати одночасно та визначаються низкою умов, а відкликання згоди не означає припинення договірних відносин з клієнтом.

Зокрема, наглядовий орган Фінляндії наклав штраф у розмірі 8 500 євро на видавця спортивного журналу (справа № 2890/161/2021) за порушення вимог до здійснення прямого маркетингу – здійснення автоматизованих дзвінків підписникам без їхньої згоди. В ході розслідування було виявлено, що умови передплати журналу включали вимогу погодитись на прямий маркетинг, і якщо підписник відмовлявся надати таку згоду, журнал не можна було передплатити. Наглядовий орган констатував порушення Загального регламенту про захист даних (GDPR), оскільки спосіб отримання згоди не відповідав вимогам останнього: згода, отримана разом із підпискою, і поставлена в залежність від прийняття умов договору, не відповідає критерію добровільності для цілей прямого маркетингу.

Цей приклад дозволяє прослідкувати просту й цілком застосовну до українського Закону логіку: збір персональних даних для певних цілей в межах договірних відносин може відбуватися на підставі згоди, але не слід ототожнювати цю обробку з власне обробкою для цілей виконання договору, як і ставити в залежність надання згоди та прийняття умов договору. Таке розуміння важливо розвивати вже зараз, в тому числі в судовій практиці, адже в довгостроковій перспективі на Україну очікує оновлення законодавства про захист персональних даних, що неминуче зумовить необхідність зміни підходів до правозастосування.