Несовершеннолетние субъекты персональных данных
Несовершеннолетние субъекты персональных данных — это физические лица, не достигшие возраста 18 лет, чьи персональные данные (любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу) обрабатываются операторами или иными лицами. В силу ограниченной дееспособности несовершеннолетних законодательство большинства стран, включая Российскую Федерацию, устанавливает особые требования к сбору, хранению, использованию и распространению их данных, направленные на защиту прав и законных интересов ребёнка.
Правовой статус несовершеннолетних в контексте персональных данных
Правовой режим обработки персональных данных несовершеннолетних определяется прежде всего возрастом субъекта, который влияет на объём его дееспособности. В Российской Федерации гражданская дееспособность возникает в полном объёме с 18 лет (статья 21 Гражданского кодекса РФ). До этого возраста выделяются несколько категорий:
- Малолетние (до 14 лет). От их имени согласие на обработку персональных данных дают законные представители — родители, усыновители или опекуны. Согласно части 6 статьи 9 Федерального закона «О персональных данных» (152-ФЗ), согласие на обработку персональных данных несовершеннолетнего, не достигшего 14 лет, даётся именно законным представителем.
- Несовершеннолетние от 14 до 18 лет. Они вправе самостоятельно давать согласие на обработку своих персональных данных, но с письменного подтверждения законного представителя. Исключение составляют случаи, когда несовершеннолетний приобретает полную дееспособность до 18 лет (например, вступление в брак или эмансипация — статья 27 ГК РФ). В таких ситуациях он действует самостоятельно.
- Эмансипированные несовершеннолетние. Приобретают полную дееспособность и все права субъекта персональных данных в полном объёме.
Особенности согласия на обработку данных
Согласие на обработку персональных данных несовершеннолетнего должно быть конкретным, информированным и сознательным. Оно может быть отозвано законным представителем или самим несовершеннолетним (с 14 лет) в любое время. Форма согласия — письменная, если иное не предусмотрено законом. В случае обработки данных в информационно-телекоммуникационных сетях (например, в социальных сетях или образовательных платформах) допускается электронная форма согласия, подписанная простой электронной подписью.
Обработка персональных данных несовершеннолетних в различных сферах
Образование и воспитание
Наиболее массовая область обработки данных несовершеннолетних — образовательные организации (школы, детские сады, учреждения дополнительного образования). Операторами выступают как государственные, так и частные учреждения. Обработка включает сбор фамилии, имени, отчества, даты рождения, места жительства, сведений о родителях, медицинских данных (для организации питания, занятий физкультурой), а также данных об успеваемости и поведении. Согласие на обработку обычно даётся родителями при зачислении ребёнка. Важно, что образовательные организации обязаны обеспечить конфиденциальность этих данных и не вправе передавать их третьим лицам без отдельного согласия (например, для публикации списков отличников или фотографий на сайте школы).
Медицина
Медицинские организации обрабатывают персональные данные несовершеннолетних в рамках оказания медицинской помощи. Согласие на обработку медицинских данных (которые относятся к специальной категории) даётся законными представителями. Исключение — случаи, когда несовершеннолетний достиг возраста 15 лет (или 16 лет — для наркологической помощи) и вправе самостоятельно давать информированное добровольное согласие на медицинское вмешательство (статья 54 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации»). В таких ситуациях он также вправе самостоятельно давать согласие на обработку своих персональных данных, связанных с оказанием этой помощи.
Интернет и цифровые сервисы
С развитием цифровых технологий особую актуальность приобрела обработка данных несовершеннолетних в интернете. Операторы сайтов и приложений, ориентированных на детей (например, образовательные платформы, игровые сервисы, социальные сети), обязаны соблюдать повышенные требования. В Российской Федерации с 1 сентября 2021 года действует Федеральный закон от 30.12.2020 № 530-ФЗ, который ввёл обязанность операторов получать согласие на обработку данных несовершеннолетних от их законных представителей, если сервис предназначен для детей. При этом оператор должен идентифицировать возраст пользователя и обеспечить механизмы родительского контроля. Зарубежные сервисы, работающие с данными российских детей, также подпадают под действие 152-ФЗ, если они обрабатывают данные на территории РФ.
Ответственность за нарушения
Нарушение правил обработки персональных данных несовершеннолетних влечёт административную, гражданско-правовую, а в отдельных случаях — уголовную ответственность. Основные виды ответственности:
- Административная (статья 13.11 КоАП РФ). Штрафы для должностных лиц — от 10 000 до 20 000 рублей, для юридических лиц — от 30 000 до 150 000 рублей. За повторное нарушение или обработку без согласия — штрафы до 300 000 рублей.
- Гражданско-правовая. Субъект персональных данных (или его законный представитель) вправе требовать возмещения морального вреда и убытков, причинённых незаконной обработкой.
- Уголовная (статья 137 УК РФ). Нарушение неприкосновенности частной жизни, в том числе в отношении несовершеннолетних, может наказываться штрафом до 200 000 рублей, обязательными работами или лишением свободы до 2 лет.
Международный опыт
В Европейском союзе защита персональных данных несовершеннолетних регулируется Общим регламентом по защите данных (GDPR). Согласно GDPR, дети считаются уязвимой категорией, и для обработки их данных требуется согласие законного представителя, если ребёнок младше 16 лет (государства-члены могут установить более низкий порог, но не ниже 13 лет). В США действует Закон о защите конфиденциальности детей в интернете (COPPA), который требует получения согласия родителей на сбор данных детей младше 13 лет.
Особые случаи
- Дети-сироты и дети, оставшиеся без попечения родителей. Их данные обрабатываются органами опеки и попечительства, а также организациями для детей-сирот. Согласие даётся законными представителями (опекунами, попечителями) или руководителями таких организаций.
- Дети, признанные недееспособными. Согласие на обработку их персональных данных даётся опекуном.
- Обработка биометрических данных. Для несовершеннолетних биометрические данные (например, отпечатки пальцев, изображение лица) могут обрабатываться только с согласия законного представителя и в случаях, прямо предусмотренных законом (например, для прохода в школу или получения паспорта).
Тенденции и перспективы
В последние годы наблюдается усиление контроля за обработкой персональных данных несовершеннолетних. В России Роскомнадзор активно проводит проверки образовательных и медицинских учреждений, а также интернет-сервисов. В 2023 году были введены требования к операторам по размещению на своих сайтах политики обработки персональных данных, адаптированной для несовершеннолетних. Ожидается дальнейшее ужесточение ответственности за утечки данных и введение обязательного уведомления родителей о любых инцидентах, связанных с данными детей.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ.
- Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
- Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ.
- Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ.
- Общий регламент по защите данных (GDPR) Европейского союза (Regulation (EU) 2016/679).
- Children's Online Privacy Protection Act (COPPA), США, 1998.
- Разъяснения Роскомнадзора по вопросам обработки персональных данных несовершеннолетних (официальный сайт).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →