Обработка персональных данных в контексте подписания документов представителями

Прежде всего, необходимо определить роль подписанных документов в обработке персональных данных подписанта.

С одной стороны, документ — это носитель персональных данных подписанта (как минимум, ФИО, должность, подпись). Поэтому рассматривать персональные данные в документе отдельно от судьбы, статуса, цели и природы этого документа — не представляется возможным. Все, что будет происходить с документом — будет происходить и с данными в нем. В то же время, с данными в документе не может произойти ничего, в отрыве от этого конкретного документа-носителя. Персональные данные в документе носят несамостоятельный, акцессорный, атрибутивный характер.

Они следуют судьбе документа, которая определяется его целью и содержанием, а не персональными данными в нем.

С другой стороны, документ — это волеизъявление представляемого лица, а подпись в нем — подтверждение воли этого лица, а вовсе не воли подписавшего документ субъекта персональных данных.

Итак, подпись на документах представляемого лица — это проявление воли этого лица, а никак не воли его представителя.

Из этого следует, что подписант не вправе блокировать своей волей волю того лица, от имени и во исполнение воли которого он поставил подпись на документе. Например, представитель не вправе реализовать свое право на удаление персональных данных с подписанных им документов, поскольку это приведет к их уничтожению и непригодности к использованию. Иными словами—уничтожит волеизъявление представляемого лица. Интерес представляемого лица был бы нарушен реализацией такого права субъектом персональных данных. Поэтому в отношении подписываемых документов воля и интересы представляемого превалируют над правами представителя как субъекта персональных данных.

Объяснение этому явлению можно также обнаружить в концепции «расширенного я» (self-extention concept, см. слайды 3-4 моего учебника по Теории права приватности http://privacylawtheory.com/), где профессиональная роль субъекта — это одна из разновидностей «производного я».

Персональные данные в документе это — не что иное как атрибуты роли человека в его профессиональной деятельности. [NB Не обязательно эти персональные данные должны быть идентичны тем, которые субъект использует для индивидуализации своего «основного я». Мы знаем немало примеров, когда люди творческих профессий используют для индивидуализации своей деятельности псевдоним или второе имя. Подпись Генерального директора на деловой документации часто может быть отличной от той, которую он ставит на личных документах.]

В рассматриваемом нами случае субъект исполняет роль представителя. Поэтому реализация им прав в области приватности ограничена рамками полномочий в этой роли. Представитель—действует от лица, в интересах и по поручению представляемого.

В настоящем рассуждении под представительством предлагаю понимать письменный или устный договор, стороной которого является субъект персональных данных. Это может быть договор поручения, выраженный в доверенности или приказе, договор с Генеральным директором, Главным бухгалтером, трудовой договор, договор корпоративного участия, акционерное соглашение или иной договор, согласно которому субъект обязан представлять интересы юридического лица (компании) перед определенным кругом третьих лиц, в том числе подписывать документы от лица представляемого (далее — «договор на представительство»).

Действия представителя влекут правовые последствия не для него самого, а для представляемого. В результате между представляемым и третьим лицом возникают правоотношения, являющиеся целью представительства. Но никакие ПРАВОотношения (права и обязанности) между представителем и этим третьим лицом не возникают. Между ними складываются лишь некие организационные отношения, не порождающие взаимных прав и обязанностей между ними.

Представитель вправе и обязан действовать от имени доверителя только в пределах данных ему полномочий. Полномочие – это субъективное право представителя выступать от чужого имени и совершать в отношении третьих лиц определенные юридические действия, порождающие правовые последствия для представляемого.

Таким образом, представительство складывается из: 1) правоотношения между представляемым лицом и представителем, 2) организационного отношения между представителем и третьими лицами (из числа лиц по договору на представительство), 3) правоотношения между представляемым лицом и третьим лицом.

Мы рассмотрим первые два и порассуждаем об обработке персональных данных в каждом из них в контексте подписания документов представителями.

Здесь представляемое лицо является оператором и обрабатывает персональные данные подписанта (в том числе, в форме передачи документа адресату) на основании договора на представительство, стороной которого он является. Очевидно, согласие на обработку от представителя не требуется и не будет надлежащим основанием для обработки его персональных данных. Стороны договора на представительство состоят также в правоотношении по обработке персональных данных, которое является дополнительным, производным от правоотношения представительства.

Договором на представительство предполагается, что подписанные документы могут передаваться лишь тем лицам, перед которыми подписант представительствует. То есть круг таких третьих лиц ограничен рамками полномочий.

Раскрытие/передача документа должны определяться его целью и возможны лишь тем лицам, которым документ адресован или предназначен. Наличие персональных данных представителя в нем никак не влияет на возможность передачи документа тому кругу лиц, который обозначен или предполагается договором.

Для всех остальных третьих лиц и документ и, следовательно, персональные данные в нем — должны оставаться конфиденциальными, если законом или решением уполномоченного органа представляемого лица не предписана его публикация/распространение неограниченному кругу лиц: бухгалтерская отчетность, Устав, внутренние положения, публичные заявления и т.п.

Таким образом, документы носят ограниченно конфиденциальный характер, не связанный с наличием в них персональных данных подписантов, а определяемый исключительно предназначением и целью издания документов.

Адресат, получатель документа обрабатывает персональные данные в документе не как персональные данные субъекта (например, в целях его определения или идентификации), а как информацию, доказывающую полномочия на представление интересов компании. Он использует персональные данные в документе для сверки с информацией о представителе в публичных реестрах, приказах, решениях или доверенности, чтобы убедиться в достоверности волеизъявления представляемого лица.

Сам по себе подписант как субъект персональных данных не интересует получателя документа, кроме как посредник, средство взаимодействия с представляемым лицом.

Подписант здесь выступает не в роли самого себя, а в роли представителя/органа представляемого лица. Необходимо различать роли человека: когда тот действует от своего имени—это основная роль, когда действует от представляемого лица— это производная роль. И одна роль человека в одних правоотношениях не должна и не может смешиваться с его другой ролью в других правоотношениях. Это привело бы к смешению и разрушению структуры самих правоотношений.

Реализация личных прав информационной приватности в роли субъекта персональных данных невозможна, оставаясь в роли представителя внутри организационных отношений с третьим лицом. Потому что у представителя нет таких полномочий, и они не предполагаются договором на представительство или организационными отношениями с третьим лицом.

Возможно, между представителем и третьим лицом складываются производные от их организационных отношений—правоотношения по обработке персональных данных?

Давайте рассмотрим: получатель документа использует персональные данные в нем для проверки полномочий подписанта, затем хранит документ с этими данными, возможно, передает документ третьим лицам, архивирует и в, конце концов, уничтожает документ. А вместе с ним и персональные данные.

Казалось бы, персональные данные в документе есть, их обработка, предопределенная целью и судьбой документа, — также есть, следовательно, мы вынуждены презюмировать и наличие правоотношения по обработке персональных данных представителя третьим лицом?

Обратите внимание на тот факт, что намерений вступать в правоотношения по обработке персональных данных ни у одной из сторон нет, права субъекта персональных данных представитель в полной мере реализовать не может (например, удалить подпись из документа), поскольку выступает от лица представляемого, и реализует лишь те полномочия, которые ему передал представляемый. А в этот скоуп точно не входят личные права представителя на информационную приватность, реализуемые им в отношении третьего лица.

Действия в роли представителя ограничены правами, имеющимися у представляемого (нельзя передать прав больше, чем имеешь) и делегированными ему полномочиями. Такие действия порождают права и обязанности лишь у представляемого, но не у самого представителя. Поскольку у представляемого лица нет никаких правомочий в области приватности, следовательно, и у его представителя их возникнуть никак не может (за исключением ситуаций, когда представляемый – физическое лицо, но и в этом случае представитель будет реализовывать не свои личные права, а лишь права представляемого им физического лица как субъекта персональных данных).

Таким образом, действуя в роли представителя и находясь в организационных отношениях представительства с третьим лицом, представитель не может вдруг вернуться в роль своего «основного я» — субъекта персональных данных и потребовать реализации своих личных прав в области информационной приватности.

Чтобы их реализовать субъект, должен был бы действовать от себя лично, реализовывать свои права извне роли представителя, находясь вне отношений с третьим лицом.

Но, представитель не имеет личной правосубъектности в области информационной приватности, являясь одновременно производным: и от представляемого им лица, и от субъекта персональных данных. Представитель может реализовать по отношению к третьему лицу лишь те права, на которые он уполномочен. Не более того. Свои личные права на информационную приватность, в том числе права субъекта персональных данных, представитель реализовать в отношении третьего лица не может, поскольку обратное означало бы выход представителя за рамки своих полномочий и за рамки организационных отношений представительства.

Несмотря на то, что данные в документе — это персональные данные субъекта, а получатель документа выполняет их обработку, мы приходим к выводу, что правоотношение по обработке персональных данных между представителем и третьим лицом не возникает.

Признание за ролью представителя правосубъектности в сфере информационной приватности, при полном отсутствии у этой роли свободы действий в организационных отношениях — привело бы нас к парадоксу, при котором лицо, находясь в одной и той же роли – представителя, имело бы разный набор прав: в производном правоотношении по обработке персональных данных –прав больше, чем в основном организационном отношении представительства с третьим лицом.

Более того, эта презумпция поставила бы каждого получателя подписанного документа в роль оператора персональных данных, со всеми вытекающими обязанностями, включая, например, необходимость предоставлять доступ подписанту ко всем подписанным им документам; вносить изменения в данные подписанта в документе (например, при смене должности или фамилии); прекращать обработку данных подписанта в документе по его требованию; удалять данные подписанта из документа.

Очевидно, такое положение было бы противоестественным и, не только полностью блокировало бы деловой, межведомственный и международный документооборот, — но и создавало бы условия для злоупотребления правом и манипулирования со стороны подписанта любого документа.

Автор: Елена Себякина - консультант, эксперт в области приватности, участник RPPA.
16.07.2021