НАУЧНО-ПРАКТИЧЕСКИЙ ПОСТАТЕЙНЫЙ
КОММЕНТАРИЙ
К ФЕДЕРАЛЬНОМУ ЗАКОНУ "О
ПЕРСОНАЛЬНЫХ ДАННЫХ"
А.И. САВЕЛЬЕВ
2-е издание, переработанное и
дополненное
Савельев Александр Иванович, кандидат
юридических наук, доцент факультета права НИУ ВШЭ, юрисконсульт компании IBM
(Россия/СНГ), член Консультативного совета при Роскомнадзоре.
Список сокращений
АПК РФ - Арбитражный процессуальный кодекс
Российской Федерации от 24 июля 2002 г. N 95-ФЗ;
ЕСПЧ - Европейский суд
по правам человека;
ГК РФ - Гражданский
кодекс Российской Федерации (часть первая от 30 ноября 1994 г. N 51-ФЗ; часть
вторая от 26 января 1996 г. N 14-ФЗ; часть третья от 26 ноября 2001 г. N
146-ФЗ; часть четвертая от 18 декабря 2006 г. N 230-ФЗ);
ГПК РФ - Гражданский
процессуальный кодекс Российской Федерации от 14 ноября 2002 г. N 138-ФЗ;
Закон о банкротстве -
Федеральный закон от 26 октября 2002 г. N 127-ФЗ "О несостоятельности
(банкротстве)";
Закон о персональных
данных - Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных
данных";
Закон о проведении
эксперимента в области ИИ - Федеральный закон от 24 апреля 2020 г. N 123-ФЗ
"О проведении эксперимента по установлению специального регулирования в
целях создания необходимых условий для разработки и внедрения технологий
искусственного интеллекта в субъекте Российской Федерации - городе федерального
значения Москве и внесении изменений в ст. 6 и 10 Федерального закона "О
персональных данных";
Закон о рекламе -
Федеральный закон от 13 марта 2006 г. N 38-ФЗ "О рекламе";
Закон о техническом
регулировании - Федеральный закон от 27 декабря 2002 г. N 184-ФЗ "О
техническом регулировании";
Закон об информации -
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации,
информационных технологиях и о защите информации";
Закон об охране здоровья
- Федеральный закон от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны
здоровья граждан в Российской Федерации";
Закон об электронной
подписи - Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной
подписи";
Директива 1995 г. - Директива
Европейского парламента и Совета Европейского Союза 95/46/ЕС от 24 октября 1995
г. о защите прав физических лиц при обработке персональных данных и о свободном
движении таких данных;
КоАП РФ - Кодекс
Российской Федерации об административных правонарушениях от 30 декабря 2001 г.
N 195-ФЗ;
Конвенция 1981 г. - Конвенция
Совета Европы о защите физических лиц при автоматизированной обработке
персональных данных (Страсбург, 28 января 1981 г.);
Минцифры России -
Министерство цифрового развития, связи и массовых коммуникаций Российской
Федерации;
ОЭСР - Организация по
экономическому сотрудничеству и развитию;
Порядок проведения
проверок - Постановление Правительства РФ от 13 февраля 2019 г. N 146 "Об
утверждении Правил организации и осуществления государственного контроля и
надзора за обработкой персональных данных";
Роскомнадзор -
Федеральная служба по надзору в сфере связи, информационных технологий и
массовых коммуникаций;
Руководящие принципы
ОЭСР - Руководящие принципы ОЭСР по защите частной жизни и трансграничного
обмена персональными данными 1980 г. (OECD Guidelines on the Protection of
Privacy and Transborder Flows of Personal Data);
Суд ЕС - Европейский суд
справедливости;
ТК РФ - Трудовой кодекс
Российской Федерации от 30 декабря 2001 г. N 197-ФЗ;
УК РФ - Уголовный кодекс
Российской Федерации от 13 июня 1996 г. N 63-ФЗ;
УПК РФ -
Уголовно-процессуальный кодекс Российской Федерации от 18 декабря 2001 г. N
174-ФЗ;
GDPR - General Data
Protection Regulation: Регламент Европейского парламента и Совета Европейского
Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке
персональных данных и о свободном обращении таких данных, а также об отмене
Директивы 95/46/ЕС;
EDPB - European Data
Protection Board: Европейский совет по защите персональных данных.
Предисловие ко второму
изданию
С момента выхода первого издания
комментария прошло четыре года, и за это время произошло достаточно много
изменений. Закон о персональных данных пополнился новыми положениями, в числе
которых достаточно революционные нормы о порядке обработки "персональных
данных, разрешенных субъектом для распространения", аналогов которым нет в
зарубежных правопорядка. Появились новая судебная практика и разъяснения
Роскомнадзора по применению ранее существовавших положений. Кроме того,
некоторые инициативы, реализуемые в рамках национального проекта "Цифровая
экономика", также имеют свое влияние на развитие законодательства в
области персональных данных, что обусловливает целесообразность их анализа в
данном контексте.
Не стояло на месте и
зарубежное законодательство в области персональных данных. Появились практика
применения GDPR, разъяснения европейских регуляторов и судебные решения
Европейского суда справедливости, которые могут иметь значение и для российских
операторов в силу экстерриториального характера действия данного акта. Наконец,
в 2018 г. появилась модернизированная версия Конвенции N 108, которую Россия
подписала со своей стороны и планирует имплементировать в национальное
законодательство.
Все эти изменения
обусловили целесообразность подготовки второго издания комментария. Во втором
издании отражены не только актуальные по состоянию на 2 июля 2021 г. изменения
в законодательстве о персональных данных, но и все релевантные разъяснения
Роскомнадзора по вопросам применения законодательства о персональных данных, в
том числе изложенные им в рамках серии публичных семинаров для операторов,
прошедших в 2020 - начале 2021 г. Кроме того, проанализирована и отражена
сформированная за последние годы доступная судебная практика по отдельным
вопросам толкования и положения законодательства о персональных данных. В тех
случаях, когда это релевантно для российских операторов, приведены положения GDPR
и существующие разъяснения европейских регуляторов, а также судебные решения
Европейского суда справедливости.
Автор выражает
признательность коллегам по Консультативному совету при Роскомнадзоре, в
особенности руководителю Консультативного совета Ирине Геннадьевне Алехиной и
начальнику Управления Роскомнадзора по защите прав субъектов персональных
данных Юрию Евгеньевичу Контемирову, которые принимают активное участие в
развитии правоприменительной практики в области персональных данных. Особо
хотелось бы поблагодарить и других коллег по Консультативному совету - доцента
кафедры теории и истории государства и права СПбГУ Владислава Владимировича
Архипова и директора юридического департамента ГК "Иннотех" Вадима
Перевалова за ценные дискуссии и высказанное мнение по ряду вопросов,
отраженных в данном комментарии.
Высказанные в работе
суждения являются личным мнением автора и могут не совпадать с официальной
позицией компании IBM, НИУ ВШЭ или какой-либо иной организации.
27 июля 2006 года |
N 152-ФЗ |
РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
О ПЕРСОНАЛЬНЫХ ДАННЫХ
(в ред. Федеральных законов от
25.11.2009 N 266-ФЗ,
от 27.12.2009 N 363-ФЗ, от 28.06.2010 N
123-ФЗ, от 27.07.2010 N 204-ФЗ,
от 27.07.2010 N 227-ФЗ, от 29.11.2010 N
313-ФЗ, от 23.12.2010 N 359-ФЗ,
от 04.06.2011 N 123-ФЗ, от 25.07.2011 N
261-ФЗ, от 05.04.2013 N 43-ФЗ,
от 23.07.2013 N 205-ФЗ, от 21.12.2013 N
363-ФЗ, от 04.06.2014 N 142-ФЗ,
от 21.07.2014 N 216-ФЗ, от 21.07.2014 N
242-ФЗ, от 03.07.2016 N 231-ФЗ,
от 22.02.2017 N 16-ФЗ, от 01.07.2017 N
148-ФЗ, от 29.07.2017 N 223-ФЗ,
от 31.12.2017 N 498-ФЗ, от 27.12.2019 N
480-ФЗ, от 24.04.2020 N 123-ФЗ,
от 08.12.2020 N 429-ФЗ, от 30.12.2020 N
515-ФЗ, от 30.12.2020 N 519-ФЗ,
от 11.06.2021 N 170-ФЗ, от 02.07.2021 N
331-ФЗ)
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1. Сфера действия
настоящего Федерального закона
1. Несмотря на название,
комментируемая ст. определяет лишь предметную
сферу действия комментируемого Закона, а именно отношения, на которые он
распространяется, а также перечень изъятий из сферы его действия. Сфера
действия данного Закона во времени определяется в его ст. 25. К сожалению,
комментируемый Закон никак не конкретизирует сферу своего действия в
пространстве, что особенно актуально для определения круга иностранных лиц, на
которых распространяются его требования. Как следствие, территориальная сфера
действия комментируемого Закона определяется посредством системного толкования
положений иных законов и конкретизирована в разъяснениях Минцифры России,
которое является федеральным органом исполнительной власти, осуществляющим
функции по выработке и реализации государственной политики и
нормативно-правовому регулированию в сфере обработки персональных данных, и
уполномочено на дачу разъяснений по данным вопросам <1>. Указанные
разъяснения опубликованы на официальном сайте Минцифры России <2> и будут
предметом подробного анализа далее.
--------------------------------
<1> См. п. 1 и 6.6
Положения о Министерстве цифрового развития, связи и массовых коммуникаций
Российской Федерации, утв. Постановлением Правительства РФ от 2 июня 2008 г. N
418 (в ред. от 11 марта 2021 г.) (СПС "КонсультантПлюс").
<2> См.: Обработка
и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года. URL:
https://digital.gov.ru/ru/personaldata/.
1.1. Предметная сфера действия
законодательства РФ о персональных данных определена в комментируемой статьи
посредством указания на два основных признака правоотношений: 1) наличие связи
таких отношений с процессами обработки персональных данных и 2) использование
средств автоматизации или иных средств, которые по своему характеру схожи с
ними и позволяют осуществлять поиск персональных данных в соответствии с
заданным алгоритмом.
Первый признак будет
иметь место всегда, когда положительно решен вопрос о квалификации выступающей
объектом правоотношения информации в качестве персональных данных, поскольку
существующая дефиниция обработки персональных данных охватывает любые действия,
совершаемые с ними (о понятии персональных данных и их обработке см. комментарий
к ст. 3 Закона).
Второй признак будет
иметь место во всех случаях автоматизированной обработки, то есть использования
средств вычислительной техники для обработки персональных данных (компьютеров,
планшетов, смартфонов, "умных" часов, устройств, подключенных к сети
Интернет, и т.п.). Фактически об автоматизированной обработке персональных
данных можно вести речь всегда, когда такие данные выражены в цифровой форме, в
том числе доступны в какой-либо форме в сети Интернет.
Кроме того, данный
признак будет иметь место при осуществлении "неавтоматизированной"
обработки персональных данных, удовлетворяющей в совокупности следующим условиям (далее - квазиавтоматизированная
обработка):
а) поиск и (или) доступ
к таким данным осуществляются в соответствии с определенным алгоритмом, что
предполагает наличие систематизации соответствующих документов по конкретным
критериям (например, по фамилиям в алфавитном порядке и (или) по годам);
б) использование,
уточнение, распространение, уничтожение персональных данных в отношении каждого
из субъектов персональных данных осуществляются при непосредственном участии
человека, независимо от того, хранятся такие сведения в информационной системе персональных
данных или нет <1>.
--------------------------------
<1> См.: Постановление
Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об
особенностях обработки персональных данных, осуществляемой без использования
средств автоматизации" // СПС "КонсультантПлюс".
1.2. В отсутствие систематизации
документов по определенным критериям невозможно осуществление действий с ними
по определенному алгоритму, а следовательно, такие действия не могут по своему
характеру соответствовать действиям, осуществляемым при автоматизированной
обработке, и не подпадают под действие Закона о персональных данных. При этом
следует подчеркнуть, что буквальное толкование ч. 1 комментируемой статьи
позволяет сделать вывод о том, что требование о наличии алгоритма установлено в
виде альтернативы как применительно к поиску,
так и к доступу к соответствующим
данным, а не только к поиску, как иногда указывается в литературе <1>.
Кроме того, Закон прямо указывает на то, что речь идет о доступе к "таким
данным", отсылая тем самым к предыдущей фразе, в которой речь идет о
"зафиксированных на материальном носителе и содержащихся в картотеках или
иных систематизированных собраниях персональных данных". Иными словами, к хранению и иным видам обработки
несистематизированных персональных данных без использования средств
автоматизации Закон о персональных данных не применяется, даже если к таким
сведениям возможен последующий доступ третьих лиц.
--------------------------------
<1> См.:
Федеральный закон "О персональных данных": научно-практический комментарий
/ под ред. зам. руководителя Федеральной службы по надзору в сфере связи,
информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С.
8 - 9.
1.3. Примером квазиавтоматизированной
обработки, подпадающей под действие комментируемого Закона, являются действия
оператора, связанные с ведением разного рода картотек личных дел сотрудников
организации; договоров, заключенных с физическими лицами; медицинских карт
пациентов в регистратурах поликлиник; журналов выдачи одноразовых пропусков на
территорию и т.п. При этом если персональные данные, содержащиеся в
"бумажных" документах, систематизированные в картотеках, параллельно
используются, уточняются, распространяются или уничтожаются с использованием
средств вычислительной техники (например, при использовании программных
продуктов по расчету зарплат и управлению персоналом), то имеет место так называемая
смешанная обработка - обработка, осуществляемая оператором без использования
средств автоматизации и автоматизированным способом одновременно. Данный термин
хотя и не фигурирует в Законе, но используется на практике
контрольно-надзорными органами и судами (Постановление Четвертого арбитражного
апелляционного суда от 17 января 2011 г. по делу N А19-25289/2009;
Апелляционное определение Владимирского областного суда от 20 января 2015 г. по
делу N 33-139/2015). Несмотря на то что в данном случае оба средства обработки
подпадают под действие Закона о персональных данных, существуют определенные
различия в правовых последствиях их осуществления, которые необходимо
учитывать, например, в ч. наличия или отсутствия обязанности по уведомлению
Роскомнадзора об обработке персональных данных (см. подробнее комментарий к ст.
22 Закона). При этом следует учитывать п. 2 Положения об особенностях обработки
персональных данных, осуществляемой без использования средств автоматизации, в
соответствии с которым "обработка персональных данных не может быть
признана осуществляемой с использованием средств автоматизации только на том
основании, что персональные данные содержатся в информационной системе
персональных данных либо были извлечены из нее".
1.4. Если деятельность
по обработке персональных данных не сопряжена с использованием автоматизированных
или квазиавтоматизированных средств обработки, то она в соответствии с ч. 1
комментируемой статьи не подпадает под действие Закона о персональных данных (Постановление
Арбитражного суда Центрального округа от 7 июля 2020 г. по делу N
А83-12510/2018). Например, если осуществляется обработка персональных данных
контрагента по "бумажному" договору при оформлении дополнительных
документов к нему (актов, дополнительных соглашений, договоров уступки) без
использования вычислительных средств, а также без внесения этих документов в
систематизированные картотеки (Постановление Двадцатого арбитражного
апелляционного суда от 12 июля 2016 г. N 20АП-3775/2016 по делу N
А23-4903/2012). По тем же причинам не подпадает под действие Закона о
персональных данных устное разглашение личных сведений о физическом лице в
присутствии третьих лиц (Апелляционное определение Курганского областного суда
от 27 марта 2014 г. по делу N 33929/2014) или разглашение личных данных
посредством направления письма, содержащего их, в адрес третьих лиц
(Кассационное определение Саратовского областного суда от 7 февраля 2012 г. по
делу N 33-697). Однако если указанные действия совершались с использованием вычислительных
средств, например, посредством сети Интернет, то они по общему правилу
подпадают под действие Закона о персональных данных.
Некоторые суды со
ссылкой на отсутствие факта автоматизированной или квазиавтоматизированной
обработки не относят действия лица по вывешиванию в подъезде дома объявлений с
персональными данными проживающего в нем лица подпадающими под Закон о
персональных данных (Апелляционное определение Волгоградского областного суда
от 9 января 2019 г. по делу N 33-774/2019). Вместе с тем, по мнению представителей
Роскомнадзора, такие действия все же могут составлять нарушение Закона о
персональных данных. Как отметила замначальника Управления по защите прав
субъектов персональных данных Роскомнадзора Альфия Гафурова, выступая 26 ноября
2020 г. на онлайн-семинаре для операторов персональных данных, информация о
сумме задолженности жильца вместе с Ф.И.О. или упоминанием полного адреса места
жительства должника считается персональными данными. Их публикация в подъездах,
на официальном сайте компании и в СМИ без согласия должника является
правонарушением. При этом она отметила, что в списках можно указывать сумму
задолженности вместе с номером квартиры жильца или номером его лицевого счета
<1>. К сожалению, данная позиция не сопровождалась анализом применимости
положений ч. 1 ст. 1 Закона о персональных данных к указанной ситуации.
Представляется, что в данных случаях все же можно констатировать факт
автоматизированной обработки управляющей компанией или иным схожим лицом,
которое размещает данные сведения в подъезде, поскольку в подавляющем
большинстве случаев они взяты из администрируемых такими лицами электронных баз
данных и картотек, являясь тем самым следствием их автоматизированной
обработки. Позиция же о допустимости указания суммы задолженности в
совокупности с номером квартиры находит определенное отражение и в существующей
судебной практике (Апелляционное определение Верховного суда Республики Бурятия
от 29 мая 2017 г. по делу N 33-2132/2017).
--------------------------------
<1> См.:
Роскомнадзор счел списки должников в подъездах противозаконными. 26 ноября 2020
г. URL: https://www.rbc.ru/technology_and_media/26/11/2020/5fbfa7209a7947
ba6dfa790c.
1.5. В судебной практике
сформировалась позиция, согласно которой действие Закона о персональных данных
не распространяется на "отношения по собиранию, проверке, хранению
сведений в процессе возбуждения, расследования и рассмотрения уголовных дел и
сам по себе он не может ограничивать права участников уголовного процесса и
заявителей о преступлениях на ознакомление с материалами уголовных дел и
проверок сообщений о преступлениях" (Определение Конституционного Суда РФ
от 29 сентября 2011 г. N 1251-О-О; Апелляционное постановление Московского
городского суда от 3 сентября 2019 г. по делу N 10-11418/2019; Апелляционное определение
Санкт-Петербургского городского суда от 14 августа 2018 г. по делу N
2а-464/2018). Таким образом, наличие в материалах проверки по заявлению о
правонарушении персональных данных иных лиц, при отсутствии в них сведений об
их частной жизни и иных конфиденциальных сведений, не может ограничивать право
гражданина на ознакомление с этими материалами, непосредственно затрагивающими
его права и свободы (Апелляционное определение Верховного суда Республики
Башкортостан от 18 мая 2016 г. N 33а-9145/2016). Вместе с тем данный подход
имеет негативный эффект в отношении прав самих субъектов персональных данных,
так как ограничивает их возможности по реализации права требовать удаления
негативных сведений о них из материалов служебных проверок, по результатам
которых в возбуждении уголовного дела было отказано (Определение Второго
кассационного суда общей юрисдикции от 13 октября 2020 г. N 88-19712/2020).
Нельзя не отметить практику чрезмерного расширения судами сферы применения
позиции Конституционного Суда РФ, выраженной в Определении N 1251-О-О, в
результате которой иногда практически любая обработка персональных данных,
связанная со сферой уголовного судопроизводства, в частности передача данных о
гражданах по запросам дознавателей и следователей, выводится судами за рамки
действия Закона о персональных данных (см., например, решение Ивановского
областного суда от 10 августа 2017 г. по делу N 21-210/2017; Апелляционное определение
Липецкого областного суда от 23 ноября 2015 г. по делу N 33-3317/2015). Тот
факт, что такого рода обработка может осуществляться без получения на то
согласия гражданина правоохранительными органами и лицами, у которых такая
информация была запрошена на основании п. 2 ч. 1 ст. 6 Закона о персональных
данных, не означает сам по себе, что данные отношения не подпадают под действие
указанного Закона. Во-первых, никаких формальных исключений в ст. 1 Закона на
этот счет не указано. Во-вторых, помимо обеспечения надлежащего основания для
обработки данных у оператора существует множество иных обязанностей, в том числе
по принятию организационно-технических мер защиты таких данных, которые должны
соблюдаться в том числе и правоохранительными органами, обрабатывающими
персональные данные граждан в рамках своей компетенции.
1.6. Хотя Конвенция 1981
г. <1> формально касается лишь автоматизированной обработки персональных
данных, она допускает возможность распространения ее положений не только на
случаи автоматизированной обработки, но и на обработку без использования
средств автоматизации, что было учтено Российской Федерацией при ее ратификации
<2>. Аналогичные положения содержатся и в европейском законодательстве,
оперирующем понятием "система учета документов" (filling system), под которой понимается любой структурированный
массив персональных данных, доступных в соответствии с определенными
критериями, безотносительно к тому, является ли он централизованным,
децентрализованным или распределенным на функциональной или географической
основе. В соответствии со ст. 2(1) GDPR его положения распространяются как на
автоматизированную обработку персональных данных, так и на их обработку иными
способами, при которых персональные данные являются частью системы учета
документов. При этом отмечается, что "досье (файлы) или их наборы, а также
их обложки, не являющиеся структурированными в соответствии с определенными
критериями, ни при каких обстоятельствах не охватываются рамками настоящего
регламента" (п. 15 Преамбулы). Данные положения аналогичны тем, которые
содержались в ранее действовавшей Директиве 1995 г. Как следствие, судебная
практика отдельных европейских стран не относит к системе учета документов
неструктурированные массивы документов, которые по своему характеру
несопоставимы с автоматизированными средствами обработки данных, например,
набор документов, который бессистемно хранится в коробках (Smith v Lloyds TSB
Bank Plc, [2005] EWHC 246 (Ch)), или недостаточно объемные массивы документов
(например, четыре досье) (Durant v Financial Services Authority, [2003] EWCA
Civ 1746).
--------------------------------
<1> См.: Конвенция
Совета Европы о защите физических лиц при автоматизированной обработке
персональных данных (Страсбург, 28 января 1981 г.) // СПС
"КонсультантПлюс".
<2> См. п. 2
Федерального закона от 19 декабря 2005 г. N 160-ФЗ "О ратификации
Конвенции Совета Европы о защите физических лиц при автоматизированной
обработке персональных данных" (СПС "КонсультантПлюс").
1.7. Следует отметить, что цели
обработки персональных данных по общему правилу не имеют значения для решения
вопроса о распространении на нее положений Закона о персональных данных, за
исключением случаев, прямо указанных в ч. 2 комментируемой статьи. Поэтому
безотносительно того, осуществляется ли обработка данных в коммерческих,
политических, научно-исследовательских, статистических и прочих целях, она
подпадает под действие Закона о персональных данных.
Равным образом для
определения сферы применения Закона о персональных данных не имеет значения
статус субъекта, осуществляющего обработку персональных данных: в качестве
такового может выступать любое лицо, обладающее правоспособностью. Часть 1
комментируемой статьи относит к ним государственные и муниципальные органы
власти, юридических и физических лиц. Таким образом, российское
законодательство о персональных данных носит универсальный характер и в равной
степени распространяется на частный и публичный секторы, что, правда, не
означает отсутствия специальных норм в отношении последнего.
2. Часть
2 комментируемой статьи устанавливает закрытый перечень видов отношений по
обработке персональных данных, которые не подпадают под его действие независимо от того, какие средства
используются при их обработке (автоматизированная или
квазиавтоматизированная). Таким образом, ставить вопрос о применимости каких-либо
из данных видов исключений можно лишь после
того, как положительно решен вопрос о применимости Закона о персональных
данных к соответствующим отношениям в соответствии с положениями ч. 1
комментируемой статьи.
2.1. Закон
о персональных данных не распространяется на обработку персональных данных
физическими лицами исключительно для личных и семейных нужд, если при этом не
нарушаются права субъектов персональных данных. Появление данного исключения в
российском законодательстве является следствием оговорки, сделанной Россией при
ратификации Конвенции 1981 г., о неприменении ее положений к определенным
категориям автоматизированных данных <1>, в связи с чем данное исключение
не противоречит международным обязательствам РФ. Аналогичное изъятие из сферы
действия законодательства о персональных данных существует и в Европейском
союзе (ст. 2(2)(c) GDPR).
--------------------------------
<1> См. п.
"а" ст. 1 Федерального закона от 19 декабря 2005 г. N 160-ФЗ "О
ратификации Конвенции Совета Европы о защите физических лиц при
автоматизированной обработке персональных данных".
2.2. Понятие личных и семейных нужд не
конкретизируется в комментируемом Законе. Представляется, что для их толкования
можно обратиться к гражданскому законодательству и законодательству о защите
прав потребителей, в которых также используются указанные термины. Так, одним
из условий квалификации гражданина в качестве потребителя является приобретение
товаров (работ, услуг) "исключительно для личных, семейных, домашних и
иных нужд, не связанных с осуществлением предпринимательской деятельности"
<1>. Как следствие, не является потребителем гражданин, приобретающий товары
(работы, услуги) или использующий их в деятельности, которую он осуществляет
самостоятельно на свой риск с целью систематического извлечения прибыли. При
этом под предпринимательской деятельностью понимается самостоятельная,
осуществляемая на свой риск деятельность, направленная на систематическое
получение прибыли от пользования имуществом, продажи товаров, выполнения работ
или оказания услуг лицами, зарегистрированными в этом качестве в установленном
законом порядке (п. 1 ст. 2 ГК РФ). Таким образом, если процесс обработки
персональных данных физическим лицом направлен на осуществление
предпринимательской деятельности, он не охватывается понятием
"личных" и "семейных" нужд и подпадает под действие Закона
о персональных данных. Факт получения физическим лицом разовой прибыли от
деятельности, связанной с обработкой персональных данных, не должен сам по себе
лишать возможности применения рассматриваемого исключения из сферы действия Закона
о персональных данных, при условии, что отсутствуют нарушения прав субъектов
персональных данных.
--------------------------------
<1> Преамбула к
Закону РФ от 7 февраля 1992 г. N 2300-1 "О защите прав потребителей";
ст. 1212 ГК РФ.
2.3. В отечественной доктрине
отмечается, что понятие "личные нужды" следует понимать как
"потребности, которые существуют у самого гражданина или лиц, связанных с
ним личными (например, семейными) связями, и их удовлетворение никак не связано
с удовлетворением потребностей неопределенного круга третьих лиц"
<1>. Данная идея находит отражение в практике Суда ЕС. В деле Bodil
Lindquist Суд указал, что распространение физическим лицом персональных данных
третьих лиц в сети Интернет не подпадает под действие исключения об обработке
данных для личных нужд, поскольку такие данные становятся доступными
неопределенному кругу лиц (Bodil Lindqvist v , ECJ,
Case C-101/01, 6 November 2003, [47]). Представляется, что данный подход вполне
укладывается в положения российского Закона о персональных данных, который
сопровождает положение о неприменении исключения об обработке персональных
данных для личных нужд условием о ненарушении прав субъектов персональных
данных. Распространение данных в сети Интернет, их доступность неопределенному
кругу лиц означает утрату контроля над дальнейшим использованием таких данных,
что в совокупности с потенциальной возможностью их последующей обработки
инструментами аналитики "больших данных" определенно затрагивает
права субъектов персональных данных и в ряде случаев может их нарушать
(например, при публикации одним лицом совместных фотографий в отсутствие
согласия других присутствующих на них лиц).
--------------------------------
<1> Эрделевский А.
Банковский вклад и права потребителя // Законность. 1998. N 4. URL:
https://www.lawmix.ru/comm/8066.
Представляется, что решение о
применении или неприменении исключения об обработке персональных данных для
личных нужд должно приниматься с учетом всех обстоятельств конкретного случая,
при этом целесообразно учитывать степень доступности содержимого
интернет-ресурса, в частности, настройки приватности (при их наличии)
<1>.
--------------------------------
<1> К примеру, в
практике уполномоченного органа по защите персональных данных Норвегии
обработка персональных данных на странице социальной сети, доступ к которой
ограничен только зарегистрированным пользователям, подпадает под действие
рассматриваемого исключения. См.: Bygrave A. Data Privacy Law: An International
Perspective. Oxford University Press, 2014. P. 144.
2.4. В судебной практике возник вопрос
о возможности применения исключения об обработке для личных нужд применительно
к случаям установки лицом для целей охраны своей собственности камеры
видеонаблюдения, которая осуществляет циклическую запись на жесткий диск. В
Европе такая практика была признана недопустимой Европейским судом
Справедливости. В деле Суд признал недопустимым распространение
рассматриваемого исключения на подобного рода ситуации, поскольку такая обработка
не ограничена пределами частных владений лица, направлена за его пределы и
касается данных, полученных из публичных мест (улица), в связи с чем не
является обработкой, осуществляемой исключительно для личных и семейных нужд ( v pro ochranu , ECJ,
Case C-212/13, 11 December 2014). Тем самым была подтверждена правомерность
решения национального уполномоченного органа по защите персональных данных о
нарушении субъектом, установившим камеру, положений об обработке персональных
данных (отсутствие согласия прохожих на обработку, непредоставление им
информации о целях и иных условиях обработки, неподача уведомления об обработке
в уполномоченный орган). Фактически Суд исходил из максимально ограничительного
толкования исключения об обработке для личных нужд и высказался о
несовместимости личных и семейных нужд с обработкой данных из публичных мест,
особенно в тех случаях, когда она осуществляется на систематической основе
<1>.
--------------------------------
<1> Данный подход
нашел свою детализацию и развитие в разъяснениях EDPB. См.: Guidelines 3/2019
on processing of personal data through video devices, EDPB, 10 July 2019. P. 6.
Российские суды придерживаются схожей
позиции по данному вопросу, приходя к аналогичным выводам через нарушение права
на неприкосновенность частной жизни. Так, суд признал установку видеокамер
наблюдения в направлении домовладения истца с возможностью наблюдения и
фиксирования событий, связанных с личностью истца, членов его семьи, их
имуществом, неправомерным вмешательством в частную жизнь гражданина, поскольку
отсутствовали доказательства того, что лицом, установившим камеру, было
получено согласие от наблюдаемых лиц на видеонаблюдение за их семьей и
домовладением. Как следствие, требование о понуждении демонтировать видеокамеру
системы наблюдения было судом удовлетворено (Определение Четвертого
кассационного суда общей юрисдикции от 16 июля 2020 г. по делу N 88-9915/2020).
Аналогичная позиция была высказана и в другом деле, где видеокамера была
направлена на домовладение соседа, при этом суд также сослался и на нарушение
законодательства о персональных данных (Определение Шестого кассационного суда
общей юрисдикции от 23 декабря 2020 г. по делу N 88-25139/2020). Установка
камер видеонаблюдения в местах общего пользования коммунальной квартиры
(Апелляционное определение Санкт-Петербургского городского суда от 26 ноября
2013 г. N 33-17730/2013), подъезде многоквартирного дома (Определение
Четвертого кассационного суда общей юрисдикции от 18 февраля 2020 г. по делу N
88-2378/2020; Апелляционное определение Ульяновского областного суда от 2 июня
2015 г. по делу N 33-2182/2015) без предварительного согласования с соседями
также признается судами недопустимой. Если решение о допустимости установки
камер видеонаблюдения для обеспечения безопасности общего имущества принято на
общем собрании жильцов многоквартирного дома, то суды признают это допустимым (Определение
Восьмого кассационного суда общей юрисдикции от 19 ноября 2019 г. N
88-100/2019). Однако сам по себе факт установки видеокамер в таких случаях с
соблюдением установленного порядка использования общего имущества
многоквартирного дома не освобождает эксплуатирующих их лиц от соблюдения
положений законодательства о персональных данных в отношении зафиксированной
такими камерами информации, которая может быть отнесена к персональным данным.
В этой связи можно
сделать вывод, что и по российскому законодательству рассматривать установку
камер видеонаблюдения в качестве обработки персональных данных, осуществляемой
для личных и семейных нужд, нельзя в тех случаях, когда в поле зрения такой
камеры попадают места общего пользования или принадлежащие третьим лицам, поскольку
такие действия будут нарушать права и законные интересы третьих лиц, в том
числе их право на неприкосновенность частной жизни. Данный тезис достаточно
четко был обозначен одним из судов: "Осуществление видеоконтроля за
территорией, относящейся к земельному участку, где находится жилой дом другого
лица, в отсутствие правовой основы и законной цели представляет собой
вмешательство в осуществление этим лицом своего права на уважение его частной
жизни вне зависимости от того, осуществляется ли при этом сбор и использование
информации о частной жизни этого лица" (Апелляционное определение Омского
областного суда от 28 ноября 2018 г. по делу N 33-7783/2018).
Вместе с тем если в
обзор такой камеры территория третьих лиц будет попадать лишь в незначительной
и несущественной части (например, забор и незначительная часть посадок
соседнего земельного участка), то суд с учетом всех иных обстоятельств дела
может счесть установку такой камеры допустимой (Апелляционное определение
Верховного суда Республики Коми от 4 февраля 2019 г. по делу N 33-640/2019; см.
также Апелляционное определение Алтайского краевого суда от 11 декабря 2018 г.
N 33-11159/2018).
Возникает вопрос о
правовом статусе доказательств, полученных посредством такой камеры, в случаях,
когда положения законодательства о персональных данных были нарушены. Формально
такие доказательства могут считаться полученными с нарушениями требований
закона и, как следствие, недопустимыми в рамках судопроизводства (ч. 3 ст. 26.2
КоАП РФ, ч. 3 ст. 64 АПК РФ, ч. 2 ст. 55 ГПК РФ). В случае с уголовным
процессом ситуация не столь очевидна, поскольку ст. 75 УПК РФ признает
недопустимыми доказательства, полученные с нарушением требований именно УПК, а
не любого закона (ч. 1 ст. 75 УПК РФ), но нельзя целиком исключать ситуации,
при которых нарушение требований законодательства о персональных данных в
отношении участника уголовного процесса может быть "подогнано" под
нарушение какого-либо требования УПК РФ.
2.5. Принимая во
внимание вышеизложенные соображения, представляется, что под обработку
персональных данных для личных и семейных нужд будут подпадать организация и
использование списка контактов в телефоне или коммуникационных сервисах;
хранение писем, содержащих персональные данные, на компьютерных устройствах;
съемка видеороликов в отпуске с последующим просмотром их в кругу семьи и
друзей и т.д. При этом представляется, что использование чужих визитных
карточек не подпадает под данное исключение, поскольку, с одной стороны, обычно
сопряжено с профессиональной деятельностью субъекта персональных данных, а с
другой - не подпадает под понятие автоматизированной обработки или обработки
без использования средств автоматизации и тем самым исключено из-под действия Закона
о персональных данных в силу ч. 1 комментируемой статьи, а не ее п. 1 ч. 2.
2.6.
Согласно п. 2 ч. 2 комментируемой статьи действие Закона о персональных данных
не распространяется на отношения, возникающие при организации хранения,
комплектования, учета и использования содержащих персональные данные документов
Архивного фонда Российской Федерации и других архивных документов в
соответствии с законодательством об архивном деле в Российской Федерации.
Данное положение корреспондирует ч. 3 ст. 4 Закона об информации, согласно
которой порядок хранения и использования включенной в состав архивных фондов
документированной информации устанавливается законодательством об архивном деле
в Российской Федерации.
Указанное
законодательство представлено Федеральным законом от 22 октября 2004 г. N
125-ФЗ "Об архивном деле в Российской Федерации" <1> и
принятыми в соответствии с ним подзаконными нормативными правовыми актами и
законами и иными нормативными правовыми актами субъектов Российской Федерации.
Субсидиарного применения законодательства о персональных данных к указанным
отношениям не предусмотрено, информационному законодательству, в отличие от
гражданского законодательства, неизвестно понятие применения закона по аналогии
при наличии пробела в регулировании.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
В соответствии со ст. 3 вышеуказанного
Закона под архивным делом понимается деятельность государственных органов,
органов местного самоуправления, организаций и граждан в сфере организации
хранения, комплектования, учета и использования документов Архивного фонда
Российской Федерации и других архивных документов. При этом под архивным
документом понимается материальный носитель с зафиксированной на нем
информацией, который имеет реквизиты, позволяющие его идентифицировать, и
подлежит хранению в силу значимости указанных носителя и информации для
граждан, общества и государства.
Разновидностью архивных
документов являются так называемые документы по личному составу, которые
отражают содержание трудовых отношений работника и работодателя.
Государственные органы, органы местного самоуправления, организации и
индивидуальные предприниматели обязаны обеспечивать сохранность архивных
документов, в том числе документов по личному составу, в течение сроков их
хранения: для документов по личному составу, созданных до 2003 г., - не менее
75 лет с момента создания; для документов, созданных после 2003 г., - не менее
50 лет с момента создания <1>. В отношении иных документов необходимо
руководствоваться специальными перечнями <2>.
--------------------------------
<1> См. ст. 22.1
Федерального закона от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в
Российской Федерации".
<2> См.: Приказ
Минкультуры России от 31 июля 2007 г. N 1182 "Об утверждении Перечня
типовых архивных документов, образующихся в научно-технической и
производственной деятельности организаций, с указанием сроков хранения" //
СПС "КонсультантПлюс".
Порядок передачи документов,
содержащих персональные данные, в архив определяется в порядке, установленном
организацией, если специальный порядок не установлен Федеральным законом
"Об архивном деле в Российской Федерации". Как правило, такая
передача осуществляется специальной экспертной комиссией, назначенной
руководителем оператора, и признанием такой комиссией по результатам экспертизы
соответствующих документов архивными <1>. До передачи документов,
содержащих персональные данные, в архив в установленном порядке на их обработку
в полном объеме распространяются требования законодательства о персональных
данных (Постановление Девятого арбитражного апелляционного суда от 2 августа
2016 г. по делу N А40-32030/16). Последующее неприменение к отношениям по
обработке персональных данных при организации хранения, комплектования, учета и
использования архивных документов не означает, что право граждан на частную
жизнь никак не учитывается. В данном случае применяется специальная норма ч. 3
ст. 25 Федерального закона "Об архивном деле в Российской Федерации",
согласно которой существует ограничение на доступ к архивным документам,
содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а
также сведения, создающие угрозу для его безопасности. Данное ограничение
устанавливается на срок 75 лет со дня создания указанных документов. С
письменного разрешения гражданина, а после его смерти - с письменного
разрешения наследников данного гражданина ограничение на доступ к архивным
документам, содержащим сведения о личной и семейной тайне гражданина, его
частной жизни, а также сведения, создающие угрозу для его безопасности, может
быть отменено ранее чем через 75 лет со дня создания указанных документов.
--------------------------------
<1> См. подробнее:
Пономарева Н.Г. Как избежать ошибок в кадровом делопроизводстве. М.:
Альфа-Пресс, 2005 (разд. 1.9) (СПС "КонсультантПлюс").
Оценивая данное исключение из-под
сферы действия Закона о персональных данных, нельзя не отметить его достаточно
спорный характер. Оно не упоминается в Законе о ратификации Конвенции 1981 г.,
отсутствуют схожие положения и в общеевропейском законодательстве, напротив,
GDPR прямо упоминает архивные цели в качестве возможных целей обработки
персональных данных (п. 73, 153 Преамбулы и другие положения). Вряд ли данное
изъятие можно объяснить отсутствием в законодательстве об архивной деятельности
понятия "электронный архив", в связи с чем оно не может регулировать
автоматизированную обработку данных <1>, поскольку законодательство о
персональных данных распространяется в том числе и на обработку персональных
данных без средств автоматизации, поэтому отсутствие понятия "электронный
архив" не может само по себе препятствовать его применению. По всей
видимости, включение данного положения было продиктовано желанием сохранить
сложившееся регулирование в области архивного дела и не инициировать глубокую
его переработку в связи с появлением нового пласта регулирования. Однако
подпадание под действие архивного законодательства отношений, которые при
прочих равных относятся к компетенции законодательства о персональных данных,
например сведений о трудовых правоотношениях ("документов по личному
составу"), может повлечь правовые коллизии и правоприменительные ошибки.
Куда более логичным было бы введение отношений по обработке персональных данных
в архивной деятельности в общую орбиту законодательства о персональных данных с
установлением ряда специальных норм, учитывающих особенности данной сферы.
--------------------------------
<1> См.:
Федеральный закон "О персональных данных": научно-практический комментарий
/ под ред. А.А. Приезжевой. С. 10.
2.7. Еще одним исключением из сферы
действия Закона о персональных данных являются отношения по обработке
персональных данных, составляющих государственную тайну, то есть защищаемых
государством сведений в области его военной, внешнеполитической, экономической,
разведывательной, контрразведывательной и оперативно-разыскной деятельности,
распространение которых может нанести ущерб безопасности Российской Федерации.
Данное исключение было предусмотрено в оговорке, сделанной при ратификации Конвенции
1981 г., о неприменении ее положений к определенным категориям
автоматизированных данных <1>, в связи с чем данное исключение не
противоречит международным обязательствам РФ. Порядок отнесения сведений к
государственной тайне и их правовой режим устанавливаются Законом РФ от 21 июля
1993 г. N 5485-1 "О государственной тайне" <2>.
--------------------------------
<1> См. п.
"б" ст. 1 Федерального закона от 19 декабря 2005 г. N 160-ФЗ "О
ратификации Конвенции Совета Европы о защите физических лиц при
автоматизированной обработке персональных данных".
<2> См.: СПС
"КонсультантПлюс".
3. До 2017 г.
существовало еще одно изъятие из сферы действия Закона о персональных данных в
виде отношений, связанных с предоставлением уполномоченными органами информации
о деятельности судов в Российской Федерации в соответствии с Федеральным законом
от 22 декабря 2008 г. N 262-ФЗ "Об обеспечении доступа к информации о
деятельности судов в Российской Федерации" <1>. Однако впоследствии
данное исключение было исключено из ч. 2 ст. 1 Закона, и вместо него в текст
Закона о персональных данных была введена ч. 3 ст. 1, согласно которой
предоставление, распространение, передача и получение информации о деятельности
судов в Российской Федерации, содержащей персональные данные, осуществляются в
соответствии с ФЗ от 22 декабря 2008 г. N 262-ФЗ. Указанный закон тем самым устанавливает
особенности обработки персональных данных и составляет законодательство РФ в
области персональных данных наряду с Законом о персональных данных и иными
федеральными законами, упомянутыми в ч. 1 ст. 4 Закона о персональных данных.
При этом положения ФЗ от 22 декабря 2008 г. N 262-ФЗ, регламентирующие объем
персональных данных, указываемых в судебных актах, являются специальными по
отношению к ч. 2 ст. 8 Закона о персональных данных, в соответствии с которой
сведения о субъекте персональных данных должны быть в любое время исключены из
общедоступных источников персональных данных по требованию субъекта
персональных данных либо по решению суда или иных уполномоченных государственных
органов (Апелляционное определение Свердловского областного суда от 5 апреля
2017 г. по делу N 33а-5540/2017).
--------------------------------
<1> См. там же.
3.1. Ключевое значение для целей
комментируемого положения имеют ч. 2 - 4 ст. 15 ФЗ от 22 декабря 2008 г. N
262-ФЗ "Об обеспечении доступа к информации о деятельности судов в
Российской Федерации", которые устанавливают дифференцированный правовой
режим обработки персональных данных при размещении текстов судебных актов в сети
Интернет в зависимости от типа суда, вынесшего такой акт.
3.1.1. Так, тексты
решений арбитражных судов, а также акты, принятые Верховным Судом РФ в
соответствии с арбитражным процессуальным законодательством, публикуются в
полном объеме, то есть без обезличивания персональных данных участников
процесса. Как отметил в свое время Высший Арбитражный Суд РФ, опубликование
судебных актов, содержащих персональные данные лиц, участвующих в производстве
по делу об административном правонарушении, не может само по себе рассматриваться
как наносящее ущерб безопасности таких лиц, членов их семей, их близких, а
также их чести и достоинству. При этом содержание персональных данных в
судебных актах арбитражных судов не препятствует их размещению в сети Интернет
в полном объеме. В случае необходимости сохранения коммерческой или иной
охраняемой законом тайны разбирательство дел об административных
правонарушениях осуществляется в закрытом судебном заседании при удовлетворении
судом соответствующего ходатайства лица, участвующего в деле <1>.
--------------------------------
<1> См. п. 17
Постановления Пленума ВАС РФ от 8 октября 2012 г. N 61 "Об обеспечении
гласности в арбитражном процессе" (СПС "КонсультантПлюс").
3.1.2. Тексты судебных актов, принятых
судами общей юрисдикции, подлежат обезличиванию посредством исключения из них
тех видов персональных данных, которые указаны в ч. 4 ст. 15 ФЗ от 22 декабря
2008 г. N 262-ФЗ: Ф.И.О. участников судебного процесса, дата и место рождения,
место жительства или пребывания, номера телефонов, реквизиты паспорта или иного
документа, удостоверяющего личность, ИНН физического лица, ОГРН индивидуального
предпринимателя, СНИЛС; сведения о месте нахождения земельного участка, здания,
сооружения, жилого дома, квартиры, транспортного средства, иные сведения об
имуществе и о находящихся в банках или иных кредитных организациях денежных
средствах участников судебного процесса, если эти сведения относятся к существу
дела.
Вместо исключенных
персональных данных используются инициалы, псевдонимы и другие обозначения, не
позволяющие идентифицировать участников судебного процесса. Однако в любом
случае не подлежат исключению ИНН индивидуального предпринимателя, ОГРН
индивидуального предпринимателя, фамилии, имена и отчества истца, ответчика,
третьего лица, гражданского истца, гражданского ответчика, административного
истца, административного ответчика, заинтересованного лица, лица, в отношении
которого ведется производство по делу об административном правонарушении,
фамилии, имена и отчества осужденного, оправданного, секретаря судебного
заседания, судьи (судей), рассматривавшего дело, а также прокурора, адвоката и
представителя. Как отмечается, в данном случае речь идет об установлении
законодателем своего рода "исключения из исключений", поскольку
некоторые персональные данные в контексте вынесенных судебных актов могут представлять
достаточно большой общественный интерес, в частности, персональные данные
индивидуальных предпринимателей <1>.
--------------------------------
<1> См.: Гриценко
Е.В., Ялунер Ю.А. Право на судебную защиту и доступ к суду в условиях
информатизации и цифровизации: значение опыта стран общего права для России //
Сравнительное конституционное обозрение. 2020. N 3. С. 97 - 129.
Правда, следует отметить, что на
практике опубликованные в сети Интернет судебные решения обычно не содержат
фамилий и инициалов участников процесса вопреки требованиям ч. 3 ст. 15
вышеуказанного Закона. Во многом это связано с тем, что перед публикацией
судебные акты проходят процедуру деперсонификации в автоматизированном режиме с
использованием соответствующего модуля сопряжения подсистемы
"Интернет-портал" с базой данных подсистемы "Банк судебных
решений (судебная практика)" ГАС "Правосудие" <1>.
--------------------------------
<1> См.: Регламент
организации размещения сведений о находящихся в суде делах и текстов судебных актов
в информационно-телекоммуникационной сети Интернет на официальном сайте суда
общей юрисдикции, утв. Постановлением Президиума Совета судей РФ от 27 января
2011 г. N 253 (СПС "КонсультантПлюс").
Некоторые судебные решения судов общей
юрисдикции в целях защиты прав граждан на неприкосновенность частной жизни,
личную и семейную тайну, защиту их чести и деловой репутации не подлежат
публикации в сети Интернет (например, решения по делам, возникающим из
семейно-правовых отношений, в том числе по делам об усыновлении (удочерении)
ребенка, другим делам, затрагивающим права и законные интересы
несовершеннолетних; по делам о преступлениях против половой неприкосновенности
и половой свободы личности; об ограничении дееспособности гражданина или о
признании его недееспособным; о принудительной госпитализации гражданина в
психиатрический стационар и принудительном психиатрическом освидетельствовании;
о внесении исправлений или изменений в запись актов гражданского состояния).
Также в силу указания Закона не подлежат размещению в сети Интернет тексты
судебных приказов, вынесенных в порядке ГПК РФ и Кодекса административного
судопроизводства РФ.
В тех случаях, когда
третьи лица размещают на своих интернет-ресурсах полные версии судебных
решений, в которых персональные данные участников процесса не были надлежащим
образом обезличены, это может рассматриваться как нарушение прав субъектов
персональных данных и являться основанием для предъявления требований о
возмещении морального вреда (Апелляционное определение Московского городского
суда от 8 июля 2020 г. по делу N 33-16956/2020, 2-3910/2019).
3.1.3. Тексты судебных
актов, принятых Конституционным Судом РФ и конституционными (уставными) судами
субъектов Российской Федерации, подлежат обезличиванию по тем же правилам, что
и тексты судебных актов судов общей юрисдикции, за исключением фамилий, имен и
отчеств заявителей, представителей сторон, приглашенных в заседание
представителей государственных органов, экспертов и специалистов.
3.2. Последующее
размещение текстов судебных решений, размещенных в соответствии с требованиями ФЗ
от 22 декабря 2008 г. N 262-ФЗ "Об обеспечении доступа к информации о
деятельности судов в Российской Федерации", иными лицами допустимо в силу п.
11 ч. 1 ст. 6 Закона о персональных данных без согласия субъекта персональных
данных, так как "осуществляется обработка персональных данных, подлежащих
опубликованию или обязательному раскрытию в соответствии с федеральным
законом". Однако, согласно существующей практике, если судебный акт
вопреки данным требованиям содержит больший объем персональных данных,
последующая публикация таких актов третьими лицами, в том числе СМИ, является
незаконной и может повлечь принятие Роскомнадзором мер реагирования. Как в этой
связи отметил Конституционный Суд РФ, "факт ошибочного размещения
судебного решения на сайте суда на определенное время вопреки этим требованиям
в любом случае не может отменять прямое действие данных положений Закона,
направленных на обеспечение баланса между правом граждан на доступ к информации
о деятельности судов и иными конституционно значимыми ценностями" (Определение
Конституционного Суда РФ от 28 июня 2018 г. N 1662-О). В ином судебном решении
отмечается, что "опубликованный судебный акт, независимо от источника его
опубликования, должен соответствовать требованиям закона, предъявляемым к
официальному опубликованию судебных актов судами, и при последующем
опубликовании судебных актов в них не могут быть указаны сведения, не
подлежащие опубликованию при размещении судебного акта" (Апелляционное определение
Санкт-Петербургского городского суда от 17 октября 2016 г. по делу N
2а-3426/2016).
4. Сфера действия Закона
о персональных данных в пространстве. Как отмечалось ранее, ни комментируемая
статья, ни иные положения Закона о персональных данных не содержат каких-либо
положений, регламентирующих данный вопрос. В то же время ясное понимание сферы
применения законодательства о персональных данных по территории и кругу лиц
является необходимым условием обеспечения правовой определенности для всех
участников отношений, регулируемых законодательством о персональных данных:
субъектов персональных данных, использующих интернет-ресурсы в своей
повседневной деятельности; операторов персональных данных, использующих
инструментарий сети Интернет для осуществления своей деятельности;
уполномоченных органов по контролю и надзору за соблюдением законодательства о
персональных данных. В этой связи необходимо отметить следующее.
4.1. Гражданство или
местожительство субъекта персональных данных, данные которого обрабатываются,
не имеют значения при решении вопроса о применимости российского
законодательства о персональных данных. Данный подход соответствует цели
Конвенции 1981 г., которая согласно ст. 1 "состоит в обеспечении на
территории каждой Стороны для каждого физического лица, независимо от его гражданства или местожительства, уважения его
прав и основных свобод, и в частности его права на неприкосновенность частной
жизни, в отношении автоматизированной обработки касающихся его персональных
данных" (курсив мой. - А.С.).
4.2. Требования Закона о
персональных данных распространяются на лиц, осуществляющих обработку
персональных данных, которые являются гражданами РФ и юридическими лицами,
созданными по законодательству РФ, в силу того, что юрисдикция Российской
Федерации распространяется по общему правилу на всех граждан государства
безотносительно к их фактическому месторасположению (так называемая личная
юрисдикция) <1>. Кроме того, поскольку понятия физического и юридического
лица, упомянутые в комментируемой статье, включают в себя, поскольку прямо не
указано иное, и иностранных лиц, которым в соответствии со ст. 2 ГК РФ
предоставляется национальный режим, можно сделать вывод, что Закон о
персональных данных может распространяться и на иностранных физических и
юридических лиц, осуществляющих обработку персональных данных. Если иностранное
лицо физически присутствует на территории России в форме представительства или
иного обособленного подразделения, это является достаточным условием для
распространения на него положений российского законодательства как минимум в
части деятельности, осуществляемой через такое обособленное подразделение, и,
соответственно, обработки персональных данных, осуществляемой в связи с
деятельностью, осуществляемой посредством такого обособленного подразделения.
Если лицо, обрабатывающее персональные данные, не имеет физического присутствия
на территории России, Закон о персональных данных может применяться к нему в
случае установления факта "виртуального"
присутствия такого лица на территории Российской Федерации.
--------------------------------
<1> См.:
Международное право: учебник / Б.М. Ашавский, М.М. Бирюков, В.Д. Бордунов и
др.; отв. ред. С.А. Егоров. М., 2015.
Концепция "виртуального"
присутствия связана с осуществлением лицом деятельности в
информационно-телекоммуникационной сети Интернет, которая в силу своего
трансграничного, децентрализованного и виртуального характера не позволяет
четко обозначить географические границы осуществления такой деятельности. Одной
лишь доступности интернет-сайта на территории Российской Федерации недостаточно
для вывода о том, что на него распространяется законодательство Российской
Федерации, в том числе о персональных данных, поскольку в таком случае сфера
его применения носила бы по существу всемирный характер и делала бы практически
невозможным контроль за его исполнением.
Принимая во внимание
указанные обстоятельства, Минцифры России конкретизировало условия, при наличии
которых Закон о персональных данных распространяется на иностранных лиц
<1>. В их основе лежит критерий направленности деятельности, который
используется в международном частном праве, а также в европейской практике
<2>. Так, согласно ст. 1212 ГК РФ выбор права, подлежащего применению к
договору, стороной которого является потребитель, не может повлечь за собой
лишение такого лица защиты его прав, предоставляемой императивными нормами
права страны места жительства потребителя, если контрагент потребителя любыми
способами направляет свою деятельность на территорию этой страны. Кроме того,
критерий направленности деятельности получил отражение и в информационном
законодательстве применительно к "праву быть забытым". В соответствии
со ст. 10.3 Закона об информации соответствующие обязанности по удалению ссылок
на информацию о заявителе возлагаются на операторов поисковых систем,
распространяющих в сети Интернет "рекламу, которая направлена на
привлечение внимания потребителей, находящихся на территории Российской
Федерации".
--------------------------------
<1> См.: Обработка
и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года. URL:
https://digital.gov.ru/ru/personaldata/.
<2> См. ст. 3(2)
Регламента 2016 г.; ст. 15(1)(c) Регламента ЕС N 44/2001 от 22 декабря 2000 г.
о юрисдикции, признании и исполнении судебных решений по гражданским и торговым
делам; ст. 6 Регламента EC N 593/2008 от 17 июня 2008 г. о праве, подлежащем
применению к договорным обязательствам.
Для определения направленности
деятельности в указанных разъяснениях выделены два базовых и ряд дополнительных
факторов (критериев), которые были сформулированы с учетом европейского опыта
толкования положений о направленной деятельности (Joined cases: Peter Pammer v
Reederei Karl GmbH & Co. KG (C-585/08)
and Hotel Alpenhof GesmbH v Oliver Heller (C-144/09), 7 December 2010).
Базовые критерии:
1) использование
географического доменного имени, связанного с РФ (.ru, .рф., .su) или ее
отдельными регионами (например, .moscow, .москва).
Данный критерий основан
на презумпции, что регистрация и фактическое использование доменного имени в
указанных зонах являются проявлением намерения владельца интернет-ресурса
осуществлять свою деятельность с прицелом на Россию, что обусловлено сильной
географической привязкой данных доменов к ее территории. В качестве исключения
можно рассматривать регистрацию доменного имени без его последующего фактического использования, когда такая
регистрация осуществляется в защитных целях для предотвращения захвата такого
доменного имени конкурентами или киберсквоттерами.
Схожий критерий
применения российского законодательства в сети Интернет используется
Федеральной антимонопольной службой РФ для определения сферы применения в сети
Интернет законодательства о рекламе <1>. Наличие зарегистрированного
доменного имени в зоне "ru"
признается достаточным для установления юрисдикции российских судов и в
отечественной судебно-арбитражной практике (см., например, Постановление Суда
по интеллектуальным правам от 2 октября 2014 г. N С01-856/2014 по делу N
А40-102183/2013: "Поскольку доменное имя, о запрете администрирования
которого ответчиком просит истец, зарегистрировано в доменной зоне
".ru", рассматриваемый спор относится к компетенции арбитражных судов
Российской Федерации").
--------------------------------
<1> См.: Обработка
и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года. URL:
https://digital.gov.ru/ru/personaldata/.
Критерий использования географического
доменного имени, связанного с территорией России, носит самодостаточный
характер и может применяться вне зависимости от наличия иных критериев. В
частности, данному критерию будет удовлетворять использование такого доменного
имени для целей переадресации на иной интернет-ресурс, который может
располагаться под функциональным доменом типа .com. Например, в случае
использования доменного имени abc.ru, с которого осуществляется переадресация
на abc.com;
2) наличие русскоязычной
версии интернет-ресурса (в совокупности с одним из вторичных критериев,
указанных ниже).
Наличие русского языка
на интернет-ресурсе является сильным аргументом в пользу наличия направленной
деятельности такого сайта на территорию РФ безотносительно к используемому
доменному имени (т.е. данный критерий применим и к случаям, когда интернет-сайт
использует функциональный домен типа .com, .org). При этом во внимание должна
приниматься именно целенаправленная локализация интернет-сайта, осуществленная
самим владельцем или иным привлеченным им лицом, использование систем
автоматического перевода не должно приниматься во внимание. Однако необходимо
учитывать, что использование русского языка во многих, но не во всех случаях
свидетельствует о направленности на территорию РФ. Например, если из содержания
сайта очевидно, что в качестве целевой аудитории могут выступать граждане
Белоруссии, Казахстана, русскоязычное население Европы, Канады или других
стран. В этой связи базовый критерий использования русского языка подлежит
применению при наличии как минимум одного из дополнительных (вторичных)
критериев.
Вторичные критерии:
1) возможность
заключения и исполнения договора с российским резидентом, в частности
осуществление доставки товара или цифрового контента на территорию России;
2) возможность
осуществления расчетов в российских рублях;
3) использование
контекстной или баннерной рекламы на русском языке, включающей ссылку на
соответствующий интернет-ресурс;
4) иные обстоятельства,
которые явно свидетельствуют о намерении владельца интернет-сайта включить
российский рынок в свою бизнес-стратегию. Например, к ним может быть отнесено
наличие на интернет-ресурсе способов обратной связи, связанных с территорией
Российской Федерации, например, номера телефона, на который можно бесплатно
позвонить с территории России (общефедерального бесплатного номера (8-800...)
или телефона с кодом российского города). Факт приобретения владельцем
интернет-сайта соответствующих услуг связи, готовность оформлять документацию с
отечественным оператором связи и нести расходы по оплате услуг, подобных номеру
8-800, говорят о высокой заинтересованности владельца в российских
потребителях.
Следует отметить, что
схожие по существу критерии направленности деятельности также приведены в
комментариях, размещенных на официальном сайте Роскомнадзора <1>.
--------------------------------
<1> См.:
Комментарий к Федеральному закону от 21 июля 2014 г. N 242-ФЗ "О внесении
изменений в отдельные законодательные акты Российской Федерации в части
уточнения порядка обработки персональных данных в
информационно-телекоммуникационных сетях". С. 15. URL:
https://pd.rkn.gov.ru/library/p195/. К сожалению, этот документ не содержит
указания на авторов данного комментария.
4.3. Вышеуказанные
критерии были впервые применены на практике при рассмотрении спора о внесении
интернет-сайта социальной сети LinkedIn
в Реестр нарушителей прав субъектов персональных данных и блокировании доступа
к нему на территории РФ в связи с нарушением обязанности по локализации
отдельных процессов обработки персональных данных в соответствии с ч. 5 ст. 18
Закона о персональных данных (см. комментарий к ней). Удовлетворяя указанное
требование, суд указал на то, что "о направленности интернет-сайта
www.linkedin.com на территорию РФ свидетельствует наличие русскоязычной версии
интернет-сайта. При этом интернет-сайт допускает возможность использования рекламы
на русском языке, что дополнительно свидетельствует о включении российской
аудитории в сферу бизнес-интересов владельца сайта" (Апелляционное определение
Московского городского суда от 10 ноября 2016 г. по делу N 33-38783/2016). Как
видно, суд руководствовался вторым базовым критерием в совокупности с
дополнительным критерием в виде наличия рекламы на русском языке. К этому
следует добавить, что пользовательские соглашения указанного сервиса были также
доступны на русском языке, а также наличие факта использования географического
доменного имени linkedin.ru, с
которого осуществлялась переадресация на сайт linkedin.com, что позволяло говорить о наличии и первого базового
критерия направленности деятельности на территорию России.
Данная практика получила
свое дальнейшее распространение. Так, Верховный Суд РФ, оставляя в силе
принятые нижестоящими судами судебные акты о привлечении социальной сети Twitter к ответственности за
несоблюдение требований локализации персональных данных, указал, что "о
направленности сайта www.twitter.com в информационно-телекоммуникационной сети
Интернет на территорию Российской Федерации свидетельствует, в частности,
наличие русскоязычной версии данного сайта", а также тот факт, что
"использование социальной сети Twitter
предполагает обработку личной информации, предоставляемой российскими
пользователями в учетных данных" (Постановление Верховного Суда РФ от 27
декабря 2019 г. N 5-АД19-239).
4.4.
Следует также рассмотреть вопрос об условиях применения GDPR к иностранным
операторам, поскольку в некоторых случаях его действие может распространяться
на российские организации. Территориальная сфера действия GDPR в общем виде
определена в ст. 3 и конкретизирована в разъяснениях о применении данных
положений, подготовленных EDPB <1>.
--------------------------------
<1> См.:
Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - version
adopted after public consultation, EDPB, 12 November 2019. URL:
https://edpb.europa.eu/our-work-tools/our-documents/riktlinjer/guidelines-32018-territorial-scope-gdpr-article-3-version_en.
Согласно данным документам
применимость GDPR к процессам обработки персональных данных основана на
следующих критериях:
1) физическом
присутствии оператора или обработчика на территории как минимум из одной стран,
входящих в Европейскую экономическую зону (страны ЕС, а также Норвегия,
Лихтенштейн, Исландия) <1>, выражающемся в наличии локального
юридического лица, филиала, представительства или иного подразделения (establishment) и осуществлении
обработки персональных данных в контексте деятельности такого подразделения.
При этом критерии наличия такого физического присутствия являются достаточно
гибкими и подразумевают не только его стабильность, но и возможность
осуществления экономической деятельности посредством него. В контексте
интернет-отношений это может быть и один работник или агент, физически
присутствующий на территории ЕС и координирующий процесс оформления или
исполнения заказов, осуществляющий поддержку клиентов на этой территории, и
т.п. <2>. Следует подчеркнуть, что критерий присутствия применим в равной
степени как к операторам, так и к обработчикам. В этой связи, если российское
юридическое лицо является оператором, но привлекает обработчика, имеющего
подразделение на территории страны - члена ЕС, то к обработке персональных
данных, осуществляемой таким обработчиком, будут применяться требования GDPR,
распространяясь тем самым и на российского оператора как минимум в части
необходимости заключения соглашения о порядке обработки персональных данных,
соответствующего ст. 28 GDPR;
2) осуществлении
направленной деятельности иностранным оператором, не имеющим физического
присутствия на территории страны - члена ЕС. В соответствии со ст. 3(2) GDPR
распространяется на иностранных операторов, не имеющих стабильного физического
присутствия на территории ЕС в виде локального юридического лица или иного
подразделения, если осуществляемые ими процессы обработки персональных данных
связаны с a) предложением товаров или услуг (безотносительно к наличию
встречной обязанности по их оплате) лицам, проживающим на территории
Европейского союза, или b) мониторингом поведения таких лиц в той мере, в
которой такое поведение имеет место на территории Европейского союза.
--------------------------------
<1> Далее в
настоящем комментарии для простоты сфера применения GDPR будет привязываться к
странам ЕС. Кроме того, необходимо отметить, что вследствие Brexit с 1 января
2021 г. GDPR не применяется в Великобритании. Вместо него там действует
национальное законодательство в области персональных данных (Data Protection
Act, 2018), которое в значительной степени схоже с положениями GDPR. Сам же
GDPR как акт европейского законодательства может применяться к английским
операторам в случаях, указанных в ст. 3, то есть на тех же началах, что и в
отношении иных иностранных операторов.
<2> См.:
Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - version
adopted after public consultation, EDPB, 12 November 2019. P. 5.
Для уяснения смысла применяемых норм
критическое значение имеют вышеуказанные разъяснения EDPB, некоторые из которых
следует выделить особо.
Во-первых, применимость GDPR
не поставлена в зависимость от обработки персональных данных исключительно
граждан ЕС. GDPR использует более широкий подход, основанный на присутствии
лица на территории страны ЕС (data
subjects who are in the Union). Согласно п. 14 Преамбулы GDPR положения
данного акта применяются к субъектам персональных данных безотносительно их
гражданства или резидентства. Таким образом, неверным является мнение, согласно
которому, как только российский оператор начинает обрабатывать персональные
данные европейского гражданина, к нему автоматически начинает применяться GDPR
<1>. Сам по себе факт обработки персональных данных такого лица
недостаточен для применения GDPR. Помимо него должно быть еще что-то,
свидетельствующее о направленности деятельности оператора на ЕС: либо
посредством предложения товаров или услуг на территории ЕС, или посредством
мониторинга поведения таких лиц.
--------------------------------
<1>
"Игнорировать GDPR не получится ни у кого. Ни одна, даже самая маленькая,
компания, ничего не продающая в ЕС, не может быть уверена в том, что у одного
из ее клиентов не окажется второго гражданства - одной из европейских
стран". См.: Балашов А. GDPR меняет правила / Российский совет по
международным делам, 17 апреля 2018 г. URL:
https://russiancouncil.ru/analytics-and-comments/analytics/gdpr-menyaet-pravila/.
Во-вторых, критерии направленности в
общем виде изложены в п. 23 Преамбулы, где они сведены к наличию у
интернет-сайта или сервиса языка или валюты, характерной для одной или
нескольких стран ЕС в совокупности с возможностью заказа товара или услуги с
использованием такого языка и (или) валюты, а также упоминанию на нем клиентов
из стран ЕС. Более подробно возможные критерии направленности изложены
Европейским судом справедливости в деле Pammer v Reederei Karl GmbH & Co and Hotel Alpenhof v Heller
(Joined cases C-585/08 and C-144/09), и среди них следует особо отметить
использование географических доменов, связанных с территорией отдельных стран
ЕС (.de, .au, .fr и т.п.), а также
рекламных кампаний, ориентированных на индивидов, находящихся на территории ЕС.
При этом сам по себе факт предоставления товара или услуги лицу, находящемуся
на территории ЕС на случайной и нерегулярной основе, не свидетельствует о
направленности деятельности оператора на территорию ЕС <1>. Однако, если,
к примеру, российский интернет-сервис имеет англоязычную версию, на регулярной
основе принимает заказы от клиентов из Европейского Союза, предоставляя им
возможность оплаты в евро, вполне можно говорить о направленной деятельности
такого сервиса на территорию ЕС. Как следствие, обработка персональных данных
таких клиентов должна осуществляться с соблюдением положений GDPR. В частности,
такой оператор должен назначить представителя на территории ЕС в соответствии с
требованиями ст. 27 GDPR.
--------------------------------
<1> Guidelines 3/2018 on the territorial scope of the GDPR
(Article 3) - version adopted after public consultation, EDPB, 12 November
2019. P. 18.
В-третьих, если обработка персональных
данных осуществляется в контексте предоставляемого сервиса, который
предлагается индивидам исключительно за пределами ЕС и не прекращается после их
въезда в ЕС, то такая обработка не подпадает под действие GDPR. Например, если
мобильное приложение, функционал которого связан со сбором и обработкой
геолокационных данных, распространяется исключительно в российском Google Play и App Store, и впоследствии использующий его гражданин России
въезжает на территорию ЕС и использует его там, то к обработке собранных в
период его пребывания на территории ЕС данных GDPR применяться не будет
<1>.
--------------------------------
<1> Guidelines 3/2018 on the territorial scope of the GDPR
(Article 3) - version adopted after public consultation, EDPB, 12 November
2019. P. 15 - 16.
В-четвертых, мониторинг лиц,
находящихся на территории ЕС, также может являться основанием для применения GDPR.
Понятие мониторинга носит достаточно широкий характер и может охватывать
использование оператором таких технологий, как показ таргетированной рекламы на
основе поведения пользователя в сети Интернет, отслеживание поведения лица по
геолокационным данным с последующим использованием их в маркетинговых целях,
активное использование файлов cookie,
видеонаблюдение (CCTV), трекинг
посредством использования "умных" устройств. При этом EDPB со ссылкой
на п. 24 Преамбулы подчеркивает, что и в данном случае необходима определенная
степень направленности такой деятельности на территорию ЕС со стороны
иностранного оператора, поскольку сам по себе факт сбора и анализа персональных
данных лиц, находящихся на территории ЕС, не является достаточным для
применения GDPR <1>. О такой направленности может свидетельствовать
последующее использование оператором собранных в результате мониторинга данных
для целей профайлинга граждан.
--------------------------------
<1> Ibid. P. 20.
Как видно из приведенных положений GDPR
и разъяснений EDPB, российские операторы могут подпасть под действие GDPR,
однако преимущественно вследствие своих конкретных и умышленных действий,
направленных на сбор и обработку персональных данных лиц, находящихся на
территории ЕС. Иными словами, потому что такой оператор сам пришел на
виртуальную территорию ЕС, но не потому, что европейский гражданин по
собственной инициативе в отсутствие предшествующих целенаправленных действий со
стороны оператора заказал товар, стал использовать какой-либо сервис или
приложение такого оператора. В этой связи у российских компаний сохраняется
достаточная степень гибкости и контроля при решении вопроса о применимости GDPR
к их активностям. GDPR не имеет всемирной юрисдикции и в целом основан на
существующих принципах международного права <1>.
--------------------------------
<1> Данный тезис подробно обосновывается Европейской Комиссией в: Amicus Brief
of the European Commission on behalf of the European Union as Amicus Curiae in
support of neither party in: United States v Microsoft Corporation, US 584
(2018). URL:
https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20Europe-an%20Commission%20for%20filing.pdf.
В завершение следует отметить еще один
возможный случай, когда российское лицо будет вынуждено соблюдать требования GDPR,
даже если критерии физического присутствия и направленной деятельности
формально отсутствуют. Речь идет о ситуациях, когда такое российское лицо
осуществляет обработку персональных данных в интересах оператора, уже на
которого распространяются требования GDPR. Например, если российская компания
оказывает хостинговые услуги группе компаний, часть из которых находится в
странах ЕС, и на серверы российской компании могут попадать персональные
данные, на обработку которых уже распространяются требования GDPR. В таких
случаях основную ответственность за соблюдение его требований, в том числе к
трансграничной передаче данных, несет оператор. Но поскольку он будет вынужден
в силу ст. 28 GDPR заключить соглашение об обработке персональных данных,
многие обязанности, установленные GDPR, будут ретранслированы на его российское
лицо в договорном порядке, расширяя тем самым сферу применения GDPR.
4.5. В ноябре 2017 г. на
VIII Международной конференции "Защита персональных данных"
действовавший на тот момент руководитель Роскомнадзора Александр Жаров отметил,
что требования GDPR не будут распространяться на российских операторов,
осуществляющих деятельность на территории России, поскольку Российская
Федерация не является участницей международных договоров с ЕС. На них
распространяется действие только российских законов в этой сфере в соответствии
с общепринятыми международными принципами обработки персональных данных
<1>. Данное заявление верно, если на ситуацию с возможной применимостью
требований GDPR к российским операторам смотреть исключительно изнутри, через
призму российского права. Однако европейские регуляторные органы в области персональных
данных не будут руководствоваться российским правом при решении вопроса о
применении санкций или иных мер реагирования в отношении российских
организаций, не соблюдающих требования GDPR, в тех случаях, когда он к ним
применим. Они будут исходить исключительно из требований европейского
законодательства. В этой связи вышеуказанный комментарий г-на Жарова не будет
являться аргументом в общении с европейскими регуляторами и не сможет освободить
российского оператора от возможной ответственности за несоблюдение требований GDPR.
--------------------------------
<1> См.: Жаров А.
Требования Регламента Европейского союза по защите персональных данных не будут
распространяться на российских операторов, работающих в России. URL:
https://rkn.gov.ru/news/rsoc/news51780.htm.
Вышеуказанный комментарий следует
толковать в том ключе, что российский оператор, с точки зрения Роскомнадзора,
должен соблюдать требования российского законодательства о персональных данных,
и Роскомнадзор будет проверять такого оператора именно на предмет соблюдения
данного законодательства. Что само по себе не исключает возможности
параллельного применения к такому оператору требований GDPR, на предмет
соблюдения которых такого оператора будут проверять уже другие органы.
Статья 2. Цель настоящего
Федерального закона
1. Комментируемая статьи обозначает
цели, преследуемые законодательством о персональных данных, конкретизируя их
через призму обеспечения реализации конституционных прав на неприкосновенность
частной жизни, личную и семейную тайну, а также защиты иных прав и свобод
человека и гражданина при обработке его персональных данных. Формулировка
данной статьи весьма схожа с положениями ст. 1 Конвенции 1981 г., согласно
которой ее цель "состоит в обеспечении на территории каждой Стороны для
каждого физического лица, независимо от его гражданства или местожительства,
уважения его прав и основных свобод, и в частности его права на неприкосновенность
частной жизни, в отношении автоматизированной обработки касающихся его
персональных данных". Фактически в центре законодательства о персональных
данных стоит английское понятие privacy
<1> (фр. la vie , нем. die ),
наиболее адекватным эквивалентом которого в русском языке и является понятие
"неприкосновенность частной жизни".
--------------------------------
<1> Подробный
анализ происхождения и эволюции данного понятия см.: Дмитрик Н.А. История,
смысл и перспективы института персональных данных // Вестник гражданского
права. 2020. N 3. С. 43 - 82.
Право на неприкосновенность частной
жизни является достаточно многогранным. В американской доктрине выделяется как
минимум шесть возможных подходов к его определению: 1) право быть оставленным в
покое (the right to be left alone)
<1>; 2) возможность ограничивать доступ к своей личности; 3) возможность
сокрытия определенных сведений от окружающих; 4) возможность осуществления
лицом контроля над распространением информации о себе; 5) право на защиту своей
личности, индивидуальности и достоинства; 6) право на защиту интимных сведений
о себе и своей жизни <2>. Как видно, некоторые из этих подходов
пересекаются друг с другом, но при этом они по-разному расставляют акценты в
понимании термина privacy, и, как
будет продемонстрировано далее, суды инстинктивно в зависимости от
обстоятельств дела придерживаются той или иной концепции при наполнении права
на неприкосновенность частной жизни содержанием в конкретном споре.
--------------------------------
<1> См.:
Warren S., Brandeis L. The Right to Privacy // Harvard Law Review. 1890. Vol. 4. No. 5. P. 193. Подробный
анализ генезиса института защиты неприкосновенности частной жизни см.: Дмитрик
Н.А. История, смысл и перспективы института персональных данных.
<2> См.:
Solove D. Conceptualizing privacy // California Law Review. 2002. Vol. 90. No. 4. P. 1088.
Согласно позиции
Конституционного Суда РФ право на неприкосновенность частной жизни, личную и
семейную тайну означает предоставленную человеку и гарантированную государством
возможность контролировать информацию о самом себе, препятствовать разглашению
сведений личного, интимного характера; в понятие "частная жизнь"
включается та область жизнедеятельности человека, которая относится к
отдельному лицу, касается только его и не подлежит контролю со стороны общества
и государства, если не носит противоправный характер (Постановления
Конституционного Суда РФ от 25 мая 2021 г. N 22-П и от 16 июня 2015 г. N 15-П; Определение
Конституционного Суда РФ от 24 декабря 2013 г. N 2128-О). Некоторые суды более
развернуто определяют данное понятие. Так, в одном из решений отмечается, что
"гарантируемое ч. 1 ст. 23 Конституции РФ право на неприкосновенность
частной жизни распространяется на ту сферу жизни, которая относится к
отдельному лицу, касается только этого лица и охватывает охрану всех тех сторон
личной жизни лица, оглашение которых лицо по тем или иным причинам считает
нежелательным. Право на неприкосновенность частной жизни означает
предоставленную человеку и гарантированную государством возможность контролировать
информацию о самом себе, препятствовать разглашению сведений личного, интимного
характера" (Апелляционное определение Нижегородского областного суда от 2
февраля 2016 г. по делу N 33-1362/2016(33-15085/2015). Представляется, что
наиболее емко суть изложенных судами подходов к определению понятия
"частная жизнь" можно выразить словами М.В. Баглая, который понимает
под частной жизнью "своеобразный суверенитет личности, означающий
неприкосновенность его "среды обитания" <1>.
--------------------------------
<1> Баглай М.В.
Конституционное право Российской Федерации. М., 2005. С. 185.
Вместе с тем говорить о наличии в
российской судебной практике, даже на уровне Верховного Суда РФ, некоего
единообразного понимания понятия частной жизни на данный момент преждевременно.
В качестве иллюстрации можно привести две не очень сочетающиеся друг с другом
позиции. В одном случае Верховный Суд РФ признал допустимым доказательством
аудиозапись телефонного разговора, сделанную одним из лиц, участвовавших в
таком разговоре, и касающуюся договорных взаимоотношений между сторонами,
несмотря на возражения другой стороны о тайном характере создания такой
аудиозаписи. По мнению Верховного Суда РФ, в данном случае нельзя говорить о
нарушении неприкосновенности частной жизни, по всей видимости, потому что
данная сфера жизни гражданина не относится к личной (Определения Судебной
коллегии по гражданским делам Верховного Суда РФ от 14 апреля 2015 г. N
33-КГ15-6 и от 6 декабря 2016 г. N 35-КГ16-18). В другом случае Верховный Суд
РФ признал сведения, которые характеризуют профессиональную деятельность лица,
в качестве потенциально подпадающих под понятие частной жизни (Определение
Судебной коллегии по гражданским делам Верховного Суда РФ от 12 ноября 2019 г.
N 14-КГ19-15, 2-2794/18). При этом арбитражные суды иногда признают переписку
по электронной почте охраняемой нормами о неприкосновенности частной жизни,
даже если она имеет коммерческий контекст, и, как следствие, отказывают в ее
приобщении в связи с недопустимостью таких доказательств в отсутствие согласия
участников такой переписки на получение доступа к ней (Постановление Девятого
арбитражного апелляционного суда от 4 июня 2019 г. по делу N А40-122683/18). В
другом деле суд констатировал, что "информация, указанная в доверенности,
не является информацией о частной жизни истцов, защищаемой законом, ни сбор, ни
ее использование не являются нарушением закона. Участие гражданина в судебных
разбирательствах по гражданским делам не может являться составляющей частной
жизни гражданина" (Определение Первого кассационного суда общей юрисдикции
от 29 января 2020 г. по делу N 2-1295/2019). При этом некоторые суды более
"топорно" выражают эту мысль, ставя знак равенства между персональными
данными лица и информацией, составляющей частную жизнь ("сведения о лице,
которое в силу закона или учредительных документов юридического лица выступает
от его имени, либо сведения об уполномоченном представителе юридического лица,
полномочия которого основаны на доверенности, не подпадают под понятие
персональных данных". См.: Постановление Московского городского суда от 30
ноября 2017 г. N 4а-6980/2017). И это далеко не полный перечень примеров
казуистического подхода судов к содержанию понятия "частная жизнь".
Противоречива судебная
практика и применительно к возможности квалификации факта размещения сведений,
ранее сделанных общедоступными, в качестве нарушения права на
неприкосновенность частной жизни. Одни суды полагают, что общедоступность таких
сведений исключает возможность такой квалификации (Апелляционное определение
Московского городского суда от 26 апреля 2017 г. по делу N 33-11364/2017).
Другие суды, напротив, допускают такую возможность. Как указал суд, "при
сборе данных о каком-либо человеке, обработке или использовании персональных
данных или публикации соответствующих материалов способом или в объеме, который
выходит за рамки того, что обычно можно предвидеть, могут возникнуть доводы о
защите частной жизни. Тот факт, что сведения о частной жизни и персональные
данные получены из открытых источников, сам по себе не лишает гражданина права
на защиту частной жизни и защиту своих персональных данных" (Определение
Девятого кассационного суда общей юрисдикции от 12 мая 2020 г. по делу N
2-8287/2019). Представляется, что на фоне внесенных в Закон о персональных
данных изменений, связанных со значительным ужесточением порядка обработки
данных, сделанных общедоступными, гражданином (см. комментарии к п. 1.1 ст. 3 и
ст. 10.1 Закона), последний подход является более правильным и станет основным
для последующего развития судебной практики.
Таким образом, понятие
частной жизни в российском праве и судебной практике не имеет четких контуров,
в силу чего может быть истолковано судом как достаточно широко, так и
достаточно узко, что предоставляет простор для его "творческого"
применения участниками судопроизводства.
2. Противоправный характер
действий лица, согласно существующей судебной практике, лишает такое лицо
возможности ссылаться на нарушение права на неприкосновенность его частной
жизни. Например, в одном из решений суд указал, что "информация о
распространении гражданином контрафактной продукции не является информацией о
его частной жизни, в том числе информацией, составляющей личную или семейную
тайну" (Постановление Десятого арбитражного апелляционного суда от 26
января 2021 г. по делу N А41-55623/2020). В другом деле суд указал на
отсутствие нарушений данного права со стороны антимонопольного органа при сборе
информации со служебных компьютеров сотрудников организации для целей выявления
признаков нарушения ею требований антимонопольного законодательства (Постановление
Девятого арбитражного апелляционного суда от 16 октября 2020 г. по делу N
А40-14932/2020).
3. В результате реформы
гражданского законодательства в числе поправок в ч. 1 ГК РФ появилась ст. 152.2,
посвященная охране частной жизни гражданина, согласно которой "если иное
прямо не предусмотрено законом, не допускаются без согласия гражданина сбор,
хранение, распространение и использование любой информации о его частной жизни,
в частности сведений о его происхождении, о месте его пребывания или
жительства, о личной и семейной жизни". При этом статья предусматривает
ряд исключений из данного правила: публичный интерес, общедоступность
соответствующей информации, ее раскрытие по воле гражданина. Понятие частной
жизни сам ГК РФ не раскрывает, что обусловливает необходимость толкования
данного понятия на основе иных источников. Поскольку право на уважение частной
и семейной жизни также предусмотрено в ст. 8 Европейской Конвенции о защите
прав человека и основных свобод 1950 г., стороной которой является Российская
Федерация <1>, при толковании понятий частной жизни, личной и семейной
тайны, помимо вышеупомянутого Определения Конституционного Суда РФ, необходимо
учитывать практику ЕСПЧ по данному вопросу. В этой связи необходимо отметить
следующие ее отличительные черты:
1) ЕСПЧ рассматривает
положения Конвенции 1950 г. как "живой инструмент, который должен
толковаться с учетом реалий сегодняшнего дня" (Постановление ЕСПЧ от 25
апреля 1978 г. по делу "Тайрер против Соединенного Королевства",
жалоба N 5856/72), в связи с чем ст. 8 достаточно легко применяется ЕСПЧ к
современным технологиям (электронной почте, GPS-технологиям, видеонаблюдению и
пр.) <2>;
2) согласно позиции
ЕСПЧ, дать исчерпывающее определение понятия privacy ("личная жизнь") невозможно и нецелесообразно,
однако одно вполне очевидно: данное понятие толкуется ЕСПЧ весьма широко по
сравнению с классическим американским пониманием термина
"приватность" (privacy) как
"права быть оставленным в покое" (right
to be left alone) <3>. Ключевой идеей, лежащей в основе категории
"личная жизнь", является идея личной автономии. Так, понятие
"личная жизнь" охватывает физическую и моральную стороны жизни
индивида, включая сексуальную жизнь (Постановление ЕСПЧ от 26 марта 1985 г.
"X и Y против Нидерландов", жалоба N 8978/80); физическую и
психологическую неприкосновенность индивида при оказании ему медицинской помощи
или психиатрическом обследовании (Постановление ЕСПЧ от 22 июля 2003 г.
"И.Ф. (Y.F.) против Турции", жалоба N 24209/94; Постановление ЕСПЧ от
27 ноября 2003 г. "Ворва (Worwa) против Польши", жалоба N 26624/95);
право индивида знать свое происхождение (Постановление ЕСПЧ от 13 февраля 2003
г. "Одьевр (Odievre) против Франции", жалоба N 42326/98); вопросы
публикации фотографий повседневной жизни индивида (Постановление ЕСПЧ от 24
июня 2004 г. "Дело "Фон Ганновер (Принцесса Ганноверская) (Von
Hannover) против Германии", жалоба N 59320/00) и ряд других вопросов
<4>;
3) ЕСПЧ охватывает
правом на личную жизнь не только свободу от воздействия извне на личную сферу
индивида, но и отношения с другими людьми, в том числе "возможность
устанавливать и поддерживать отношения с другими людьми в профессиональном и
деловом плане, как и в любом другом" (Постановление ЕСПЧ от 16 декабря
1992 г. "Нимитц (Niemietz) против Германии", жалоба N 13710/88);
4) ЕСПЧ подчеркивает,
что право на частную жизнь хотя главным образом и состоит в защите личности от
произвольного вмешательства органов государственной власти, оно не
ограничивается обязанностью государства воздерживаться от такового
вмешательства. Оно также предполагает, что государство должно предпринимать
меры, направленные на обеспечение уважения частной жизни даже в сфере отношений
лиц между собой (Постановление ЕСПЧ от 24 июня 2004 г. "Дело "Фон
Ганновер (Принцесса Ганноверская) (Von Hannover) против Германии", жалоба
N 59320/00). Тем самым имплементация государством специальных законодательных
норм, регламентирующих как вертикальные отношения между государством и
индивидом, так и горизонтальные отношения между частными лицами - операторами и
субъектами персональных данных по поводу личной информации, вполне укладывается
в обязанности государства по обеспечению права на частную жизнь в понимании
ЕСПЧ.
--------------------------------
<1> Конвенция
вступила в силу для Российской Федерации 5 мая 1998 г. (СПС
"КонсультантПлюс").
<2> См. подробнее:
Ефремов А.А. Новые информационные технологии в практике Европейского суда по
правам человека // Прецеденты Европейского суда по правам человека. 2016.
N 6. С.
10 - 15.
<3> См.:
Warren S., Brandeis L. The Right to Privacy. P. 193.
<4> См. подробнее:
Рожкова М.А., Афанасьев Д.В., Тай Ю.В. Порядок рассмотрения жалоб в Европейском
суде по правам человека. М., 2013. Серия "Практика Европейского суда по
правам человека: комментарии, судебные прецеденты". Кн. 2 (СПС
"КонсультантПлюс").
Таким образом, право на
неприкосновенность частной жизни представляет собой комплекс целого ряда
правомочий, обеспечивающих свободу реализации личности, содержание которых
эволюционирует с развитием общества, технологий и морали (право на тайну
переписки, телефонных переговоров, личную неприкосновенность, сексуальное
самоопределение, защиту чести и достоинства и пр.).
В качестве примеров,
признанных ЕСПЧ вмешательством в личную жизнь, которые нарушали требования Конвенции
1950 г., можно привести ситуации, при которых осуществляется слежка за
индивидом как посредством контроля его коммуникаций и телефонных переговоров, в
том числе с использованием системы тайного прослушивания вроде СОРМ
(Постановление ЕСПЧ от 4 декабря 2015 г. "Роман Захаров (Roman Zakharov)
против Российской Федерации", жалоба N 47143/06), так и посредством
спутниковых систем навигации (Постановление ЕСПЧ от 2 сентября 2010 г.
"Узун против Германии", жалоба N 35623/05). В качестве иных примеров
нарушения права на частную жизнь ЕСПЧ указал опубликование видеозаписей
наблюдения в общественных местах (Постановление ЕСПЧ от 28 января 2003 г.
"Пек (Peck) против Соединенного Королевства", жалоба N 44647/98),
нерегламентированный контроль работодателя за использованием средств
коммуникаций (служебного телефона, электронной почты, Интернета) работников
(Постановление ЕСПЧ от 3 апреля 2007 г. "Дело "Копланд (Copland)
против Соединенного Королевства", жалоба N 62617/00).
4. Рассмотрение
законодательства о персональных данных как результата эволюции права на
неприкосновенность частной жизни, личную и семейную тайну не означает, что
право на защиту персональных данных должно рассматриваться исключительно как
модернизированная манифестация этого права. Анализ положений законодательства о
персональных данных позволяет сделать вывод, что регулируемые им отношения, с
одной стороны, не в полной мере охватывают ситуации, которые подпадают под
действие права на неприкосновенность частной жизни, а с другой - выходят за его
рамки. Тем самым право на защиту персональных данных приобрело во многом
самостоятельное значение. Графически соотношение права на защиту персональных
данных и права на неприкосновенность частной жизни можно обозначить следующим
образом:
Во-первых, как следует из ст. 1 Закона
о персональных данных, он не регулирует отношения, связанные с обработкой
данных, которые могут составлять личную или семейную тайну, если такая
обработка не осуществляется с использованием средств автоматизации или без
таковых - применительно к систематизированным картотекам или иным собраниям
персональных данных. Однако при этом лицо не лишено возможности защиты своих
прав в порядке, установленном гл. 8 ГК РФ. Согласно ст. 152.1 и 152.2 ГК РФ по
общему правилу распространение сведений (в том числе в виде фотографий), информирующих
о частной (личной) либо семейной жизни гражданина, без его согласия является
нарушением права на неприкосновенность частной жизни безотносительно к
применению автоматизированных или квазиавтоматизированных средств обработки
(Апелляционное определение Санкт-Петербургского городского суда от 24 июня 2015
г. N 33-10102/2015 по делу N 2-1450/2014). В рамках реализации прав,
предоставленных ГК РФ, гражданин вправе требовать в судебном порядке удалить
соответствующую информацию с материальных носителей, пресечь и запретить
дальнейшее ее распространение, а также использовать иные средства защиты,
указанные в п. 2 ст. 150 ГК РФ.
Во-вторых,
законодательство о персональных данных регулирует более широкий круг
информационных отношений, включая отношения по поводу публичной и общедоступной
информации, которая не может являться личной или семейной тайной в силу своей
природы. Как метко отметил один суд, "частная жизнь и семейная тайна
человека и гражданина включены в состав сведений, представляющих персональные
данные, а не ограничивают данное понятие" (Постановление Суда
Ханты-Мансийского автономного округа - Югры от 26 апреля 2013 г. по делу N
4А-75/2013). Например, информация лица о себе и о своем опыте работы в
определенной сфере, размещенная им в специализированной социальной сети с целью
поиска работы. Обработка подобного рода сведений не может рассматриваться как
вторжение в личную сферу гражданина или как нарушение права на
неприкосновенность его частной жизни, поскольку лицо само вывело указанные
данные из-под режима личной тайны, сделав их общедоступными. Также вряд ли
возможно рассматривать в качестве вторжения в личную или семейную сферу лица, к
примеру, действия работодателя по обработке данных о зарплате своего работника
- субъекта персональных данных, однако данные действия все же охватываются
нормами законодательства о персональных данных. По сути, законодательство о
персональных данных предоставляет субъекту совокупность специальных прав по управлению такими данными и контролю за
порядком использования таких данных (право получения доступа к информации об их
обработке, право на уточнение таких данных, прекращение такой обработки и пр.),
исполнение которых обеспечивается возложением на оператора ряда обязанностей.
В-третьих, право на
неприкосновенность частной жизни, личную и семейную тайну исходит из
необходимости обеспечения максимальной конфиденциальности таких данных,
пребывания их "в тумане" для окружающих. Одной из основных задач
законодательства о защите персональных данных является обеспечение прозрачности
осуществляемых процессов обработки персональных данных для субъекта
персональных данных и предоставление ему
возможности контроля над их обработкой в определенной степени - определять,
кому, когда и в каком объеме могут быть предоставлены персональные данные, если
иное не предусмотрено законом.
В-четвертых, права
субъекта, вытекающие из законодательства о защите персональных данных, носят
относительный характер и могут быть реализованы только в отношении специального
субъекта - оператора персональных данных, соответственно только оператор может
нарушить право субъекта фактом осуществления незаконной обработки его
персональных данных. Лицо, которое осуществляет обработку персональных данных
по поручению оператора, не несет ответственности непосредственно перед
субъектом (ч. 5 ст. 6 Закона о персональных данных). Право на
неприкосновенность частной жизни, личную и семейную тайну носит, по общему
правилу, абсолютный характер и действует erga omnes ("против всех").
В частности, это проявляется в порядке защиты данного права как личного
нематериального блага в порядке, предусмотренном гл. 8 ГК РФ. Кроме того,
абсолютному характеру данного права корреспондируют положения ч. 8 ст. 9 Закона
об информации, устанавливающие общий запрет "требовать от гражданина
(физического лица) предоставления информации о его частной жизни, в том числе
информации, составляющей личную или семейную тайну, и получать такую информацию
помимо воли гражданина (физического лица), если иное не предусмотрено
федеральными законами".
В-пятых, порядок защиты
права на неприкосновенность частной жизни и права субъекта персональных данных
различаются и с точки зрения подсудности. Так, согласно ч. 6.1 ст. 29 ГПК РФ
иски о защите прав субъекта персональных данных, в том числе о возмещении
убытков и (или) компенсации морального вреда, могут предъявляться также в суд
по месту жительства истца. В то же время иски, связанные с защитой права на
неприкосновенность частной жизни, предъявляются по общим правилам подсудности,
то есть по местожительству или местонахождению ответчика (Апелляционное определение
Московского городского суда от 10 сентября 2019 г. по делу N 33-39728/2019).
При этом следует указать, что если требования истца, связанные с защитой
персональных данных, носят вторичный характер по отношению к иным требованиям,
например, связанным с признанием договора недействительным, то подсудность
должна определяться по правилам, применимым к основному требованию. В качестве
иллюстрации можно привести дело, в котором истец заявил требования о признании
договора обязательного пенсионного страхования недействительным и прекращении
незаконной обработки персональных данных ответчиком. Суд установил, что данный
иск должен рассматриваться по местонахождению ответчика, а не по правилам ч.
6.1 ст. 29 ГПК РФ об альтернативной подсудности по выбору истца, поскольку суть
исковых требований обусловлена нарушениями, имевшими место при заключении
договора (Апелляционное определение Суда Ханты-Мансийского автономного округа -
Югры от 18 сентября 2018 г. по делу N 33-6290/2018).
5. В праве Европейского
союза право на неприкосновенность частной жизни и право на защиту персональных
данных разделены и закреплены в различных ст. Хартии Европейского Союза об
основных правах - ст. 7 и 8 соответственно <1>. В этой связи GDPR как
документ, принятый уже после вступления в силу данной Хартии, в качестве своей
цели предусматривает уже не защиту "права на неприкосновенность частной
жизни" (right to privacy), а
"защиту фундаментальных прав и свобод человека, в том числе право на
защиту персональных данных" (ст. 1).
--------------------------------
<1> См.:
Charter of Fundamental Rights of the European Union. 2000/C 364/01. URL:
www.europarl.europa.eu/charter/pdf/text_en.pdf. Данный документ был принят в
2000 г. и вступил в силу в 2009 г.
Таким образом, право на защиту
персональных данных и право на неприкосновенность частной жизни, личную и
семейную тайну не являются тождественными, они имеют различия как в части
объема и природы подпадающей под охрану информации, так и в части принципов,
лежащих в основе регулирования. С определенной долей условности можно констатировать,
что право на неприкосновенность частной жизни, личную и семейную тайну защищает
частную информационную сферу
гражданина, в то время как право на защиту персональных данных направлено на
защиту личной информационной сферы
гражданина. Как следствие, правовой режим защиты персональных данных,
установленный Законом о персональных данных, и правовой режим защиты
неприкосновенности частной жизни, установленный ГК РФ, носят параллельный
характер. Тот факт, что гражданин может не иметь возможности защитить свои
права в рамках норм ст. 152.1 или 152.2 ГК РФ, не означает, что он лишен такой
возможности в рамках Закона о персональных данных, и наоборот.
В отечественной судебной
практике иногда можно встретить подобный дифференцированный подход. Так, суд
указал, что "спорные правоотношения, а именно сбор в отношении заявителя
персональных данных и распоряжение ими, не подпадают под сферу регулирования
Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных
данных", заявитель не лишен возможности защиты своих прав в порядке,
установленном гл. 8 Гражданского кодекса Российской Федерации"
(Апелляционное определение Санкт-Петербургского городского суда от 24 июня 2015
г. N 33-10102/2015 по делу N 2-1450/2014).
6. Формулировка
комментируемой статьи формально не ограничивает цели Закона о персональных
данных лишь защитой прав на неприкосновенность частной жизни, личную и семейную
тайну, упоминая их не иначе как в числе
защищаемых прав и свобод человека и гражданина при обработке его
персональных данных. К таким иным правам и свободам человека, связанным с
обработкой персональных данных, можно отнести право на тайну переписки,
телефонных переговоров, почтовых, телеграфных и иных сообщений (ч. 2 ст. 23
Конституции РФ); право лица требовать от органов государственной власти и
органов местного самоуправления, их должностных лиц обеспечения возможности
ознакомления с документами и материалами, непосредственно затрагивающими его
права и свободы, если иное не предусмотрено законом (ч. 2 ст. 24 Конституции
РФ).
7. Сведение всех целей
законодательства о персональных данных исключительно к защите права на
неприкосновенность частной жизни является существенным упрощением природы
существующих правоотношений по поводу персональных данных и игнорирует не
только тот факт, что оно может обеспечивать защиту иных конституционных прав
гражданина (например, права на защиту от дискриминации посредством положений ст.
16 Закона о персональных данных), но и необходимость учета и защиты прав и
законных интересов иных участников отношений в указанной области: общества,
государства и бизнеса.
Так, общество
заинтересовано в обеспечении реализации его членами конституционных прав на
свободу слова и свободу поиска, получение и распространение информации любым
законным способом (ст. 29 Конституции РФ), в том числе на получение информации
от государственных органов, на свободу литературного, художественного,
научного, технического и других видов творчества (ст. 44 Конституции РФ) и ряда
других конституционных прав. Во многом именно этими соображениями объясняется
наличие специальных оснований для обработки персональных данных без согласия
субъекта для осуществления профессиональной деятельности журналиста и (или)
законной деятельности средства массовой информации либо научной, литературной
или иной творческой деятельности (п. 8 ч. 1 ст. 6 Закона о персональных
данных).
Государство
заинтересовано в сборе и обработке персональных данных с целью обеспечения
реализации своих публичных функций, в том числе обеспечения безопасности своих
граждан и национального суверенитета. Указанными целями продиктованы такие
положения Закона о персональных данных, как, например, возможность обработки
специальных ("чувствительных") категорий данных без согласия
субъекта, если такая обработка осуществляется в соответствии с
законодательством Российской Федерации об обороне, о безопасности, о
противодействии терроризму, о транспортной безопасности, о противодействии коррупции,
об оперативно-разыскной деятельности (п. 7 ч. 2 ст. 10). Во многом именно
соображениями национальной безопасности можно объяснить введение обязанности
операторов по локализации отдельных процессов обработки персональных данных
российских граждан (ч. 5 ст. 18 Закона о персональных данных).
Коммерческий сектор
заинтересован в сборе и обработке персональных данных с целью создания новых
бизнес-моделей, персонализации предоставляемых товаров и услуг, в максимально
эффективном использовании новых инновационных технологий в конкурентной борьбе.
Учет данных интересов иллюстрируют, в частности, положения о трансграничной
передаче данных, возможности обработки персональных данных без согласия их
субъекта для целей заключения или исполнения договора, а также для
осуществления прав и законных интересов оператора (п. 5, 7 ч. 1 ст. 6 Закона о
персональных данных). В некоторых случаях законодательство о персональных данных
может быть использовано и для целей экономического протекционизма, что
признавалось еще при разработке Руководящих принципов ОЭСР <1>. Положения
о локализации отдельных процессов обработки персональных данных, недавно
имплементированные в Закон о персональных данных (ч. 5 ст. 18), вполне могут
рассматриваться как имеющие своей целью, помимо прочего, поддержку
отечественного рынка дата-центров.
--------------------------------
<1> Как отметил
Майкл Кирби, глава рабочей группы по разработке Руководящих принципов ОЭСР,
"существует опасение, что национальное законодательство о защите
неприкосновенности частной жизни будет на самом деле использоваться для целей
экономического протекционизма". См.: Kirby M.
Legal Aspects of Transborder Data Flows // International Computer Law Adviser. 1991. No. 5. P. 4 ff.
Таким образом, законодательство о персональных данных направлено не только на защиту
неприкосновенности частной жизни физических лиц, оно также имеет важные
экономические, социальные и политические функции, в связи с чем должно
учитывать права и законные интересы всех участников отношений и обеспечивать
баланс между ними.
Данное обстоятельство
подчеркивается в ряде международных документов. Так, например, в Руководящих
принципах ОЭСР указано на необходимость нахождения баланса между
противоречивыми интересами - защитой неприкосновенности частной жизни, с одной
стороны, и уважением права на свободный обмен информацией - с другой, для
полномасштабного использования потенциала современных технологий обработки
данных в той мере, в которой это представляется желательным <1>. При этом
ОЭСР прямо признает, что "существует внутренний конфликт между защитой
персональных данных и свободным обменом этими данными... интересы, связанные с
защитой неприкосновенности частной жизни, может быть трудно отделить от прочих
интересов, относящихся к торговле, культуре, национальному суверенитету и
пр." <2>. Директива 1995 г. прямо указывала в числе своих целей не
только защиту права на неприкосновенность частной жизни, но и обеспечение
свободного движения данных. Именно соображениями необходимости гармонизации
законодательств стран - членов ЕС в области защиты персональных данных для
целей построения единого европейского рынка и было во многом обусловлено ее
принятие <3>. Аналогичные соображения лежали и в основе принятия GDPR,
направленного уже не на гармонизацию, а на унификацию законодательства в
указанной сфере. Это лишний раз подтверждает тот факт, что законодательство о
персональных данных нельзя рассматривать в отрыве от экономической
составляющей, которая присутствовала с самого момента его становления. Как
указал Европейский суд справедливости, "право на защиту персональных
данных не является абсолютным правом и должно рассматриваться в контексте
выполняемых им функций в обществе" <4>.
--------------------------------
<1> См.:
Explanatory Memorandum to OECD Guidelines on the Protection of Privacy and
Transborder Flows of Personal Data 1980, § 3. URL: https://goo.gl/bAksLQ.
<2> Ibid., § 11(h).
<3> См.:
Lynskey Orla. The Foundations of EU Data Protection Law. Oxford University Press, 2015. P. 47
ff. При этом подготовительные материалы свидетельствуют о намерении Европейской
комиссии использовать данное законодательство для стимулирования развития
европейской IT-индустрии. См.: Bygrave A. Data Privacy Law:
An International Perspective. P. 125.
<4> См.:
Volker and Markus Schecke GbR and Hartmut Eifert v. Land Hessen, ECJ, Joined
Cases C-92/09 and C-93/09, 9 November 2010.
8. Реализуя одну из своих основных
целей - защиту права на неприкосновенность частной жизни, личную и семейную
тайну, законодательство о защите персональных данных имеет своей задачей
минимизацию ряда рисков, связанных с ненадлежащей и (или) недобросовестной
обработкой персональных данных: 1) дискриминации субъекта персональных данных;
2) мошенничества ("кражи личности" - identity theft); 3) причинения вреда жизни и здоровью субъекта
персональных данных в результате получения злоумышленниками данных о его
местонахождении и иной информации, которая может способствовать насильственным
действиям в отношении данного лица; 4) морального дискомфорта, который
возникает от ощущения постоянной "слежки" и является причиной
самоцензуры лица. При этом для применимости законодательства о персональных
данных не требуется, чтобы данные последствия фактически наступили, достаточно
лишь гипотетической возможности их наступления. Средствами решения данных задач
являются принципы обработки персональных данных (в частности, принципы
минимизации обрабатываемых данных, ограничения процессов обработки заявленной
целью, недопустимости совместной обработки данных, собранных с несовместимыми
целями, и пр. - см. ст. 5 и комментарий к ней); нормы о запрете на принятие
юридически значимых решений в отношении субъектов персональных данных
исключительно автоматизированными способами (ст. 16); возложение на операторов
обязанностей по принятию организационных и технических мер по защите
персональных данных (ст. 19) и ряд других положений.
Статья 3. Основные понятия,
используемые в настоящем Федеральном законе
Понятие персональных данных.
1. Понятие персональных
данных является наиболее фундаментальным для всего законодательства в указанной
сфере, поскольку именно квалификация информации в качестве персональных данных
выступает своего рода спусковым механизмом, приводящим его в действие.
До 1 сентября 2011 г.
дефиниция персональных данных звучала как "любая информация, относящаяся к
определенному или определяемому на основании такой информации физическому лицу
(субъекту персональных данных), в том числе его фамилия, имя, отчество, год,
месяц, дата и место рождения, адрес, семейное, социальное, имущественное
положение, образование, профессия, доходы, другая информация" <1>.
Новая дефиниция расширила понятие
персональных данных за счет: 1) добавления возможности косвенной идентификации
лица; 2) удаления словосочетания "на основе такой информации", что
обусловило необходимость принятия во внимание не только данного конкретного
массива данных для решения вопроса об их квалификации как персональных данных,
но и иной информации; 3) удаления приблизительного перечня персональных данных.
Тем самым новое понятие персональных данных, приведенное в комментируемой статье,
привело его в соответствие с положениями Конвенции 1981 г., согласно ст. 2(a)
которой термин "персональные данные" означает любую информацию об
определенном или поддающемся определению физическом лице ("субъект
данных").
--------------------------------
<1> См.:
Федеральный закон от 25 июля 2011 г. N 261-ФЗ "О внесении изменений в
Федеральный закон "О персональных данных" // СПС
"КонсультантПлюс".
Таким образом, дефиниция данного
понятия, выступающая предметом немалой критики в силу ее недостаточной
определенности, является не изобретением российского законодателя, а следствием
имплементации в российское право положений международного договора. Схожие по
сути дефиниции персональных данных содержатся и в иных правопорядках.
Так, в ст. 4(1) GDPR
персональные данные означают "любую информацию, связанную с определенным
или определяемым физическим лицом ("субъектом данных"); лицо
признается определяемым, если оно может быть определено прямо или косвенно, в
частности, посредством ссылки на идентификаторы, такие как его имя,
идентификационный номер, данные о местоположении, онлайн-идентификатор либо
один или несколько факторов, характерных для его физической или
физиологической, ментальной, экономической, культурной или социальной
идентичности". Таким образом, файлы cookie,
являющиеся онлайн-идентификатором, и геолокационные данные прямо отнесены GDPR
к числу персональных данных.
Одно из наиболее
подробных определений персональных данных содержится в Законе Калифорнии о
защите частной жизни потребителей, вступившем в силу 1 января 2020 г. Под
персональными данными (personal
information) понимается "любая информация, которая идентифицирует,
относится, описывает или может быть ассоциирована или связана прямо или
косвенно с конкретным потребителем или домовладением. Персональная информация
включает, но не ограничивается следующими данными:
a) идентификаторы, такие
как реальное имя, псевдоним, почтовый адрес, уникальный личный идентификатор,
онлайн-идентификатор, IP-адрес, адрес электронной почты, номер карты
социального страхования, номер водительского удостоверения, номер паспорта или
иные подобные идентификаторы;
b) информацию, указанную
в секции 1798.80 Свода законов Калифорнии (помимо указанных выше, к ней
относится подпись, описание физических характеристик лица, номер телефона,
номер страхового полиса, сведения о стаже работы, номер счета, номер кредитной
карты и иная финансовая информация, медицинские данные и данные, связанные со
страхованием здоровья);
c) сведения, относящиеся
к особо защищаемым для целей применения антидискриминационной политики
(сведения о расовой, национальной принадлежности, возрасте для лиц старше 40
лет, религиозных, политических взглядах, сексуальной жизни, сведения о
состоянии здоровья, в том числе о беременности; о прохождении военной службы,
генетическая информация и др.);
d) коммерческую
информацию, включая сведения о личной собственности, приобретенных или
планируемых к приобретению товарах и услугах;
e) биометрические
данные, понимаемые как физиологические, биологические, поведенческие
характеристики лица, включая данные ДНК, которые могут быть использованы
самостоятельно или в совокупности друг с другом или иной идентифицирующей
информацией для целей установления личности индивида. К биометрической
информации относится, в частности, радужная сетчатка глаза, отпечатки пальцев,
паттерны лица, руки, ладони, вен, записи голоса, на основании которых можно
создать шаблон личности лица; параметры нажатия клавиш, сведения о здоровье или
физических занятиях, которые содержат идентифицирующую информацию;
f) информацию об
активностях в сети Интернет, включая, но не ограничиваясь историей посещения
сайтов, поисковые запросы, информацию о взаимодействии пользователя с
интернет-сайтами, приложениями и рекламой;
g) геолокационные
данные;
h) аудио, электронную,
визуальную, термальную, обонятельную информацию;
i) информацию о
профессиональных интересах и о трудовых отношениях;
j) информацию об
образовании;
k) выводы и заключения,
сделанные на основе информации, указанной в данном определении, с целью
создания профайла о пользовательских предпочтениях, характеристиках,
физиологическом развитии, предрасположенностях, поведении, отношении, уровне
умственного развития, способностях и склонностях" <1>.
--------------------------------
<1> См.:
Section 1798.140 (o) California Consumer Privacy Act 2018.
В Сингапуре под персональными данными
признаются сведения о физическом лице (безотносительно их достоверности),
которое может быть идентифицировано либо на основании самих этих данных, либо
на основании этих данных в совокупности с другой информацией, к которой
оператор имеет или может получить доступ <1>. В проекте закона о
персональных данных КНР персональные данные рассматриваются как все виды
информации в электронном или ином виде, относящейся к определенному или
определяемому физическому лицу, за исключением информации, прошедшей процесс
анонимизации (ст. 4) <2>.
--------------------------------
<1> См.:
Section 2 of the Personal Data Protection Act.
<2> С переводом на
английский язык проекта Закона КНР о защите персональных данных можно
ознакомиться по ссылке:
https://www.newamerica.org/cybersecurity-initiative/digichina/blog/chinas-draft-personal-information-protection-law-full-translation/.
Как видно из приведенных примеров, в
ключевых правопорядках как западных, так и азиатских стран используется широкий
подход к дефиниции персональных данных. Даже Китай во многом следует
европейской традиции при формулировании данного понятия <1>. В этой связи
можно говорить о том, что российская дефиниция персональных данных,
содержащаяся в Законе о персональных данных, находится в русле мировых трендов.
--------------------------------
<1> См.:
Gil Zhang, Kate Yin. A look at China's draft of Personal Information Protection
Law // IAPP. 26 October 2020. URL:
https://iapp.org/news/a/a-look-at-chinas-draft-of-personal-data-protection-law/.
Следует отметить, что еще одна
дефиниция персональных данных содержится в Указе Президента РФ от 6 марта 1997
г. N 188 "Об утверждении Перечня сведений конфиденциального
характера", согласно которому под персональными данными понимаются
"сведения о фактах, событиях и обстоятельствах частной жизни гражданина,
позволяющие идентифицировать его личность (персональные данные), за исключением
сведений, подлежащих распространению в средствах массовой информации в
установленных федеральными законами случаях". Как видно, данное
определение носит более узкий характер и не охватывает информацию, из которой
можно определить лицо косвенным образом. Несмотря на то что данный Указ
формально не отменен, указанная дефиниция не подлежит применению, поскольку
противоречит положениям нормативного правового акта более высокой юридической
силы, носящего специальный характер и принятого позднее. К этому следует также
добавить, что более узкая дефиниция персональных данных вступила бы в
противоречие с международными обязательствами РФ, вытекающими из ее
присоединения к Конвенции 1981 г.
2. Дефиниция
персональных данных состоит из нескольких составных частей. Это: а) любая
информация; б) имеющая отношение к в) прямо или косвенно определенному или
определяемому г) физическому лицу.
а) Персональные данные
представляют собой информацию, то
есть "сведения (сообщения, данные) независимо от формы их
представления" (п. 1 ст. 2 Закона об информации). Форма отображения
информации не имеет значения: это могут быть сведения в текстовой, графической,
звуковой форме, воспринимаемой человеком или устройством. Носитель таких данных
также не имеет значения: они могут быть зафиксированы на бумаге, в иной
аналоговой форме (например, на видеокассете) или существовать в электронной
форме. При этом не имеет значения, является ли такая информация достоверной или
нет, а равно носит ли она объективный или оценочный характер. Например,
информация о том, что у Иванова Ивана Ивановича диагностирован рак головного
мозга, носит объективный характер и является персональными данными специальной
категории (данные о состоянии здоровья, см. комментарий к ст. 10 Закона), даже
если впоследствии данный диагноз будет опровергнут. Информация о том, что
Иванов Иван Иванович является ненадежным и недобросовестным должником, носит
оценочный характер, но при этом также охватывается понятием персональных
данных.
Сам по себе носитель
данных не является персональными данными, хотя в некоторых случаях разделить их
весьма сложно. Главным образом речь идет о биологическом материале (ткани,
выделения человека), который содержит геномную информацию - персональные
данные, включающие кодированную информацию об определенных фрагментах
дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, не
характеризующих их физиологические особенности (п. 3 ст. 1 Федерального закона
от 3 декабря 2008 г. N 242-ФЗ "О государственной геномной регистрации в
Российской Федерации"). Принимая во внимание, что единственной причиной
сбора и хранения подобного рода биологического материала является наличие в нем
информации, составляющей персональные данные, приравнивание биологического
материала к персональным данным не лишено определенной логики. Так, ЕСПЧ в
одном из решений указал, что "учитывая характер и объем информации личного
характера, которая содержится в образцах клеток, их хранение должно само по
себе считаться вмешательством государства в осуществление человеком права на
уважение его личной жизни. В связи с этим не имеет значения, что в
действительности из них извлекается или используется властями для создания
профиля ДНК лишь ограниченная часть этой информации и что в каком-то конкретном
случае не произошло немедленного ухудшения положения человека", как
следствие, указанные объекты были отнесены к персональным данным (см. § 68, 73
Постановления ЕСПЧ от 4 декабря 2008 г. по делу "S. и Марпер (S. and
Marper) против Соединенного Королевства", жалобы N 30562/04, 30566/04).
В контексте российской
правовой системы данные вопросы могут быть не столь актуальны по причине
наличия специального регулирования порядка сбора, хранения и использования
биологического материала. Однако его проработанность сильно уступает степени
детализации законодательства о персональных данных, в связи с чем приравнивание
биологического материала к персональным данным могло бы способствовать
восполнению возможных пробелов в регулировании.
На момент подготовки
данного издания комментария Государственной Думой РФ был принят в первом чтении
законопроект, который направлен на корректировку понятия биометрических данных,
относя к таковым сведения, характеризующие не только физиологические и
биологические особенности человека, но и генетические <1>. Данный подход
видится ошибочным, поскольку одним из ключевых признаков биометрических данных
является особая цель их обработки оператором - идентификация субъекта. Вместе с
тем в пояснительной записке к вышеуказанному законопроекту обозначается
несколько иная проблема: наличие пробела "в части защиты информации о
человеке, полученной из его биоматериала, который содержит генетическую
информацию, позволяющую получить о нем дополнительные сведения (о состоянии
здоровья, питания, образа жизни, поведенческих особенностях, чувствительности к
фармакологическим препаратам или аллергенам и других индивидуальных
характеристиках)". Иными словами, анализ генетической информации может
использоваться не столько для идентификации гражданина, сколько для выявления
его отдельных характеристик и последующего профайлинга гражданина на их основе.
Правовой режим биометрических данных не улавливает данные цели обработки, в
этой связи более предпочтительным видится отнесение генетической информации к
специальным категориям персональных данных, возможно с установлением в
отношении них более жесткого режима. Нечто подобное сейчас реализовано в GDPR,
где генетические данные рассматриваются не в качестве разновидности
биометрических, а в качестве специальной ("чувствительной") категории
данных (ст. 9(1)).
--------------------------------
<1> См.: Законопроект
N 744029-7 "О внесении изменений в статью 11 Федерального закона "О
персональных данных" в части обработки биометрических персональных
данных". Принят в первом чтении 22 октября 2019 г. URL:
https://sozd.duma.gov.ru/bill/744029-7.
б) Информация должна иметь
определенное отношение к физическому лицу.
Такое отношение может иметь место в случаях, когда такая информация:
1) в силу своего
содержания касается определенного лица (например, результаты медицинских
анализов конкретного лица);
2) имеет своей целью
оценку деятельности некоего лица или может повлиять на восприятие такого лица,
в том числе посредством принятия каких-либо решений в отношении него (например,
сведения о посещенных лицом страницах в сети Интернет и (или) участии в
определенных группах в социальных сетях в тех случаях, когда они используются
для целей составления профайла пользователя для направления ему таргетированной
рекламы, принятия решения о его трудоустройстве или определения индивидуальной
цены товара (услуги));
3) имеет технический
характер (например, данные устройств, используемых физическим лицом) и
используется для технических целей, но может при желании оператора применяться
для целей, которые имеют влияние на права и обязанности индивида. Например,
геолокационные данные машин, входящих в таксопарк, могут использоваться
преимущественно для целей обеспечения бизнес-процессов таксопарка: сокращения
времени ожидания, оптимизации маршрутов, экономии бензина и пр. При этом
одновременно они могут использоваться для оценки качества труда таксистов. В
этой связи указанные данные также имеют отношение к физическому лицу <1>.
Однако документы, представляющие собой правовой анализ соответствия индивида
требованиям законодательства для целей получения им определенного статуса, по
мнению Суда ЕС, не являются персональными данными, представляя собой акт
правоприменения и толкования закона <2>.
--------------------------------
<1> См.:
Opinion 4/2007 on the concept of personal data. WP 136, 20 June 2007. Article
29 Data Protection Working Party. P. 11.
<2> См.:
YS v. Minister voor Immigratie, ECJ Joined Cases C-141/12 & C-372/12, 17
July 2014.
в) Информация относится к прямо или
косвенно определенному или определяемому лицу, то есть обладает определенным идентифицирующим потенциалом. Данный
элемент является самым сложным и запутанным для понимания и интерпретации. В
самом общем виде он предполагает, что на основании информации можно либо точно
идентифицировать лицо ("прямо определенное" лицо), либо имеется
возможность это сделать с привлечением иных данных ("косвенно
определяемое" лицо). Точная идентификация лица будет иметь место в случае
соотнесения соответствующей информации с фамилией, именем и отчеством (при
наличии) лица. Именно данные сведения являются основным идентификатором
гражданина в гражданском обороте, поскольку гражданин приобретает и
осуществляет права и обязанности под своим именем (п. 1 ст. 19 ГК РФ).
Косвенная идентификация предполагает возможность отнесения к персональным
данным информации, которая сама по себе хотя и не указывает однозначно на имя
конкретного лица, но содержит описание каких-либо его индивидуальных
характеристик, позволяющих отграничить его от других субъектов, выделить его из
круга лиц, к которому он принадлежит, или по крайней мере сузить такой круг лиц
<1>. Например, лицо может быть косвенно идентифицировано на основании
данных о трафике (метаданных), в частности, сведений об установленных
соединениях с указанием времени и продолжительности соединения, номеров или
IP-адреса устройств, участвующих в коммуникации <2>. Также лицо может
быть косвенно идентифицировано на основании данных его логина (никнейма),
используемых в различных интернет-сервисах; данных с камер видеонаблюдения,
реквизитов банковской карты, сведений о принадлежащей лицу собственности и пр.
Все это позволяет отнести указанные данные к категории персональных данных,
учитывая существующие формулировки их дефиниции. В качестве некоторого
консервативного и относительно безопасного ориентира для определения критерия
косвенной идентификации можно предложить следующий: если данные позволяют выделить некоего индивида из множества лиц и
использовать в отношении него особую модель взаимодействия, то такое лицо
является определяемым, а соответствующая информация - персональными данными.
Данный тест находит свое отражение в Пояснительном меморандуме к
Модернизированной Конвенции N 108, которую РФ подписала 10 октября 2018 г.
<3>.
--------------------------------
<1> В некоторых
странах, например в Финляндии и Норвегии, законодательство о персональных
данных допускает признание информации персональными данными, даже если она
относится не к конкретному индивиду, а к семье или домовладению. См.:
Bygrave A. Data Privacy Law: An International Perspective. P. 135.
<2> Так,
Стэнфордский университет опубликовал исследование, согласно которому метаданные
телефонных переговоров (номера телефонов абонентов, время и продолжительность
звонка либо время и количество символов sms-сообщений) позволяют без особых
проблем идентифицировать личность абонента, устанавливать его связи с другими
лицами, а также выводить "чувствительные" персональные данные:
политические, религиозные, сексуальные взгляды и предпочтения субъекта,
состояние его здоровья и ряд других. См.: Mayer J. et
al. Evaluating the Privacy Properties of Telephone Metadata. Stanford
University. 1 March 2016. URL: http://www.pnas.org/content/113/20/5536.
<3> См.:
Explanatory Report to the Additional Protocol to the Convention for the
Protection of Individuals with regard to Automatic Processing of Personal Data.
Strasbourg, 2018, § 17 -
18.
Ключевую роль в квалификации
информации, позволяющей косвенно определить физическое лицо, в качестве
персональных данных играет анализ средств, которые позволяют это сделать. К
сожалению, Закон о персональных данных не содержит никаких указаний на них, в
этой связи целесообразно обратиться к положениям европейского права. В п. 26
преамбулы GDPR указано, что "для определения того, является ли лицо
идентифицируемым, следует принимать в расчет все средства, в равной мере
могущие быть вероятно (likely) и разумно
(reasonably) использованными либо
оператором, либо любым иным лицом для идентификации указанного лица".
Исходя из анализа этого положения можно сделать два основных вывода:
1) в качестве
идентифицирующего лица может выступать любое лицо, а не только оператор, что
расширяет понятие "персональные данные", поскольку не требуется
концентрироваться исключительно на анализе возможностей отдельно взятого
оператора;
2) в качестве критериев,
которыми надо руководствоваться при анализе вероятности отнесения данных к
личности субъекта таким "любым лицом", фигурируют: (а) вероятность и
(б) разумность их использования.
Вероятность
использования должна оцениваться с учетом всех обстоятельств. К примеру, она
гораздо выше у компаний, использующих продвинутые технологии анализа данных в
своих бизнес-процессах (финансовые организации, организации связи, социальные
сети, крупные онлайн-магазины и т.п.), чем у небольших организаций, которые не
могут позволить себе использование таких технологий (риск-ориентированный
подход в действии). Разумность, по общему правилу, должна предполагать
возможность идентификации лица с привлечением правомерных средств, т.е.,
например, без взлома компьютерных систем или незаконного доступа к базам данных
третьих лиц, в том числе государственных органов <1>.
--------------------------------
<1> См.:
Bygrave A. Data Privacy Law: An International Perspective. P. 132.
Если у оператора данных есть два
набора данных, каждый из которых не позволяет определить лицо, но в
совокупности они создают такую возможность, то каждый из таких наборов данных
может быть квалифицирован как персональные данные, поскольку является
информацией, относящейся к косвенно определяемому лицу. Как отметил Европейский
суд справедливости, "использование слова "косвенно" в дефиниции
персональных данных означает, что для квалификации информации в качестве
персональных данных не обязательно, чтобы ее самой по себе было достаточно для
идентификации индивида" (Patrick Breyer v. Bundesrepublik Deutschland,
ECJ, Case C-582/14, 19 October 2016, § 41).
В этой связи возникает
вопрос: следует ли при решении вопроса о квалификации данных в качестве
персональных принимать во внимание массивы данных, находящиеся только во
владении у конкретного оператора, или же следует учитывать потенциальную
возможность совместного использования их с информацией, находящейся во владении
других операторов? Согласно позиции Суда ЕС данные о динамических IP-адресах,
собранные онлайн-сервисом, являются персональными данными при одновременном
выполнении следующих условий: а) они могут идентифицировать конкретного
субъекта в совокупности с данными, которые имеются у интернет-провайдера такого
субъекта, и б) у онлайн-сервиса есть потенциальный доступ к таким данным
интернет-провайдера. В данном случае Суд счел, что такой доступ у
онлайн-сервиса был, поскольку указанные сведения могли быть запрошены у
интернет-провайдера в случае расследований неправомерных действий третьих лиц в
отношении онлайн-сервиса, например DDoS-атак <1>. Учитывая, что благодаря
технологиям "больших данных" существует потенциальная возможность
сотрудничества в сфере совместной обработки массивов данных, которые могут
принадлежать различным операторам, данное решение выглядит вполне логичным.
Однако не менее очевидно, что оно чрезмерно расширяет понятие персональных
данных, увеличивая как издержки операторов, связанные с исполнением
законодательства о персональных данных, так и риски принятия ими неправильных
решений о статусе обрабатываемой информации.
--------------------------------
<1> См.:
Patrick Breyer v. Bundesrepublik Deutschland, ECJ, Case C-582/14, 19 October
2016. Следует отметить,
что ранее Европейский суд справедливости уже указывал, что IP-адрес относится к
персональным данным. См.: Scarlet Extended SA v. SABAM, ECJ, Case C
70/10, 24 November 2011.
г) Субъектами персональных данных
могут выступать только физические лица.
Контактные данные и реквизиты юридического лица, а также иные сведения, по
которым можно его определить, не подпадают под понятие персональных данных. Во
многом это связано с тем, что основной вид персональных данных юридического
лица - фирменное наименование обладает защитой в рамках специального правового
режима, а данные о представителях юридического лица - физических лицах
охватываются общим правовым режимом законодательства о персональных данных.
Кроме того, отнесение юридических лиц к числу субъектов персональных данных
могло бы повлечь негативные последствия для коммерческого оборота как
посредством создания дополнительных условий для недобросовестной конкуренции,
так и вследствие дополнительных ограничений на трансграничный обмен
информацией.
Персональными данными могут
признаваться сведения не только о живом, но и об умершем физическом лице.
Данный вывод следует из положений ст. 9 Закона о персональных данных, в которой
говорится, что "в случае смерти субъекта персональных данных согласие на
обработку его персональных данных дают наследники субъекта персональных данных,
если такое согласие не было дано субъектом персональных данных при его
жизни". Материалы судебной практики демонстрируют актуальность вопроса об
обеспечении надлежащей защиты персональных данных умерших лиц. В ряде случаев
организация на основании достигнутых с медицинскими учреждениями
договоренностей на безвозмездную перевозку тел умерших получает приоритетный доступ
к персональным данным умерших и их родственников, что дает ей возможность в
первоочередном порядке предлагать свои услуги родственникам умерших. И хотя
судами данная ситуация рассматривается преимущественно через призму
законодательства о защите конкуренции (см. Постановления Семнадцатого
арбитражного апелляционного суда от 28 августа 2014 г. по делу N А50-2319/2014,
Федерального арбитражного суда Уральского округа от 26 марта 2013 г. по делу N
А60-25035/2012; решения Арбитражного суда Республики Бурятия от 29 декабря 2014
г. по делу N А10-4767/2014, Арбитражного суда Свердловской области от 26
декабря 2013 г. по делу N А60-22167/2013), она неплохо иллюстрирует возможную
ценность персональных данных умерших лиц и возможное их использование для
вторжения в личную сферу родственников умершего и причинения им моральных
страданий.
В судебной практике
встречаются также случаи взыскания наследниками морального вреда за факт
незаконного размещения третьими лицами персональных данных умершего в
социальных сетях (Постановление Президиума Верховного суда Республики
Башкортостан от 8 августа 2018 г. по делу N 44Г-300/2018). При этом сам факт
получения таких данных из общедоступных источников, например с надгробий
захоронений на кладбище, не имеет значения (Решение Обнинского городского суда
Калужской области от 24 декабря 2020 г. по делу N 2-1238/20).
С учетом вышеизложенного
персональные данные можно разделить на три группы: 1) персональные данные, которые
предоставляются самим субъектом (например, размещаются им в социальной сети);
2) персональные данные, которые появляются в процессе использования субъектом
определенного сервиса (например, геолокационные данные или метаданные); 3)
персональные данные, которые являются результатом анализа данных первых двух
групп, в том числе посредством инструментов аналитики "больших
данных", и представляют собой оценку субъекта персональных данных
(например, его кредитный рейтинг) <1>.
--------------------------------
<1> См.:
Personal Data: The Emergence of a New Asset Class. World Economic Forum,
January 2011. URL:
https://www.weforum.org/reports/personal-data-emergence-new-asset-class;
Recommendation 1/2001 on Employee Evaluation Data. Article 29 Data Protection Working
Party. 22 March 2001.
3. Судебная практика по вопросам
квалификации персональных данных не отличается единообразием. Некоторые суды
исходят из основанного на устаревших нормативных актах узкого понимания понятия персональных данных как информации,
которая позволяет однозначно
идентифицировать лицо. В частности, они не признают персональными данными ИНН
(Апелляционное определение Санкт-Петербургского городского суда от 3 февраля
2015 г. по делу N 2-3097/2014), СНИЛС (Решение Белоглинского районного суда
Краснодарского края от 22 июня 2014 г. по делу N 2-300/2014), номер паспорта (Определение
Московского городского суда от 29 февраля 2012 г. N 33-6709; Постановление
Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу N
А56-4788/2010), поскольку, по их мнению, на основании такой информации нельзя
идентифицировать конкретное лицо. В качестве яркой иллюстрации данной логики
можно привести мотивировку одного из решений, в котором суд пришел к выводу об
отсутствии нарушений Закона о персональных данных, "поскольку
запрашиваемая сотрудниками банка информация в отношении В., высказывания
работников ответчиков не содержат персонифицированных и детализированных
данных, работниками ответчиков не назывались ни адрес места проживания лица, ни
год, месяц, дата и место рождения, семейное, социальное, имущественное
положение, образование, профессия, доходы, а также другая информация, по
которой возможно идентифицировать конкретное лицо" (Апелляционное определение
Московского городского суда от 28 января 2014 г. по делу N 33-5461). В другом
деле суд не признал персональными данными имя, отчество, название улицы и номер
дома, где проживает данное лицо, поскольку в совокупности они не позволяют
достоверно установить, о каком именно человеке идет речь на страницах форума, а
также поскольку "отсутствует указание на фамилию, что не позволяет
идентифицировать лицо, о котором идет речь" (Определение Приморского
краевого суда от 9 сентября 2013 г. по делу N 33-7063).
Напротив, информация,
включающая Ф.И.О. субъекта, обычно признается судами в качестве персональных данных,
например, информация о задолженности по коммунальным платежам, включающая в
себя Ф.И.О. лица, адрес проживания и размер задолженности по уплате
коммунальных платежей (Постановление Нижегородского областного суда от 12 мая
2015 г. по делу N 4а-288/2015; Кассационное определение Пермского краевого суда
от 1 августа 2011 г. по делу N 33-7668); данные в заявке на выдачу кредита, в
которой фигурировали Ф.И.О. лица, его паспортные данные, место жительства, дата
рождения и другие данные (Апелляционное определение Тульского областного суда
от 28 апреля 2015 г. по делу N 33-850); информация, содержащаяся в техническом
паспорте на дом, включающая Ф.И.О. лица, паспортные данные, документ о праве
собственности (Определение Приморского краевого суда от 28 апреля 2014 г. по
делу N 33-3718).
Примеры подобного узкого
подхода к понятию персональных данных в последние годы встречаются в судебной
практике уже крайне редко. В качестве примера можно привести следующую
достаточно противоречивую позицию суда: "Фамилия и инициалы гражданина
относятся к персональным данным субъекта. Однако без использования
дополнительной информации определить принадлежность персональных данных
конкретному субъекту персональных данных невозможно. Фамилия, имя, отчество
наряду с другими способами используются для идентификации отдельного гражданина
среди других. По своей природе это составной ключ, идентификатор, основанный на
комбинациях трех параметров фамилии, имени и отчества, на самом деле не
идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех,
кому они могут принадлежать. Таким образом, указание фамилии человека с
инициалами не является нарушением Закона "О персональных данных"
(Апелляционное определение Верховного суда Республики Татарстан от 24 октября
2019 г. по делу N 2-5801/2019, 33-18168/2019). Фиксация в автоматизированной
системе времени прохода сотрудника через пропускную систему на территорию
организации также не признается некоторыми судами в качестве персональных данных
(Апелляционное определение Московского городского суда от 28 марта 2018 г. по
делу N 33-8775/2018; Апелляционное определение Верховного Суда Республики Саха
(Якутия) от 15 ноября 2017 г. по делу N 33-4401/2017).
На смену узкому подходу
начиная с 2016 г. в судебной практике вслед за изменением подхода Роскомнадзора
стал доминировать широкий подход к толкованию
понятия персональных данных, исходя из которого под персональными данными
понимаются сведения, хотя и не позволяющие однозначно определить конкретное
лицо, но позволяющие сделать это косвенным образом. Как отметил один суд,
персональными данными являются сведения, направленные "на идентификацию
личности в широком смысле данного понятия", данные "не только об
идентификационных характеристиках личности как физического лица, т.е. фамилии,
имени, отчестве, дате рождения и т.п., но и о ее биографии, навыках,
профессиональных характеристиках" (Определение Восьмого кассационного суда
общей юрисдикции от 25 февраля 2020 г. N 88-4063/2020).
Согласно такому широкому
подходу к персональным данным судами были отнесены следующие сведения:
- информация о
соединениях и трафике абонента при отсутствии имени конкретного абонента
(Решение Арбитражного суда г. Москвы от 25 мая 2016 г. по делу N
А40-51869/2016-145-449);
- статистическая информация,
необходимая для последующего предоставления адресной рекламы физическому лицу,
состоящая из сведений о его поисковых запросах и просмотренных страницах. При
этом данных Ф.И.О. конкретного абонента также не фигурировало, а использовался
хеш-ID пользователя, что, по мнению судов, относилось к косвенно определяемому
лицу (Постановление Тринадцатого апелляционного арбитражного суда от 1 июля
2016 г. по делу N А56-6698/2016; решения Арбитражного суда г. Москвы от 11
марта 2016 г. по делу N А40-14902/2016-84-126 и от 29 марта 2016 г. по делу N
А40-14900/2016-94-126);
- изображение гражданина
при отсутствии иных сведений о нем (Постановление Президиума Верховного Суда
Республики Башкортостан от 8 августа 2018 г. по делу N 44Г-300/2018);
- данные, собираемые
сервисами "Яндекс.Метрика" <1> и "Google Аналитика"
(Решение Таганского районного суда г. Москвы от 19 декабря 2018 г. N
02-4261/2018);
- номер мобильного
телефона (Кассационное определение Восьмого кассационного суда общей юрисдикции
от 27 февраля 2020 г. N 88А-4529/2020; Апелляционное определение Новосибирского
областного суда от 17 июля 2018 г. по делу N 33-6650/2018; Апелляционное определение
Алтайского краевого суда от 29 сентября 2015 г. по делу N 33-9241/2015; Решение
Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу N
12-973-2019). Хотя иногда можно встретить единичные решения, в которых номер
мобильного телефона не признавался судом персональными данными (Апелляционное определение
Московского городского суда от 24 июля 2017 г. по делу N 33-28957/2017).
--------------------------------
<1> Данный подход
является логичным, если учитывать, что к такой информации относится не только
статистика посещения интернет-сайта, но и анализ пользовательского поведения.
Например, в составе сервиса "Яндекс.Метрика" используется такой
компонент, как вебвизор, который записывает действия посетителей сайта и
позволяет просматривать их в режиме "живого видео". Воспользовавшись
плеером, можно увидеть точное повторение всех действий посетителя на сайте, как
если бы вы смотрели в его монитор: движения мыши, клики, прокрутка страницы,
нажатия на клавиши и заполнение форм, выделение и копирование текста. URL:
https://metrika.yandex.ru/promo/webvisor/.
Таким образом, выводы отдельных
специалистов о том, что отечественная судебная практика исходит из
консервативной позиции при определении объема понятия "персональные
данные" <1>, более не являются актуальными.
--------------------------------
<1> См.: Наумов
В.Б., Архипов В.В. Понятие персональных данных: интерпретация в условиях
развития информационно-телекоммуникационных технологий // Российский
юридический журнал. 2016. N 2. См. также: Буркова А.Ю. Определение понятия
"персональные данные" // Право и экономика. 2015. N 4.
4. В отечественной доктрине
высказываются различные мнения относительно содержания понятия "персональные
данные". Ряд специалистов высказываются в пользу узкого толкования данного
термина, относя к нему лишь информацию, которая позволяет однозначно
идентифицировать лицо. Помимо ссылок на некоторые устаревшие или отмененные
нормы в качестве аргумента приводится сформулированное Конституционным Судом РФ
требование правовой определенности нормы, предполагающее точность, ясность и
недвусмысленность правовых норм, без чего не может быть обеспечено
единообразное понимание и применение таких норм, а значит, и равенство всех
перед законом <1>. Кроме того, предпринимаются попытки увязать понятие
персональных данных с целями законодательства о персональных данных, указанными
в ст. 2: если обработка соответствующих данных не может привести к нарушению
права на неприкосновенность частной жизни (а это актуально для обезличенных
данных или данных, которые не позволяют однозначно определить индивида), то нет
оснований квалифицировать такую информацию как персональные данные с
распространением на нее соответствующего правового режима <2>.
--------------------------------
<1> См., например:
Постановление Конституционного Суда РФ от 8 апреля 2014 г. N 10-П. Данный
аргумент упоминается в комментарии представителей Роскомнадзора к Закону о
персональных данных при изложении результатов работы Рабочей группы
Консультативного совета при Роскомнадзоре "по определению матрицы
персональных данных". См.: Федеральный закон "О персональных
данных": научно-практический комментарий / под ред. А.А. Приезжевой. С.
15.
<2> См.: Наумов
В.Б., Архипов В.В. Понятие персональных данных: интерпретация в условиях
развития информационно-телекоммуникационных технологий.
Приведенные аргументы представляют
интерес, но в целом убедительными их назвать проблематично. Сложно оправдать
намеренное игнорирование отдельных элементов данной в законе правовой дефиниции
стремлением к обеспечению правовой определенности нормы. Как можно оправдать
узкий подход к определению объема понятия персональных данных как информации,
позволяющей однозначно идентифицировать лицо, в условиях, когда дефиниция прямо
указывает на возможность отнесения к персональным данным информации,
относящейся к косвенно определяемому лицу? Здесь уместно привести толкование
Суда ЕС по данному поводу, согласно которому использование слова
"косвенно" в дефиниции персональных данных означает, что "для
квалификации информации в качестве персональных данных не обязательно, чтобы ее
самой по себе было достаточно для идентификации индивида" (Patrick Breyer
v. Bundesrepublik Deutschland, ECJ, Case C-582/14, 19 October 2016, § 41). Что
же касается аргумента о взаимосвязи понятия персональных данных с целями
законодательства о персональных данных, то он также не представляется
убедительным, поскольку, во-первых, как было продемонстрировано в комментарии к
ст. 2, исключительно защитой неприкосновенности частной жизни, личной и
семейной тайны цели законодательства о персональных данных не исчерпываются, а
во-вторых, непонятно, почему только понятие персональных данных должно
увязываться с целями данного законодательства, ведь, следуя логике сторонников
вышеуказанной позиции, надо все дефиниции и положения Закона о персональных данных
соотносить с целями, указанными в ст. 2, тем самым сводя его юридическое
содержание к политико-правовым соображениям.
Также сложно согласиться
с тем, что при использовании широкого подхода к дефиниции персональных данных
практически любая информация приобретет статус персональных данных. Абстрактная
информация, статистическая информация, исключительно техническая информация
(если только она не связана с устройствами, принадлежащими конкретным
физическим лицам), как правило, не будет подпадать под понятие персональных
данных. В качестве иллюстрации можно привести дело, где суд вполне обоснованно
не признал персональными данными информацию о количестве зарегистрированных
жителей в почтовых адресах в цифровом значении, поскольку это не
"конкретная информация, прямо или косвенно относящаяся к какому-либо
конкретному лицу" (Апелляционное
определение Московского областного суда от 12 октября 2016 г. по делу N
33а-25712/2016). В другом деле информация о количестве потребленной
электроэнергии не была признана персональными данными (Определение Приморского
краевого суда от 13 января 2014 г. по делу N 33-180, 33-11070). Трек-номер
(идентификатор) почтового отправления, по которому можно отследить его статус в
информационных системах Почты России, также не был квалифицирован судом в
качестве персональных данных (Апелляционное определение Московского городского
суда от 10 августа 2020 г. по делу N 33-19434/2020).
5. Согласно ряду
разъяснений представителей Роскомнадзора, содержащихся в публично доступных
источниках, к персональным данным можно отнести следующие сведения:
- файлы cookie (Семинар Роскомнадзора, 28 января 2020 г. <1>);
- адрес электронной
почты гражданина (Семинар Роскомнадзора,
26 ноября 2020 г. <2>);
- история заказов
гражданина даже при отсутствии его Ф.И.О., поскольку такие данные могут
являться основой для профайлинга (Семинар
Роскомнадзора, 26 ноября 2020 г.);
- данные
пользовательской аналитики, например, собираемые посредством сервисов
Яндекс.Метрика, Google Аналитика (Семинар
Роскомнадзора, 21 января 2020 г. <3>);
- все государственные
идентификаторы физического лица (ИНН, СНИЛС, паспортные данные) (Семинар Роскомнадзора, 21 января 2020 г.);
- сведения о зарплате (Письмо
Роскомнадзора от 7 февраля 2014 г. N 08КМ-3681 "О передаче работодателем
третьим лицам сведений о заработной плате работников");
- Ф.И.О. гражданина (Письмо
Роскомнадзора от 20 января 2017 г. N 08АП-6054 "О результатах рассмотрения
обращения Казначейства России").
--------------------------------
<1>
https://project-si.ru/ru/pd/2021/?utm_source=rkn
<2>
https://project-si.ru/ru/pd2/2020/
<3>
https://project-si.ru/ru/pd/2020/
При этом Роскомнадзор не относит к
персональным данным:
- регистрационный номер
автотранспортного средства (Семинар
Роскомнадзора, 21 января 2020 г.);
- MAC-адрес устройства.
Но когда MAC-адрес дополняется сведениями, например, о геолокации или cookie, то в совокупности эта информация
является персональными данными (Семинар Роскомнадзора, 26 ноября 2020 г.);
- абонентский номер
мобильного телефона (Семинары
Роскомнадзора, 21 января 2020 г. и 26 ноября 2020 г., разъяснения отдельных
территориальных органов РКН <1>).
--------------------------------
<1> См.: Обращения
в сфере персональных данных. URL:
https://15.rkn.gov.ru/p8880/p15987/.
Следует отметить особую спорность
позиции, согласно которой номер мобильного телефона сам по себе не относится к
персональным данным. Во-первых, она вступает в противоречие с разъяснениями
Минцифры России, в которых указано, что такой номер, если он принадлежит
физическому лицу, а не юридическому, является персональными данными, как,
впрочем, и адрес электронной почты физического лица (письмо Минкомсвязи России
от 7 июля 2017 г. N П11-15054-ОГ "О разъяснении норм федерального
законодательства"). Судебная практика, как было продемонстрировано выше,
также признает номер мобильного телефона персональными данными. Во-вторых,
достаточно странно выглядит позиция, при которой один из основных идентификаторов
лица в онлайн-пространстве, к которому привязана авторизация в зонах публичного
Wi-Fi, мессенджерах и который может
являться одним из ключевых инструментов для дифференциации пользователей и их
профайлинга, не признается персональными данными, в то время как более
абстрактные данные вроде пользовательской аналитики "Яндекс.Метрика"
и "Google Аналитика", напротив, признаются персональными данными.
6. Принимая во внимание
многообразие отношений, связанных с обработкой персональных данных, а также их
высокую динамику, характеризующуюся появлением новых субъектов и технологий
обработки персональных данных, невозможно дать исчерпывающий перечень данных,
которые могут признаваться персональными. В силу самого существа данной
категории она предполагает контекстный и индивидуальный подходы. Как
справедливо отмечается в литературе, "понимание бесперспективности
законодательно установленного "перечневого" подхода к определению
понятия "персональные данные", взаимосвязи и взаимодополняемости
разных данных, относящихся к частной жизни и участию индивида в социальной
жизни... обусловило преимущественное развитие международного и национальных
законодательств в направлении обобщающего института персональных данных"
<1>. В этой связи вряд ли имеют перспективу попытки разработки неких
обобщающих таблиц или "матриц" персональных данных, которые бы четко
отвечали на вопрос, является ли тот или иной набор данных персональным или нет.
--------------------------------
<1> Бачило И.Л. и
др. Персональные данные в структуре информационных ресурсов. Основы правового
регулирования. Минск, 2006. С. 19.
7. Квалификация информации,
позволяющей косвенно определить физическое лицо, в качестве персональных данных
дает возможность решить вопрос о так называемых пользовательских данных,
которые обрабатываются посредством инструментов аналитики "больших
данных". Если абстрагироваться от не соответствующего легальной дефиниции
и европейской практике узкого подхода к толкованию понятия "персональные
данные", то такие пользовательские данные подпадают под режим персональных
данных и создания какого-либо специального правового механизма sui generis для их регулирования не
требуется. Если определенные данные по результатам обработки представляют собой
персональные данные, то исходя из существующей дефиниции данного явления
исходные данные также относятся к персональным.
Это не означает, однако,
необходимости разработки специальных норм в отношении обработки тех массивов
данных, на основе которых могут быть созданы персональные данные. В этой связи
целесообразно упомянуть высказанное в литературе замечание о проблеме возможной
коллизии прав субъектов персональных данных и прав интернет-компаний на большой
объем данных как базу данных, которая может получить отдельную правовую защиту
<1>. Признавая наличие данной проблемы, хотелось бы отметить, что
подобного рода коллизии различных правовых режимов информации ограниченного
доступа существуют и сейчас (например, режимов коммерческой тайны и
персональных данных; банковской тайны и персональных данных и т.п., см.
подробнее комментарий к ст. 7 Закона), тем самым проблематика "больших
данных" не добавляет здесь ничего нового. Однако создание в отношении них
особого правового режима, отличного от режима персональных данных, лишь усилит
данную проблему, поскольку к обозначенным коллизиям правовых режимов добавится
еще один правовой слой и коллизионный вопрос обострится в еще большей степени.
Поэтому представляется, что без выявленной реальной правоприменительной
практикой неэффективности и неадекватности применения к "большим
данным", содержащим пользовательские данные, общего правового режима
"персональных данных" с определенными специальными нормами, которые
вполне допустимы, разрабатывать с нуля специальный правовой режим в отношении
них крайне нежелательно. Помимо дополнительных издержек для операторов это
будет чревато стагнацией развития данных технологий и их
"офшоризацией", то есть выведением соответствующих операций в более
благоприятные с регуляторной точки зрения юрисдикции.
--------------------------------
<1> См.: Архипов
В.В. Интернет-право: учебник и практикум для бакалавриата и магистратуры. М.,
2016. С. 120 - 121.
8. Информация, которая относится к нескольким прямо или косвенно
определенным или определяемым физическим
лицам (например, фотография с изображением нескольких лиц на ней или
электронное письмо, в котором есть данные отправителя и получателя), является
персональными данными в отношении каждого из таких субъектов. Каждое из таких
лиц обладает в отношении такой информации всей полнотой прав, предоставляемых Законом
о персональных данных их субъекту. К сожалению, Закон не содержит каких-либо
положений на случай возможных коллизий между волеизъявлениями отдельных
субъектов в отношении совместных персональных данных. Представляется, что в тех
случаях, когда один из субъектов настаивает на прекращении обработки таких
данных, а другой субъект, напротив, выражает волю на дальнейшую обработку,
приоритет, по общему правилу, должен отдаваться требованию первого субъекта.
Это следует из основной цели Закона - защиты неприкосновенности частной жизни,
личной и семейной тайны, а также отсутствия специальных положений в Законе,
допускающих обработку персональных данных при отсутствии согласия одного из
таких субъектов, и общей парадигмы закона, исходящей из принципа
"запрещено все, что прямо не разрешено". При этом немаловажен и тот
факт, что интересы второго субъекта все же могут быть реализованы после
удаления из спорной информации сведений, касающихся первого лица, в то время
как интересы первого субъекта будут нарушены бесповоротно в случае, если
приоритет будет отдан именно волеизъявлению субъекта, который настаивает на
продолжении их обработки.
При этом не следует
путать решение указанного вопроса с точки зрения законодательства о
персональных данных с регулированием, установленным в ст. 152.1 ГК РФ. В
последнем случае, по общему правилу, если изображенные на коллективном
фотоснимке граждане очевидно выразили свое согласие на фотосъемку и при этом не
запретили обнародование и использование фотоснимка, то один из этих граждан
вправе обнародовать и использовать такое изображение без получения
дополнительного согласия на это от иных изображенных на фотоснимке лиц, за
исключением случаев, если такое изображение содержит информацию о частной жизни
указанных лиц (п. 45 Постановления Пленума ВС РФ от 23 июня 2015 г. N 25
"О применении судами некоторых положений раздела I части первой
Гражданского кодекса Российской Федерации").
Персональные данные, разрешенные
субъектом персональных данных для распространения.
1. Данное понятие было
введено Федеральным законом от 30 декабря 2020 г. N 519-ФЗ "О внесении
изменений в Федеральный закон "О персональных данных" <1>,
который вступил в силу (за исключением отдельных положений) с 1 марта 2021 г.
По своей сути данное понятие является опорной конструкцией для нового правового
режима обработки персональных данных, которые сделал общедоступными сам субъект
персональных данных. Указанный правовой режим содержится в ст. 10.1 Закона (см.
комментарий к ней) и заменяет собой ранее существовавшие положения п. 10 ч. 1
ст. 6 и п. 2 ч. 2 ст. 10 Закона о персональных данных, которые допускали
возможность дальнейшей обработки данных, сделанных самим субъектом или иным
лицом по его просьбе общедоступными, без получения его согласия.
Соответственно, в качестве персональных данных, разрешенных субъектом
персональных данных для распространения, могут выступать как обычные
персональные данные, основания для обработки которых установлены в ст. 6 Закона
о персональных данных, так и специальные категории таких данных, основания для
обработки которых установлены в ст. 10 данного Закона. Биометрические данные в
силу специфики цели их использования (идентификация субъекта) и повышенных
рисков их незаконной обработки, обусловленной неизменностью таких данных, не
должны, по общему правилу, подпадать под специальный правовой режим
персональных данных, разрешенных субъектом персональных данных для
распространения. Об этом свидетельствует и тот факт, что применимые к
биометрическим данным основания для обработки, указанные в ч. 2 ст. 11 Закона о
персональных данных, являются крайне узкими и никогда не включали в себя
возможность их обработки вследствие их общедоступного характера.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
2. Рассматриваемая дефиниция позволяет
выделить три сущностных признака таких персональных данных: 1) доступ к таким
данным получает неопределенный ("неограниченный") круг лиц; 2) в
основе обработки таких данных как первоначальным оператором, который делает их
общедоступными, так и последующими операторами лежит согласие субъекта, данное
по специальной форме; 3) согласие субъекта дается на такую разновидность
обработки, как распространение.
Первый признак позволяет
отграничить сферу применения специального правового режима от ситуаций, когда
персональные данные размещаются во внутренних системах организации
("интранет") или закрытых частях интернет-ресурса, к которым имеют
доступ только сотрудники организации и иные определенные ею лица, например
дистрибьюторы или иные бизнес-партнеры организации. При этом следует отметить
неточность формулировки дефиниции, которая указывает на предоставление доступа "неограниченному" кругу лиц,
параллельно упоминая при этом о распространении, определяемом далее в ст. 3
Закона о персональных данных как "действия, направленные на раскрытие
персональных данных неопределенному
кругу лиц". По всей видимости, данные отличия можно объяснить спешкой
применения Закона. Если бы под "неограниченным" кругом лиц понималось
что-то иное, чем "неопределенность" такого круга лиц, то об этом на
фоне существования специальной дефиниции должно было бы быть сказано особо.
При этом наличие на
интернет-сайте регистрации, которую может пройти любой желающий, не должно, по общему правилу, влиять на
применимость правового режима, предусмотренного для персональных данных,
разрешенных субъектом для распространения, поскольку подобная регистрация, по
сути, не делает такой ресурс ограниченным для доступа третьих лиц. Такая
регистрация преследует в основном цель формализации отношений с пользователями
посредством принятия ими условий пользовательского соглашения посредством
проставления галочки, а также расширение пользовательской базы. Информационные
ресурсы, которые обладают реальным ограниченным доступом, всегда предполагают
необходимость наличия определенного статуса у пользователя, который недоступен
любому желающему (работник организации, уполномоченный дистрибьютор, лицо,
оплатившее подписку на сервис, и пр.).
Следует отметить
указание Роскомнадзора в публичном семинаре 28 января 2021 г. на то, что если у
оператора есть возможность разумно определить или ограничить круг лиц, имеющих
доступ к персональным данным, то такая обработка не будет считаться распространением,
что открывает возможность для использования в этих целях предварительной
регистрации на сайте. Данный подход Роскомнадзора является более либеральным,
чем предложенный выше. Однако необходимо отметить следующее. Во-первых, он
носит предварительный характер и не протестирован пока в ходе реальной
контрольно-надзорной деятельности. Во-вторых, он сохраняет за собой высокую
степень дискреции Роскомнадзора вследствие использования слова
"разумно". В-третьих, выведение персональных данных, разрешенных для последующего
распространения, из-под действия таких интернет-ресурсов с "упрощенной
регистрацией" означало бы возможность легко обойти требования нового
регулирования посредством повсеместного введения такой регистрации
интернет-ресурсами, что вряд ли отвечает требованиям телеологического
толкования Закона. В этой связи логично ожидать избирательное правоприменение
Роскомнадзора в этой части, особенно на первых этапах применения положений ст.
10.1 Закона о персональных данных.
Второй признак является
ключевым и определяющим всю суть правового режима таких данных - главным
основанием для их обработки является согласие субъекта, требования к которому
утверждаются Роскомнадзором. Как указал Роскомнадзор, такое согласие не может
быть интегрировано в договор, включая пользовательское соглашение посетителя
интернет-ресурса (Семинар от 28 января
2021 г. <1>). В определенной степени данная логика вытекает из
требования об отдельном оформлении такого согласия от всех других согласий
субъекта на обработку его данных (ч. 1 ст. 10.1 Закона о персональных данных),
которое при расширительном толковании может рассматриваться как требование об
обособленном характере согласия субъекта на распространение его данных.
--------------------------------
<1>
https://project-si.ru/ru/pd/2021/?utm_source=rkn
Распространение персональных данных
при отсутствии специального согласия субъекта допустимо только в случаях,
специально предусмотренных в ст. 10.1 Закона о персональных данных, а именно в
целях выполнения возложенных законодательством Российской Федерации на
федеральные органы исполнительной власти, органы исполнительной власти
субъектов Российской Федерации, органы местного самоуправления функций, полномочий
и обязанностей (ч. 15 ст. 10.1 Закона о персональных данных). Основания для
обработки персональных данных без согласия субъекта, предусмотренные в ст. 6 и 10
Закона, в данном случае неприменимы, за исключением случаев, указанных в ч. 2
ст. 10.1 Закона о персональных данных, см. комментарий к ней. В пользу данного
вывода говорит не только конструкция ст. 10.1 Закона о персональных данных, но
и Пояснительная записка к Федеральному закону N 519-ФЗ, в которой прямо
говорится об исключительном характере согласия как основания для обработки
рассматриваемого вида данных <1>. К сожалению, единственное исключение из
применения правил ст. 10.1 Закона о персональных данных не учитывает множества
ситуаций, когда законодательство предусматривает обязанность лиц, не обладающих
статусом государственного или муниципального органа власти, размещать
персональные данные в общем доступе. Например, согласно п. 7 ч. 1 ст. 79
Федерального закона от 21 ноября 2011 г. N 323-ФЗ "Об охране здоровья
граждан в Российской Федерации" <2> медицинские организации обязаны
размещать в сети Интернет сведения о медицинских работниках медицинских
организаций, об уровне их образования и об их квалификации. Как медицинской
организации, выступающей в качестве оператора, можно выполнить данное
требование в случаях, когда ее работник не дает соответствующего согласия, -
вопрос, который будет подробно рассмотрен в рамках комментария к ст. 10.1
Закона о персональных данных.
--------------------------------
<1>
https://sozd.duma.gov.ru/bill/1057337-7
<2> См.: СПС
"КонсультантПлюс".
Третий признак характеризует тот
способ обработки данных, на который дается соответствующее согласие, - их
распространение, то есть их раскрытие неопределенному кругу лиц. При этом
формально Закон не ограничивает распространение персональных данных
исключительно сетью Интернет, хотя, судя по пояснительной записке к
Федеральному закону N 519-ФЗ, именно такого типа отношения и будут в основном
подпадать под действие рассматриваемых специальных положений.
Некоторые специалисты,
отмечая, что распространение является всего лишь одним из 18 способов
обработки, указанных в п. 3 ст. 3 Закона о персональных данных, указывают, что
из положений ч. 2 ст. 10.1 Закона о персональных данных следует, что
ограничения внезапно начинают распространяться на любую обработку персональных
данных, раскрытых неопределенному кругу лиц самим субъектом: "обязанность
предоставить доказательства законности последующего распространения или иной
обработки таких персональных данных лежит на каждом лице, осуществившем их
распространение или иную обработку" <1>. Такой вариант толкования не
исключен, однако он не является единственно возможным. Возлагаемую на
последующего оператора обязанность представить доказательства законности
последующего распространения или иной обработки можно толковать системно, во
взаимосвязи рассматриваемой нормы с иными положениями Закона о персональных
данных. В отношении законности последующего
распространения такой оператор доказывает законность ссылками на соблюдение
специальных положений, применимых к распространению данного вида персональных
данных, а в отношении законности осуществления иных видов обработки данная норма, по сути, детализирует общий
принцип законности обработки (ч. 1 ст. 5 Закона): оператор должен
продемонстрировать наличие какого-либо из оснований, указанных в ст. 6 или 10
Закона для таких "иных видов обработки".
--------------------------------
<1> Емельянников
М.Ю. Являются ли персональные данные, опубликованные субъектом для
неограниченного доступа, общедоступными? 18 января 2021 г. URL:
https://emeliyannikov.blogspot.com/2021/01/blog-post.html.
Какой из предложенных видов толкования
окажется в итоге верным, сможет ответить только правоприменительная практика
Роскомнадзора.
Понятие оператора персональных данных.
1. Понятие оператора
персональных данных является одним из краеугольных камней всего правового
режима законодательства о персональных данных, поскольку оно определяет круг
лиц, ответственных за соблюдение предусмотренных в нем обязанностей, в том
числе по реализации прав субъектов персональных данных. Дефиниция оператора
персональных данных состоит из трех основных частей:
1) конкретизации статуса
лица, которое может выступать в качестве оператора ("государственный
орган, муниципальный орган, юридическое или физическое лицо"). Фактически
это любое лицо, обладающее правосубъектностью, независимо от его национальной
принадлежности;
2) указания на
возможность выступления множественности лиц на стороне оператора
("самостоятельно или совместно с
другими лицами организующие и (или) осуществляющие обработку");
3) указания на основной
критерий, отграничивающий оператора от иных участников отношений, связанных с
персональными данными ("определяющие цели обработки персональных данных,
состав персональных данных, подлежащих обработке, действия (операции),
совершаемые с персональными данными").
Данная дефиниция
фактически является заимствованием положений действовавшей на тот момент Директивы
1995 г. В настоящее время схожая дефиниция содержится в ст. 4(7) GDPR. При этом
она отличается от дефиниции, содержащейся в Конвенции 1981 г., которая оперирует
понятием "контроллер файла" (controller
of the file), определяемым как "физическое или юридическое лицо, орган
государственной власти, учреждение или любой другой орган, компетентный в
соответствии с внутренним законодательством решать, какова должна быть цель
автоматизированного файла данных, какие категории персональных данных подлежат
хранению или какие операции должны производиться с ними". Это связано с
тем, что дефиниция Конвенции 1981 г. является устаревшей, поскольку, оперируя
понятием "файл", слишком сужала круг возможных способов обработки
персональных данных. Кроме того, дефиниция Конвенции не предусматривала
возможность нескольких лиц одновременно выступать оператором <1>.
--------------------------------
<1> См.:
Guidelines 07/2020 on the concepts of controller and processor in the GDPR. Version 1.0. Adopted on 2 September
2020, § 38.
Ключевым отличием дефиниции,
содержащейся в Законе о персональных данных, от той, которая содержится в GDPR,
является использование в Законе о персональных данных фразы "состав
персональных данных, подлежащих обработке, действия (операции), совершаемые с
персональными данными" вместо обобщенного понятия "средства обработки"
(means of the processing of personal
data). Однако это не меняет существа используемого критерия, поскольку
понятие "средства обработки" в европейском праве охватывает и состав
обрабатываемых данных, и действия, которые осуществляются с ними <1>. В этой
связи можно говорить о том, что понятие "оператор персональных
данных" в российском праве и это понятие в европейском праве являются по
существу идентичными. В этой связи, если лицо будет признаваться оператором по
российскому законодательству, оно будет признаваться таковым и по GDPR и
наоборот.
--------------------------------
<1> Ibid. P. 14.
2. Для решения вопроса о том, является
ли конкретное лицо оператором персональных данных, необходимо принимать во
внимание все обстоятельства, поскольку данный вопрос является вопросом факта.
Простого указания в тексте договора на то, что определенная сторона выступает в
качестве оператора персональных данных, недостаточно. Как правило, в качестве
оператора будет выступать любое лицо, которое решило осуществлять обработку
персональных данных в своих интересах и имеет правовую и (или) фактическую
возможность определять существенные условия ее обработки. При этом осуществлять
непосредственные действия такому лицу для признания его оператором не
требуется, на что указывает использование предлогов "и (или)" в
выражении "организующие и (или) осуществляющие обработку персональных
данных".
Представляется, что
именно определение цели обработки является основным квалифицирующим признаком
оператора персональных данных. Определение состава персональных данных и
конкретных способов их обработки, включая используемые программно-аппаратные
средства, нередко требует наличия специальной квалификации, в связи с чем
данные элементы могут по факту определяться привлеченными оператором лицами.
Однако предоставление оператору информации о них, а также его последующее
продолжение взаимоотношений с такими привлеченными лицами могут рассматриваться
как согласие с ними и тем самым проявление контроля в отношении таких действий.
Таким образом, в указанных случаях лицо будет признаваться оператором, даже
несмотря на то, что отдельные аспекты обработки данных были определены иным
лицом.
3. Типичными примерами
операторов персональных данных являются организации, которые осуществляют
обработку данных своих работников и (или) клиентов - физических лиц; лица,
которые осуществляют сбор и анализ персональных данных, сделанных субъектом
персональных данных доступными для распространения в сети Интернет;
государственные органы и учреждения, которые обрабатывают персональные данные
граждан в процессе предоставления государственных услуг; онлайн-сервисы,
которые предусматривают регистрацию пользователей и (или) собирают данные о них
в процессе использования такого сервиса.
4. В случае если цели
обработки, состав персональных данных и способы обработки определяются
работником организации, например лицом, специально назначенным в качестве
ответственного за обработку данных, оператором будет признаваться сама
организация, а не такое физическое лицо. При этом, если такое физическое лицо
будет использовать персональные данные в своих целях без ведома организации, то
его можно будет признать оператором с возложением всех соответствующих обязанностей
и ответственности, однако сама организация также будет нести ответственность за
действия такого работника на основании п. 1 ст. 1068 ГК РФ. В данном случае
можно говорить о вине организации, выразившейся в том, что она не смогла
предпринять необходимых мер безопасности, направленных на предотвращение
несанкционированного доступа и обработки персональных данных своими
работниками.
5. На стороне оператора
персональных данных может выступать множественность лиц, на что указывает
формулировка о возможности организации и (или) осуществления обработки
персональных данных, а также определения ее целей и иных существенных аспектов
обработки "самостоятельно или с другими лицами". Такая
множественность может иметь место, к примеру, при совместной обработке в общих
целях персональных данных клиентов или работников несколькими операторами,
существующими в рамках одной группы компаний.
Кроме того,
множественность лиц на стороне оператора может иметь место при создании
несколькими лицами (к примеру, туристическим агентством, сетью отелей и
авиакомпанией) единого интернет-портала, где клиент может централизованно
заказать услуги каждого из указанных лиц. При этом указанные лица определяют
объем собираемых данных, порядок размещения заказа, кто из них и в каком объеме
может иметь доступ к собранным персональным данным. В таком случае все
указанные лица будут совместно выступать в качестве оператора
("сооператоры") по отношению к таким персональным данным, что не
исключает квалификации каждого из них в качестве самостоятельного оператора по
отношению к иным обрабатываемым персональным данным (например, своих
работников). Однако если совместного определения целей или иных элементов
обработки персональных данных нет, например в случае, когда туристическое
агентство само отправляет персональные данные своих клиентов в отель для
подтверждения брони, то нет и множественности лиц на стороне оператора. Каждое
из указанных лиц является самостоятельным оператором, обрабатывающим
персональные данные для собственных нужд.
Проводимые несколькими
организациями совместные кобрендинговые маркетинговые кампании, предполагающие
объединение баз данных клиентов - физических лиц, а также совместную обработку
их обратной связи на соответствующие мероприятия, могут также являться удачным
примером возникновения отношений совместного операторства применительно к таким
персональным данным, поскольку данные организации, выступая формально
самостоятельными юридическими лицами, совместно определяют и цели обработки, и
ее ключевые параметры.
Другим примером
множественности лиц на стороне оператора являются случаи размещения
пользователями персональных данных в социальной сети: поскольку социальная сеть
устанавливает общие цели обработки данных, состав персональных данных и способы
обработки, а пользователь - конкретный состав размещаемых персональных данных,
а также может выбирать способы обработки из состава сделанных доступными
провайдером сервиса социальной сети, оба указанных лица могут признаваться
оператором в отношении обрабатываемых персональных данных третьих лиц. Конечно,
при условии, что в данном случае в отношении пользователя не будет действовать
изъятие об обработке персональных данных исключительно для личных и семейных
нужд (п. 1 ч. 2 ст. 1 Закона о персональных данных, см. комментарий к ней).
Данный вывод в определенной степени подтверждается судебной практикой
Европейского суда справедливости, где администратор группы в социальной сети Facebook был признан вместе с данной
социальной сетью совместными операторами в отношении тех данных, которые они
собирают от пользователей, посещающих данную группу. Администратор группы в
социальной сети Facebook подпадает
под понятие оператора, поскольку определяет ряд параметров обработки, в
частности целевую аудиторию посетителей и участников такой группы и цели сбора
данных (продвижение товаров, услуг или своей деятельности в общем). Это, в свою
очередь, открывает ему доступ к получению статистических данных о посетителях и
участниках такой группы на основе настроек фильтров, предусмотренных Facebook (возраст, пол, род занятий и
интересов, образование, местонахождение и пр.), и в этой части позволяет
определять тип персональных данных, которые будет обрабатывать Facebook и передавать администратору
группы, даже если они при этом передаются в обезличенной форме ( Landeszentrum Datenschutz Schleswig-Holstein v.
Wirtschaftsakademie Schleswig-Holstein GmbH, C-210/16, ECJ, 5 June 2018).
Другим примером
возникновения сооператорства, рассмотренным Европейским судом справедливости,
является случай признания сооператорами социальной сети и веб-сайта, на котором
установлен плагин такой социальной сети. В деле Fashion ID GmbH & Co.KG v.
Verbraucherzentrale NRW eV (C-40/17, ECJ, 29 July 2019), рассмотренном
Европейским судом справедливости, интернет-магазин установил плагин социальной
сети Facebook, позволяющий поставить
на сайте такого интернет-магазина "лайк" в Facebook. При этом безотносительно к проставлению такого
"лайка" персональные данные пользователя передавались с сайта
интернет-магазина социальной сети Facebook.
Тот факт, что указанные лица действуют при этом каждый в своем интересе, не
препятствует признанию их сооператорами в отношении персональных данных
посетителей сайта такого интернет-магазина.
EDPB, анализируя данные
решения и понятие оператора персональных данных, приходит к важному выводу о
том, что использование лицом платформы третьего лица для обработки персональных
данных индивидов может повлечь возможность квалификации такого лица и платформы
в качестве совместных операторов, за исключением случаев, когда такая платформа
выступает исключительно в качестве обработчика таких данных и не имеет
собственного интереса в их обработке (что явно не относится к платформам вроде
социальных сетей) <1>.
--------------------------------
<1> См.:
Guidelines 07/2020 on the concepts of controller and processor in the GDPR. Version 1.0. Adopted on 2 September
2020, § 65 - 66.
Приведенные примеры из европейской
практики являются достаточно репрезентативными и потенциально применимыми и в
российских реалиях в силу почти полной тождественности понятия "оператор
персональных данных" в европейском и российском праве.
6. Наличие на стороне
оператора множественности лиц вызывает вопрос о распределении ответственности
между ними. Тот факт, что Закон о персональных данных говорит об операторе в
единственном числе, может быть интерпретирован как несение обязанностей и
ответственности каждым сооператором в полном объеме. С гражданско-правовой
точки зрения такой вид ответственности именуется солидарной обязанностью (ст.
323 ГК РФ: "при солидарной обязанности должников кредитор вправе требовать
исполнения как от всех должников совместно, так и от любого из них в
отдельности, притом как полностью, так и в части долга"). И хотя Закон о
персональных данных не оперирует данным термином и не предполагает возможности
субсидиарного применения положений гражданского законодательства, принципы
солидарной ответственности вполне могут быть применимы и к распределению
ответственности между сооператорами. При этом вопросы распределения
ответственности между собой и предъявления регрессных требований вполне могут
быть решены сооператорами в соглашении между собой. Российское законодательство
в настоящее время не содержит требований о необходимости наличия соглашений
между сооператорами или каких-либо иных положений, которые бы регламентировали
отношения между ними, что вряд ли можно считать его достоинством.
Напротив, ст. 26 GDPR
предусматривает необходимость наличия договоренности (arrangement) между сооператорами, которая будет определять
распределение ролей в части выполнения обязанностей оператора. В частности,
такая договоренность может определять механизм реализации прав субъектов в
отношении оператора, в частности, на получение информации об обрабатываемых
данных и пр. Это может быть достигнуто путем указания контактного лица для
реализации таких прав, что обеспечивает эффективный механизм координации их
действий в отношении субъекта персональных данных и крайне рекомендуется EDPB в
качестве меры для имплементации <1>. Однако независимо от наличия такой
договоренности между сооператорами и ее содержания GDPR прямо указывает на то,
что субъект может в полном объеме реализовывать свои права в отношении каждого
из сооператоров (ст. 26(3)), тем самым делая их "солидарными
должниками" в рамках соответствующих
отношений с субъектом.
--------------------------------
<1> Guidelines 07/2020 on the concepts of controller and processor
in the GDPR. Version 1.0.
Adopted on 2 September 2020, § 182.
Однако в части возможной
ответственности сооператоров за исполнение иных требований законодательства о
персональных данных, помимо выполнения непосредственных обязанностей перед
субъектами по их запросу, позиция Европейского суда справедливости такова, что
наличие факта совместной операторской деятельности еще не означает, что такие
сооператоры несут равную ответственность. Поскольку они могут вовлекаться на
разных этапах обработки персональных данных и в разном объеме, их
ответственность за исполнение обязанностей операторов должна определяться с
учетом особенностей конкретной ситуации ( Landeszentrum Datenschutz Schleswig-Holstein v.
Wirtschaftsakademie Schleswig-Holstein GmbH, С-210/16, ECJ, 5 June 2018, § 43).
Представляется, что данная логика вполне применима и к российским реалиям.
7. От оператора
персональных данных следует отличать лицо, которое осуществляет обработку
данных по его поручению. В европейском законодательстве в этой связи наряду с
термином "оператор" (data
controller) используется термин "обработчик" (data processor). В российском законодательстве данный термин
отдельно не выделен, однако данная концепция используется в ч. 3 ст. 6 Закона о
персональных данных под обозначением "лица, осуществляющего обработку
персональных данных по поручению оператора". Подробнее о правовом статусе
указанного лица см. комментарий к ч. 3 ст. 6 Закона.
Понятие обработки персональных данных.
1. Приведенная в Законе
дефиниция воспроизводит аналогичное положение Директивы 1995 г. и GDPR. Данное
определение отличается от понятия автоматизированной обработки, которое
содержится в Конвенции 1981 г. и охватывает "следующие операции,
осуществляемые полностью или частично с помощью автоматизированных средств:
хранение данных, осуществление логических и/или арифметических операций с этими
данными, их изменение, уничтожение, поиск или распространение". Во многом
это связано с тем, что сфера действия GDPR и Закона о персональных данных не
ограничивается исключительно автоматизированной обработкой данных, кроме того,
развитие технологий привело к появлению новых способов обработки данных, что
сделало нецелесообразным ограничение их видов каким-либо закрытым перечнем.
2. Первоначально в Законе
о персональных данных обработка персональных данных понималась несколько иным
образом: это "действия (операции) с персональными данными, включая сбор,
систематизацию, накопление, хранение, уточнение (обновление, изменение),
использование, распространение (в том числе передачу), обезличивание,
блокирование, уничтожение персональных данных". Последующие изменения
дефиниции конкретизировали ее посредством (1) прямого указания на то, что
обработка представляет собой любое действие (в данном случае делается акцент на
действии человека) или операцию (акцент на автоматизированной обработке) с
персональными данными, и (2) пополнения перечня возможных способов обработки
записью, извлечением, передачей данных в различных формах (распространение,
предоставление, доступ).
Тем самым в настоящее
время под обработкой персональных данных понимается любое действие (операция), совершаемое
с персональными данными, как с использованием средств автоматизации, так и
без них. К ним относятся, в частности, сбор, запись, систематизация,
накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передача (распространение, предоставление, доступ),
обезличивание, блокирование, удаление, уничтожение персональных данных. В
принципе невозможно придумать ни одного действия или операции с персональными
данными, которые бы не могли подпадать под понятие "обработка".
Таким образом, к
обработке персональных данных в полной мере можно отнести любое действие,
носящее волевой характер и сопряженное с воздействием на данные в период их
"жизненного цикла": обычное хранение персональных данных на жестком
диске компьютерного устройства; получение доступа к данным с другого
устройства; использование компьютерных алгоритмов по глубинному анализу данных (data mining).
Как следует из
комментируемой дефиниции, обработка персональных данных представляет собой
объективный факт; наличия у лица осведомленности о том, что он обрабатывает
персональные данные, не требуется для квалификации его действий в качестве
обработки и, соответственно, возможности последующей квалификации такого лица
как оператора (при наличии иных условий, указанных в дефиниции оператора).
3. В отечественной
судебной практике встречаются случаи, когда суды некорректно толкуют понятие
"обработка персональных данных", стремясь тем самым решить вопрос о
применимости к спорным отношениям законодательства о персональных данных. Так,
суды не признают обработкой персональных данных действия по вывешиванию на
информационных стендах официальных документов, в которых могут содержаться
персональные данные, например данные о результатах аудита ТСЖ с информацией о
фамилии, имени и отчестве истца, замещении им ранее должности председателя ТСЖ
и размере получаемого вознаграждения или предписание Ростехнадзора
(Апелляционное определение Верховного суда Республики Коми от 13 марта 2014 г.
по делу N 33-1148/2014; Апелляционное определение Липецкого областного суда от
6 июня 2012 г. по делу N 33-1235/2012). С приведенным толкованием вряд ли можно
согласиться, учитывая максимально широкую формулировку понятия "обработка
персональных данных", под которую подпадают практически любые действия,
совершаемые оператором с персональными данными. В указанных выше случаях более
правильно говорить о неприменимости законодательства о персональных данных к
спорным отношениям в силу отсутствия факта автоматизированной или
квазиавтоматизированной обработки, то есть в силу ст. 1 Закона о персональных
данных, а не в силу отсутствия факта обработки персональных данных как таковой.
Понятие автоматизированной обработки персональных данных.
1. Данное определение
отсутствует в Директиве 1995 г. и GDPR, оно отсутствовало и в первоначальной
редакции Закона о персональных данных, появившись лишь в 2011 г. В немалой
степени его закреплению на законодательном уровне способствовали судебные
споры, связанные с определением сферы действия Закона о персональных данных, в
котором содержание понятия автоматизированной обработки данных играло ключевую
роль (см. комментарий к ст. 1 Закона). В частности, предпринимались попытки
определить указанный термин методом от противного применительно к существующему
пониманию обработки без использования средств автоматизации, содержащемуся в Постановлении
Правительства РФ от 15 сентября 2008 г. N 687. Поскольку согласно п. 2 данного
акта обработка персональных данных не может быть признана осуществляемой с
использованием средств автоматизации только на том основании, что персональные
данные содержатся в информационной системе персональных данных либо были
извлечены из нее, делался вывод о том, что "средством автоматизации
является не любое техническое средство, а только такое, при применении которого
использование, уточнение, распространение, уничтожение персональных данных
осуществляется без непосредственного участия человека" (см., например, Постановление
Четвертого арбитражного апелляционного суда от 17 января 2011 г. по делу N
А19-25289/2009). Так как такое толкование явно расходилось с общими представлениями
об автоматизированной обработке, суду приходилось ссылаться напрямую на текст Конвенции
1981 г. В настоящее время этот пробел восполнен.
2. Под
автоматизированной обработкой в настоящее время понимается любая обработка
персональных данных, осуществляемая с использованием вычислительных средств.
Иными словами, в случае, если производится обработка персональных данных,
существующих в цифровой форме, в том
числе посредством конвертации таких цифровых данных в аналоговый вид (например,
посредством распечатывания документа), она всегда имеет автоматизированный
характер. В этой связи упомянутые ранее положения п. 2 Постановления
Правительства РФ от 15 сентября 2008 г. N 687 не должны применяться для
толкования понятия автоматизированной обработки, но при этом продолжают иметь
значение для определения содержания понятия обработки, осуществляемой без
использования средств автоматизации <1>.
--------------------------------
<1> В литературе
высказывается и более радикальное мнение о том, что указанное Положение об
особенностях обработки персональных данных, осуществляемой без использования
средств автоматизации, противоречит в части ключевого определения Федеральному закону
и должно быть пересмотрено. См.: Амелин Р.В., Богатырева Н.В., Волков Ю.В.,
Марченко Ю.А., Федосин А.С. Комментарий к Федеральному закону от 27.07.2006 N
152-ФЗ "О персональных данных" (постатейный) // СПС
"КонсультантПлюс" (п. 4 комментария к ст. 3).
Понятие распространения персональных данных.
1. В первоначальной
редакции Закона о персональных данных понятие распространения персональных
данных рассматривалось как обобщающее по отношению к различным видам обработки
данных, связанным с их передачей иным лицам: размещению в сети Интернет,
предоставлению доступа, передаче определенному лицу и т.п. В настоящее время в
качестве обобщающего понятия выступает термин "передача", который
включает в себя распространение, предоставление и доступ, как это следует из
понятия "обработка персональных данных".
2. Распространение
персональных данных означает совершение действий, в результате которых
указанные сведения становятся доступными неопределенному кругу лиц.
Распространение имеет место, в частности, при публикации таких данных в
средствах массовой информации или в социальных сетях (при отсутствии
ограничений в отношении того, кто может видеть размещенную информацию). О
распространении можно говорить при размещении персональных данных в сети
Интернет при отсутствии специального режима доступа к таким данным (например,
по паролю). При этом является открытым вопрос о влиянии процедуры упрощенной
регистрации для получения доступа к содержимому сайта на возможность
квалификации размещаемой на нем информации как доступной неопределенному кругу
лиц (см. комментарий к понятию "Персональные данные, разрешенные субъектом
персональных данных для распространения").
Под распространение
подпадают и случаи утечек персональных данных, в результате которых они
становятся доступными в сети Интернет или ее отдельных сегментах вроде DarkNet, представляющей собой скрытую
сеть, соединения которой устанавливаются с использованием нестандартных
протоколов и портов. Как отмечается, в настоящее время основными площадками для
продажи личной информации являются форумы в даркнете и Telegram-каналы
<1>. Действия лиц по выкладыванию на такие площадки персональных данных
должны рассматриваться как их распространение, поскольку в результате них они
становятся доступными неопределенному кругу лиц. Последующий "пробив"
данных о гражданине на основе запроса конкретного лица должен уже
квалифицироваться как предоставление персональных данных.
--------------------------------
<1> DarkNet
предлагает "цифровые профили". 6 ноября 2020 г. URL:
https://rspectr.com/articles/712/darknet-predlagaet-cifrovye-profili.
Перепост информации в социальных
сетях, равно как и проставление "лайка", которое влечет появление
данного материала в ленте "друзей" пользователя, также может быть
квалифицирован в качестве распространения, за исключением случаев, когда
настройки приватности ограничивают доступ к информации такого пользователя
определенным кругом лиц ("друзей"). В последнем случае при совершении
перепостов и "лайков" корректнее говорить о предоставлении персональных
данных (см. далее).
3. Правовой режим
распространения персональных данных практически идентичен режиму предоставления
данных, поскольку в большинстве специальных норм Закона о персональных данных
они обычно упоминаются совместно (см., например, ст. 7, ч. 1, 10, 11 ст. 19, п.
2 и 3 ч. 2 ст. 22). Однако в одном случае речь идет исключительно о
распространении - применительно к обработке персональных данных участников
религиозной организации без согласия субъекта (см. комментарий к п. 5 ч. 2 ст.
10 Закона).
Понятие предоставления персональных данных.
1. Предоставление
персональных данных является частным случаем передачи персональных данных и
означает действия по раскрытию таких данных определенному лицу или
определенному кругу лиц. Частным случаем предоставления персональных данных
является их передача по запросу уполномоченного государственного органа. В
таких случаях имеет место обработка таких данных, которая может осуществляться
без согласия субъекта (п. 2 ч. 1 ст. 6 Закона о персональных данных).
2. В некоторых случаях в
качестве синонима понятию "предоставление персональных данных" Закон
использует термин "раскрытие третьим лицам" (ст. 7, п. 3 ч. 2 ст. 22
Закона о персональных данных). По-видимому, это следует объяснить недочетами
юридической техники Закона, в котором фрагментарно уцелели "остатки"
старой терминологии после поправок 2011 г.
3. В отношении
персональных данных, которые одновременно выступают объектом иного режима
охраняемой законом тайны, правовые акты, регулирующие такие виды тайн, также
используют термин "предоставление", правда, без его дефиниции. В
частности, согласно ст. 13 Федерального закона от 21 ноября 2011 г. N 323-ФЗ
"Об основах охраны здоровья граждан в Российской Федерации" (далее -
Закон об охране здоровья) не допускается разглашение сведений, составляющих
врачебную тайну, в том числе после смерти человека, лицами, которым они стали
известны при обучении, исполнении трудовых, должностных, служебных и иных
обязанностей, за исключением случаев, установленных ч. 3 и 4 настоящей статьи.
При этом ч. 4 говорит уже о "предоставлении сведений, составляющих
врачебную тайну, без согласия гражданина или его законного представителя".
Представляется, что понятие "предоставление", указанное в данной норме,
должно толковаться в том же значении, что и в Законе о персональных данных, и
охватывать только случаи передачи сведений, составляющих врачебную тайну,
только конкретным лицам, исключая возможность предоставления к ним доступа
неопределенному кругу лиц.
Понятие блокирования персональных
данных.
1. Блокирование
персональных данных выступает одним из способов обработки персональных данных и
в самом общем виде представляет собой намеренное создание невозможности доступа
и использования таких данных при одновременном обеспечении их сохранности.
Последний признак отличает их от уничтожения, которое предполагает необратимое
прекращение существования таких данных.
2. Блокирование
персональных данных представляет собой временную
меру, предпринимаемую либо на период проверки наличия или отсутствия
оснований для уничтожения таких данных в связи с возможной неправомерностью их
обработки (см. комментарий к ст. 21 Закона), либо на период, необходимый для
уточнения обрабатываемых данных по запросу субъекта персональных данных. Именно
поэтому дефиниция "блокирования" персональных данных, приведенная в Законе,
предусматривает исключение из общего принципа недоступности заблокированных
данных для обработки в отношении единственного способа обработки - уточнения
персональных данных.
Понятие уничтожения персональных данных.
1. Под уничтожением
персональных данных комментируемая статья понимает необратимое прекращение
существования персональных данных, которое может принимать форму (1)
уничтожения носителя таких данных либо (2) необратимого уничтожения данных с
носителя без ликвидации самого носителя. Последняя форма актуальна для цифровых
данных, где носитель может быть использован многократно. В данном случае
уничтожение данных должно осуществляться по определенным алгоритмам, чтобы
предотвратить возможность их восстановления с использованием специального
программного обеспечения. Алгоритмы уничтожения информации стандартизированы,
во многих государствах изданы национальные стандарты, нормы и правила,
регламентирующие использование программных средств для уничтожения информации и
описывающие механизмы его реализации. В России к числу таких документов можно
отнести руководящий документ Государственной технической комиссии России
"Автоматизированные системы. Защита от несанкционированного доступа к
информации. Классификация автоматизированных систем и требования по защите
информации" от 30 марта 1992 г. <1>, предусматривающий ряд
требований к механизму уничтожения информации для систем определенных классов
защищенности. В частности, для классов 3А и 2А "очистка осуществляется
двукратной произвольной записью в освобождаемую область памяти, ранее
использованную для хранения защищаемых данных (файлов)", для класса 1Г
предусмотрена однократная перезапись.
--------------------------------
<1>
https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/384-rukovodyashchij-dokument-reshenie-predsedatelya-gostekhkomissii-rossii-ot-30-marta-1992-g
2. Согласно разъяснениям Роскомнадзора
порядок документальной фиксации уничтожения персональных данных субъекта
определяется оператором персональных данных самостоятельно. Уничтожение
персональных данных субъекта осуществляется комиссией (либо иным должностным
лицом), созданной (уполномоченным) на основании приказа Оператора. Наиболее
распространенными способами документальной фиксации уничтожения персональных
данных субъекта является оформление соответствующего акта о прекращении
обработки персональных данных либо регистрация факта уничтожения персональных
данных в специальном журнале. Типовая форма акта и журнала утверждаются самим
Оператором <1>. Данный порядок является вполне универсальным и применим к
уничтожению персональных данных, обрабатываемых как с использованием средств
автоматизации, так и без таковых.
--------------------------------
<1> См.: Информация
Роскомнадзора "Ответы на вопросы в сфере защиты прав субъектов
персональных данных" // СПС "КонсультантПлюс".
3. На момент подготовки настоящего
издания комментария Государственной Думой РФ был принят в первом чтении законопроект,
который помимо прочего предусматривает обязанность оператора применять для
уничтожения персональных данных средства защиты информации, в составе которых
реализована функция уничтожения информации, прошедшие в установленном порядке
процедуру оценки соответствия, проведенную ФСБ РФ или ФСТЭК РФ <1>. В
случае принятия данного положения стандартный порядок уничтожения персональных
данных, обрабатываемых с использованием средств автоматизации, может
измениться. На смену фиксации факта уничтожения таких данных актом либо в
специальном журнале придет возможность доказывать его сведениями, генерируемыми
соответствующим средством защиты информации.
--------------------------------
<1> См.: Законопроект
N 992331-7 "О внесении изменений в Федеральный закон "О персональных
данных" (в части уточнения порядка обработки персональных данных)". URL:
https://sozd.duma.gov.ru/bill/992331-7.
Следует отметить, что требование об
использовании для уничтожения персональных данных технических средств,
прошедших оценку соответствия, уже находит свое отражение в законодательстве
РФ. Так, в соответствии с ч. 6 ст. 4 Федерального закона от 24 апреля 2020 г. N
123-ФЗ "О проведении эксперимента по установлению специального
регулирования в целях создания необходимых условий для разработки и внедрения
технологий искусственного интеллекта в субъекте Российской Федерации - городе
федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального
закона "О персональных данных" <1> (далее - Закон о проведении
эксперимента в области ИИ) "в случае утраты статуса участника
экспериментального правового режима или прекращения эксперимента в связи с
истечением срока его проведения лицо, являвшееся участником экспериментального
правового режима, утрачивает право на получение персональных данных, полученных
в результате обезличивания, а хранящиеся у такого лица персональные данные,
полученные в результате обезличивания, подлежат уничтожению... Для уничтожения
персональных данных, полученных в результате обезличивания, применяются
прошедшие в установленном порядке процедуру оценки соответствия средства защиты
информации, в составе которых реализована функция уничтожения информации".
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
Понятие обезличивания персональных данных.
1. Под обезличиванием
персональных данных понимается один из способов обработки персональных данных,
в результате которого становится невозможным без использования дополнительной
информации определить принадлежность персональных данных конкретному субъекту
персональных данных.
Обезличивание
персональных данных является одной из мер, направленных на минимизацию рисков
причинения вреда гражданам в случае утечки их персональных данных из
информационных систем <1>. Обезличивание персональных данных выполняет
важную социальную функцию, обеспечивая автономию личности человека и его
недосягаемость для тех, кто не согласен с высказанными лицом мнениями либо
является потенциально враждебным к тем чертам, которые у него присутствуют
(наличие определенных заболеваний, происхождения, убеждений и т.д.) <2>.
--------------------------------
<1> См. подп.
"з" п. 1 Постановления Правительства РФ от 21 марта 2012 г. N 211
"Об утверждении перечня мер, направленных на обеспечение выполнения
обязанностей, предусмотренных Федеральным законом "О персональных
данных" и принятыми в соответствии с ним нормативными правовыми актами,
операторами, являющимися государственными или муниципальными органами".
<2> См.:
Nissenbaum H. The Meaning of Anonymity in an Information Age // The Information
Society No. 15:2. 1999.
P. 142.
2. В настоящее время требования и
методы по обезличиванию персональных данных утверждены Приказом Роскомнадзора
<1>. Сфера применения данного Приказа формально ограничена
государственными и муниципальными органами, однако de facto может применяться в качестве ориентира и иными операторами
за неимением иных источников, например, в отношении конкурсных управляющих (Постановление
Девятого арбитражного апелляционного суда от 28 сентября 2020 г. по делу N
А40-79738/2018). Среди методов обезличивания данный Приказ упоминает следующие:
1) метод введения
идентификаторов (замена части сведений, составляющих персональные данные,
идентификаторами с созданием таблицы соответствия таких идентификаторов
исходным данным);
2) метод изменения
состава или семантики (обобщение, изменение значений атрибутов персональных
данных или удаление части сведений, позволяющих идентифицировать субъекта);
3) метод декомпозиции
(разделение массива персональных данных на несколько составляющих частей с
последующим их раздельным хранением);
4) метод перемешивания
(перестановка отдельных значений атрибутов персональных данных в массиве).
--------------------------------
<1> См.: Приказ
Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и
методов по обезличиванию персональных данных" (вместе с "Требованиями
и методами по обезличиванию персональных данных, обрабатываемых в
информационных системах персональных данных, в том числе созданных и
функционирующих в рамках реализации федеральных целевых программ").
Конкретный метод выбирается оператором
в зависимости от целей и задач обработки персональных данных, с учетом того,
что обезличивание персональных данных должно обеспечивать не только защиту от
несанкционированного использования, но и возможность их обработки.
Следует отметить, что на
момент подготовки настоящего издания комментария был принят в первом чтении законопроект,
который прямо наделяет Роскомнадзор полномочиями по определению требований и
методов обезличивания персональных данных <1>. При этом рабочей группой
на базе Управления Роскомнадзора по ЦФО был подготовлен проект нового приказа,
содержащего методологии обезличивания. Помимо уже существующих четырех
методологий, указанных выше, в него были добавлены такие методы обезличивания,
как добавление шума, методы k-анонимности, l-разнообразия, токенизации, многие
из которых уже предусмотрены в зарубежной практике.
--------------------------------
<1> См.: Законопроект
N 992331-7 "О внесении изменений в Федеральный закон "О персональных
данных" (в части уточнения порядка, обработки персональных данных)".
3. Шифрование не является признаваемым
Роскомнадзором способом обезличивания персональных данных, поскольку
рассматривается Роскомнадзором, ФСБ и ФСТЭК как средство защиты информации.
Вместе с тем шифрование может использоваться в качестве средства создания
идентификатора при реализации метода введения идентификаторов. Такая ситуация
может возникнуть при частичном использовании шифрования, например, для замены
Ф.И.О. лица на результат применения хеш-функции к ним при сохранении иных
данных в незашифрованном виде.
4. Одним из наиболее
важных вопросов, возникающих при применении законодательства о персональных
данных, является следующий: относятся ли обезличенные данные к категории
персональных данных или представляют собой особый вид данных, на который не
распространяется режим персональных данных? Закон о персональных данных не дает
прямого ответа на данный вопрос. Систематический анализ положений, содержащихся
в Приказе Роскомнадзора, позволяет сделать вывод о том, что обезличивание
персональных данных выводит их за рамки действия Закона о персональных данных.
Это следует из приведенного в указанном документе понятия
"деобезличивание", определенного как "действия, в результате
которых обезличенные данные принимают вид, позволяющий определить их
принадлежность конкретному субъекту персональных данных, то есть становятся персональными данными" (курсив мой. -
А.С.). В отечественной судебной практике также встречается немало споров, где
суды соглашались с тем, что обезличенные данные не являются персональными (см.,
например: Решение Верховного Суда РФ от 26 января 2011 г. N ГКПИ10-1510; Постановление
Девятого арбитражного апелляционного суда от 12 марта 2008 г. по делу N
А40-33797/07-47-306; Решение Арбитражного суда Удмуртской Республики от 25
сентября 2013 г. по делу N А71-6910/2013).
Вместе с тем в судебной
практике существует и иной подход. Ранее уже приводились примеры споров, в которых
информация, не позволяющая однозначно идентифицировать лицо, признавалась
персональными данными. Представляется, что данный подход более соответствует
букве и духу положений Закона о персональных данных. Во-первых, само понятие
обезличивания предполагает приведение информации к тому состоянию, которое
характеризует возможность косвенной идентификации лица посредством привлечения
дополнительной информации. Во-вторых, одна из немногих статей, посвященных
особенностям обезличенных данных, касается случаев обработки персональных
данных без согласия субъекта (п. 7 ч. 1 ст. 6 Закона): "обработка персональных данных
осуществляется в статистических или иных исследовательских целях, за
исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания
персональных данных". При этом данное положение использует
формулировку "хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта
персональных данных", тем самым намекая на возможность существования
персональных данных в форме, не позволяющей определить субъекта персональных
данных. Иными словами, Закон сам говорит о том, что обработка обезличенных
данных является обработкой персональных данных. Наконец, в-третьих, такой
подход соответствует европейскому, согласно которому если обезличенные данные
являются обратимыми, то есть могут быть возвращены к исходному состоянию, то
они относятся к категории информации, которая может косвенно определить лицо, а
следовательно, являются персональными данными <1>.
--------------------------------
<1> См.:
Opinion 4/2007 on the Concept of Personal Data. WP 136, 20 June 2007. Article
29 Data Protection Working Party. P. 18.
5. В зарубежной литературе
подчеркивается, что в эпоху "больших данных" информация либо может
представлять ценность для обработки, либо может быть анонимной, но одновременно
и тем и другим она не может быть никогда <1>. Чем больше степень
обезличивания данных, тем меньше ценность таких данных для анализа. Таким
образом, в новых технологических реалиях обезличивание данных уже не может
выполнять функцию эффективного средства защиты персональных данных и в более
глобальном смысле - частной жизни граждан. Рост производительности и
доступности вычислительных мощностей, а также огромный массив доступной в сети
Интернет личной информации обусловливают техническую возможность деанонимизации
даже тщательно обезличенных данных, имеется в виду, что любые обезличенные
данные всегда имеют какой-либо атрибут, относимый к личности.
--------------------------------
<1> См.:
Ohm P. Broken Promises of Privacy: Responding to the Surprising Failure of
Anonymization // UCLA Law Review. N 57. 2010. P. 1704.
В этой связи новое европейское
законодательство пошло по пути дифференциации понятий псевдонимизации данных и
анонимизированных данных. Псевдонимизация представляет собой способ обработки
персональных данных, в результате которого становится невозможным без
использования дополнительной информации определить принадлежность персональных
данных конкретному субъекту персональных данных, при условии, что такая
дополнительная информация хранится отдельно и в отношении нее предпринимаются
организационные и технические меры, обеспечивающие ее неиспользование для
соотнесения с определенным или определяемым лицом (ст. 4(5) GDPR).
Анонимизированные данные предполагают такую степень обезличенности данных,
которая более не может быть отнесена к определенному или определяемому лицу.
Такие данные не являются персональными и не подпадают под действие
законодательства о персональных данных. При разграничении указанных понятий
принимается во внимание наличие возможности осуществления их деобезличивания
разумными средствами оператором или иным лицом. При этом принимаются во
внимание материальные и затраты, которые оператор должен понести для
этого, уровень развития технологий на момент совершения процесса обработки (п.
26 Преамбулы GDPR). Таким образом, обезличенные (псевдонимизированные - в терминологии GDPR) данные по новому
европейскому законодательству, по общему правилу, рассматриваются в качестве
персональных данных, а сами действия по обезличиванию - как одно из средств
защиты персональных данных, при обработке которых в некоторых случаях действуют
некоторые послабления <1>.
--------------------------------
<1> См. п. 26 Преамбулы к GDPR; The EU
General Data Protection Regulation (GDPR): A Commentary / ed. by Christopher
Kuner, Lee Bygrave and Christopher Docksey. Oxford University Press, 2020. P. 134.
Аналогичный подход к анонимизированным
данным находит свое отражение и в тексте Модернизированной Конвенции N 108, и в
сопроводительных документах к ней. В пояснительном протоколе к ней указано, что
"данные рассматриваются в качестве анонимных только в той мере, в какой
невозможно реидентифицировать субъекта персональных данных, или если такая
реидентификация потребует неразумного количества времени, усилий или ресурсов,
принимая во внимание технологии, доступные на момент обработки, и само развитие
технологий. Данные, которые выглядят как анонимные, поскольку не сопровождаются
очевидными идентифицирующими субъекта элементами, могут в определенных случаях
тем не менее допускать идентификацию индивида (не требуя неразумного количества
времени, усилий или ресурсов). Это справедливо, например, для случаев, когда оператор
или иное лицо имеет возможность определить лицо посредством комбинирования
различных типов данных... В таких случаях данные не могут рассматриваться как
анонимные и должны охватываться положениями Конвенции" <1>.
--------------------------------
<1> См.:
Explanatory Report to the Protocol amending the Convention for the Protection
of Individuals with regard to Automatic Processing of Personal Data. Strasbourg, 2018, § 19.
Иными словами, анонимизация
персональных данных представляет собой действия, в результате которых
становится технологически или практически невозможно определить принадлежность
данных субъекту персональных данных, в том числе в связи с необходимостью несения
оператором чрезмерных и финансовых затрат для определения такой
принадлежности.
В рамках реализации
программы "Цифровая экономика" неоднократно предлагалось ввести в
российское законодательство понятие анонимизированных данных, которое не нашло
поддержки в государственных органах и в итоге не было отражено в подготовленных
законопроектах. Остается выразить надежду, что к данному вопросу еще вернутся,
поскольку разграничение обезличенных данных и анонимизированных данных является
своего рода лучшей практикой, нашедшей свое отражение в идеологии
Модернизированной конвенции, которую Российская Федерация подписала со своей
стороны. В перспективе в качестве анонимизированных данных можно было бы
представить результаты анализа персональных данных в виде высокоуровневой
статистики, в частности данные, касающиеся коллективных настроений в
определенной группе или сфере; большие массивы геолокационных данных. Уже
сейчас можно встретить отдельные судебные решения, где статистическая
информация не признается персональными данными, например информация о
количестве зарегистрированных жителей в почтовых адресах в цифровом значении,
поскольку это не "конкретная информация, прямо или косвенно относящаяся к
какому-либо конкретному лицу" (Апелляционное определение Московского
областного суда от 12 октября 2016 г. по делу N 33а-25712/2016). Однако такие
решения носят единичный характер, в связи с чем наличие специальной нормы в
этой части могло бы способствовать облегчению доказывания факта неподпадания
соответствующей информации под понятие персональных данных.
Понятия информационной системы персональных данных и базы
данных.
1. Понятие
информационной системы персональных данных по сути является воспроизведением
понятия информационной системы, которое содержится в Законе об информации, с
одним уточнением - указанием на особый характер обрабатываемой в ней информации
в виде персональных данных. Согласно п. 3 ст. 2 Закона об информации под
информационной системой понимается совокупность содержащейся в базах данных
информации и обеспечивающих ее обработку информационных технологий и
технических средств. Таким образом, информационная система персональных данных
имеет место только при автоматизированной обработке, в отличие от прежней
дефиниции данного понятия, которое охватывало и обработку данных без
использования средств автоматизации.
2. База данных является
лишь одним из элементов информационной системы наряду с техническими средствами
и иными информационными технологиями, используемыми при обработке. Данное
разграничение особенно важно применительно к требованиям локализации отдельных
процессов обработки персональных данных (ч. 5 ст. 18 Закона о персональных
данных), которые предусматривают обязанность нахождения на территории РФ именно
базы данных, а не всей информационной системы персональных данных. Понятие
"информационная система персональных данных" используется для
обслуживания вопросов, связанных с информационной безопасностью, при
формулировании организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных и уровней защищенности таких данных (см. ст. 19 и комментарий к ней).
3. Ни Закон
о персональных данных, ни Закон об информации не содержат определения базы
данных, в связи с чем можно обратиться к дефиниции базы данных, используемой в
гражданском законодательстве. В соответствии с п. 2 ст. 1260 ГК РФ базой данных
является представленная в объективной форме совокупность самостоятельных
материалов (статей, расчетов, нормативных актов, судебных решений и иных
подобных материалов), систематизированных таким образом, чтобы эти материалы
могли быть найдены и обработаны с помощью электронной вычислительной машины
(ЭВМ). Следует отметить, что отдельные представители Роскомнадзора дают более
широкое толкование понятия "база данных", понимая под ней
"упорядоченный массив данных, независимый от вида материального носителя
информации и используемых средств его обработки (архивы, картотеки, электронные
базы данных)". Так, например, базой данных, по их мнению, "можно
считать таблицу в форматах Excel или Word, в которой содержатся персональные
данные граждан" <1>. Данный подход объясняется авторами комментария
тем, что "в законодательстве Российской Федерации существует много понятий
баз данных, тем не менее все они сводятся к одному общему значению, которое и
приведено выше". Если оставить в стороне весьма спорное заявление о
наличии множества понятий баз данных в российском законодательстве, привлекает
внимание тот факт, что предлагаемое представителями Роскомнадзора понятие
"база данных" дословно совпадает с дефиницией, которая содержится в
Модельном законе СНГ "О персональных данных" 1999 г. <2>.
Данный документ хотя и можно рассматривать в качестве авторитетного источника,
но формально он не имеет юридической силы и не может выступать в качестве акта,
регулирующего "в рамках СНГ международные отношения в сфере защиты прав
субъектов персональных данных" <3>.
--------------------------------
<1> См.:
Комментарий к Федеральному закону от 21 июля 2014 г. N 242-ФЗ "О внесении
изменений в отдельные законодательные акты Российской Федерации в части
уточнения порядка обработки персональных данных в
информационно-телекоммуникационных сетях". С. 10.
<2> Принят в г.
Санкт-Петербурге на 14-м пленарном заседании Межпарламентской ассамблеи
государств - участников СНГ Постановлением от 16 октября 1999 г. N 14-19 (СПС
"КонсультантПлюс").
<3> Иная позиция
высказана в комментарии представителей Роскомнадзора. См.: Федеральный закон
"О персональных данных": научно-практический комментарий / под ред.
А.А. Приезжевой. С. 25.
Понятие трансграничной передачи персональных данных.
1. Трансграничная
передача персональных данных представляет собой отдельный вид обработки таких
данных, заключающийся в передаче их "на территорию иностранного
государства органу власти иностранного государства, иностранному физическому
лицу или иностранному юридическому лицу". Ранее содержавшееся в указанной
дефиниции указание на пересечение Государственной границы РФ было удалено как
не соответствующее реалиям информационных процессов, происходящих в сети
Интернет, которые в силу своего трансграничного, децентрализованного и
виртуального характера не позволяют четко обозначить географические границы
определенной деятельности. В европейском законодательстве используется
несколько иное, чуть более широкое понимание трансграничной передачи данных -
как действий по передаче данных на территорию третьих стран (не являющихся членами
Европейского союза) или международных организаций (ст. 45(1) GDPR). При этом
национальная принадлежность получателя таких данных в третьей стране не имеет
значения.
2. Квалифицирующими
признаками трансграничной передачи персональных данных по российскому праву
являются: 1) факт попадания персональных данных на территорию иностранного
государства, 2) под контроль иностранного лица и 3) в результате
целенаправленной деятельности оператора.
Указанные признаки
позволяют выделить основной критерий трансграничной передачи данных:
результатом такой передачи является подпадание
персональных данных под юрисдикцию другого государства с одновременным выбытием
из-под юрисдикции Российской Федерации. Таким образом, если оператор -
российское юридическое лицо передает персональные данные в свое
представительство, находящееся за рубежом, то трансграничной передачи нет,
поскольку данные не передаются иностранному лицу, а передаются самому себе
(отсутствует признак 2). По этой же причине не будет трансграничной передачи
данных в ситуациях, когда сотрудник организации едет в зарубежную командировку
с ноутбуком, на котором записаны персональные данные иных лиц.
Нельзя говорить о
трансграничной передаче персональных данных и в тех случаях, когда данные
остаются на территории Российской Федерации, хотя и попадают к иностранному
лицу, которое находится на его территории (отсутствие признака 1).
Размещение персональных
данных на интернет-сайте, хостинг которого осуществляется в России, но
доступном на территории всего мира, само по себе не является трансграничной
передачей данных. В данном случае инициатором передачи информации будет
являться не владелец интернет-сайта, а пользователь, который сам приходит на
данный ресурс и тем самым инициирует процесс передачи ему соответствующих
данных (отсутствие признака 3).
Осуществляемый
вследствие алгоритмов протокола TCP/IP "транзит" данных через
территорию третьих стран при передаче данных в сети Интернет также не является
их трансграничной передачей. Иной подход вступал бы в противоречие с
архитектурой сети Интернет и информационных процессов, происходящих в ней,
превращая нормы о трансграничной передаче данных в неисполнимые на практике.
Подробнее о порядке осуществления трансграничной передачи данных см. комментарий
к ст. 12 Закона.
Статья 4. Законодательство
Российской Федерации в области персональных данных
Комментарий к статье 4
1. Законодательство о персональных
данных является сравнительно молодым, но динамично развивающимся. Первый закон
о персональных данных появился в 1970 г. в земле Гессе (Hessisches
Datenschutzgesetz), Германия. В 1973 г. соответствующие нормы принимаются в
Швеции (Datalagen), в 1977 г. - в Германии (Bundesdatenschutzgesetz), в 1978 г.
- во Франции (Loi informatique et ), а
впоследствии и в иных европейских странах. В США соответствующие
законодательные нормы также начали появляться в 70-е годы прошлого века, к их
числу следует отнести Закон о справедливых кредитных историях (Fair Credit
Reporting Act 1970) и Закон о защите частной жизни (Privacy Act of 1974),
который регламентировал обработку персональных данных граждан федеральными
органами власти.
Первые упоминания о
персональных данных в российском законодательстве появились в Федеральном законе
от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите
информации" <1>. Однако детальное регулирование появилось лишь с
принятием в 2006 г. Закона о персональных данных, который не только основан на
положениях Конвенции 1981 г., ратифицированной Россией в 2005 г., но и
заимствовал многие нормы Директивы 1995 г. (особенно в массивном пакете
поправок, принятых в 2011 г.). В этой связи европейский подход к толкованию ее
положений представляет собой непосредственный интерес для российской практики,
позволяя не только не изобретать велосипед, но и взвешенно подходить к решению
достаточно сложных проблем, возникающих при применении весьма специфического по
своей сути законодательства.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
2. Как следует из части первой
комментируемой статьи, регулирование отношений, связанных с обработкой
персональных данных, осуществляется исключительно на уровне нормативных
правовых актов федерального уровня. Субъекты Российской Федерации не могут
принимать нормативные правовые акты в указанной сфере. Это обусловлено
направленностью законодательства о персональных данных на защиту
конституционного права на неприкосновенность частной жизни, личную и семейную
тайну, а также иных прав и свобод, связанных с обработкой персональных данных.
При этом в соответствии с п. "в" ст. 71 Конституции РФ регулирование
прав и свобод человека и гражданина как одних из высших демократических
ценностей отнесено к исключительному ведению Российской Федерации.
3. Закон о персональных
данных является базовым законодательным актом, регулирующим отношения,
связанные с обработкой персональных данных, и определяет принципы, условия и
правила обработки персональных данных (Определение Конституционного Суда РФ от
17 июля 2012 г. N 1346-О). Иные федеральные законы могут конкретизировать
случаи и особенности обработки отдельных категорий персональных данных, но не
могут устанавливать иные принципы обработки персональных данных или дефиниции
ключевых терминов. В качестве примера такого федерального закона можно привести
Трудовой кодекс РФ, который содержит специальную гл. 14, посвященную
особенностям защиты персональных данных работников. Другим примером подобного
акта является Федеральный закон от 7 июня 2013 г. N 108-ФЗ "О подготовке и
проведении в Российской Федерации чемпионата мира по футболу FIFA 2018 года,
Кубка конфедераций FIFA 2017 года и внесении изменений в отдельные
законодательные акты Российской Федерации" <1>, который содержит
специальную ст. 23.1, посвященную особенностям обработки персональных данных
граждан Российской Федерации в процессе подготовки и проведения указанных
мероприятий.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
4. Отнесение законодательства в
области персональных данных к сфере ведения федерального законодателя не
означает невозможности существования нормативных правовых актов иных уровней.
Органы государственной власти РФ, субъектов РФ, органы местного самоуправления
и Центральный банк России (который формально не является государственным
органом и имеет особый статус) наделены правом принимать нормативные правовые
акты в указанной сфере при одновременном соблюдении следующих условий,
указанных в ч. 2 комментируемой статьи:
1) такая возможность
должна быть прямо предусмотрена в федеральном законе;
2) указанные акты должны
быть приняты в пределах своих полномочий;
3) указанные акты не
могут содержать положения, ограничивающие права субъектов персональных данных,
или устанавливающие не предусмотренные федеральными законами ограничения
деятельности операторов, или возлагающие на операторов не предусмотренные
федеральными законами обязанности;
4) такие акты подлежат
обязательному опубликованию, что исключает возможность использования правовых
актов с грифом "Для служебного пользования" для регулирования прав и
обязанностей лиц, которые не имеют к ним доступа <1>.
--------------------------------
<1> К сожалению,
такие ситуации иногда имеют место на практике. Например, при регулировании
вопросов обязательной сертификации средств защиты информации в информационных
системах персональных данных, когда государственные органы аргументируют свою
позицию ссылкой на Постановление Правительства РФ от 15 мая 2010 г. N 330 с
грифом "Для служебного пользования". См. подробнее: Савельев А.И. Электронная
коммерция в России и за рубежом: правовое регулирование. М., 2014. С. 514 -
515.
В основном такого рода подзаконные
акты касаются вопросов обеспечения информационной безопасности информационных
систем (см. комментарий к ст. 19 Закона), порядка проведения
контрольно-надзорных мероприятий (см. комментарий к ст. 23 Закона),
особенностей обработки персональных данных в отдельных государственных органах.
5. Среди важных
документов, формально не являющихся нормативными правовыми актами, но
оказывающих немалое влияние на правоприменительную практику в сфере
законодательства о персональных данных, следует отметить разъяснения Минцифры
России, которое является федеральным органом исполнительной власти, осуществляющим
функции по выработке и реализации государственной политики и
нормативно-правовому регулированию в сфере обработки персональных данных, и
уполномочено на дачу разъяснений по данным вопросам <1>. Кроме них также
следует упомянуть комментарии и информацию Роскомнадзора, которые хотя и не
являются официальными актами толкования законодательства, выражая "личное
мнение должностного лица" (Апелляционное определение Нижегородского
областного суда от 30 октября 2018 г. по делу N 33-12858/2018), но могут
оказывать существенное влияние на практику в силу убедительности содержащихся в
них аргументов либо в силу статуса лица, которое их предоставило.
--------------------------------
<1> См. п. 1 и 6.6
Положения "О Министерстве цифрового развития, связи и массовых
коммуникаций Российской Федерации", утв. Постановлением Правительства РФ
от 2 июня 2008 г. N 418 "О Министерстве связи и массовых коммуникаций
Российской Федерации" (в ред. от 11 марта 2021 г.).
6. Согласно ч. 3 комментируемой статьи
порядок обработки персональных данных, осуществляемой без использования средств
автоматизации, может устанавливаться федеральными законами и иными нормативными
правовыми актами РФ. В настоящее время таким актом является Положение об
особенностях обработки персональных данных, осуществляемой без использования
средств автоматизации, утвержденное Постановлением Правительства РФ от 15
сентября 2008 г. N 687. О понятии обработки персональных данных без
использования средств автоматизации см. комментарий к ст. 1 Закона. Ключевые
особенности такой обработки можно свести к следующему:
1) персональные данные
при такой обработке должны быть обособлены от иной информации, в частности
путем фиксации их на отдельных материальных носителях, при этом для разных
категорий персональных данных должны использоваться разные носители;
2) обработка должна
осуществляться таким образом, чтобы в отношении каждой категории персональных
данных можно было определить места хранения материальных носителей персональных
данных и установить перечень лиц, осуществляющих их обработку либо имеющих к
ним доступ;
3) работники и
привлеченные на основании гражданско-правовых договоров лица, осуществляющие
такую обработку, должны быть проинформированы об этом, а также об особенностях
и правилах такой обработки;
4) используемые типовые
формы документов, в которых фигурируют персональные данные, должны
соответствовать определенным требованиям (содержать информацию, состав которой
по сути совпадает с перечнем ч. 4 ст. 9 Закона о персональных данных и
необходим для дачи субъектом информированного согласия на обработку данных;
место для подписи и пр.);
5) порядок ведения
журналов, содержащих персональные данные, необходимых для однократного пропуска
субъекта персональных данных на территорию оператора, должен предусматриваться
локальным актом, сведения таких журналов не могут копироваться.
7. Часть 4
комментируемой статьи воспроизводит конституционное положение о приоритете
положений международных соглашений перед федеральным законом. К важнейшим
международным договорам, имеющим отношение к защите персональных данных,
следует отнести Международный пакт от 16 декабря 1966 г. "О гражданских и
политических правах" <1>, ст. 17 которого предусматривает, что
"никто не может подвергаться произвольному или незаконному вмешательству в
его личную и семейную жизнь, произвольным или незаконным посягательствам на
неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам
на его честь и репутацию". Кроме того, следует отметить положения ст. 8
Конвенции о защите прав человека и основных свобод 1950 г., согласно которой
"каждый имеет право на уважение его личной и семейной жизни, его жилища и
его корреспонденции". Данные положения, несмотря на их схожесть, имеют
несколько разные акценты: в первом случае акцент делается на недопустимости
вмешательства в частную жизнь и обеспечении конфиденциальности таких данных
<2>, во втором - на уважении частной жизни, что дает основания для более
широкого толкования данного права. Это достаточно очевидно следует из практики
ЕСПЧ, решения которого являются обязательными для Российской Федерации, если
она являлась стороной такого спора (с учетом положений, указанных в ч. 5
комментируемой статьи, см. далее).
--------------------------------
<1> См.: СПС "КонсультантПлюс".
<2> См.:
General Comment 16 issued 23 March 1988 (UN Doc A/43/40, 181 - 183).
Существует ряд решений ЕСПЧ,
касающихся персональных данных, в которых Российская Федерация фигурировала в
качестве ответчика и жалобы заявителей на нарушение их права на уважение личной
жизни были признаны обоснованными. К их числу можно отнести, в частности,
Постановление ЕСПЧ от 6 июня 2013 г. по делу "Авилкин и другие против
Российской Федерации" (жалоба N 1585/09), в котором рассматривалась жалоба
на действия лечебных учреждений по передаче прокуратуре некоторых сведений о
своих пациентах без их согласия, что было обусловлено их религиозными
убеждениями. Другим примером является Постановление ЕСПЧ от 23 февраля 2016 г.
по делу "Y.Y. против Российской Федерации" (жалоба N 40378/06), в
котором рассматривалась жалоба по поводу раскрытия лечебным учреждением
медицинской информации о заявительнице и ее детях при отсутствии ее согласия
для целей проведения проверочных мероприятий. Достаточно резонансным является и
Постановление ЕСПЧ от 4 декабря 2015 г. по делу "Роман Захаров (Roman
Zakharov) против Российской Федерации" (жалоба N 47143/06). В данном
случае жалоба касалась нарушения права на уважение личной жизни и переписки
организацией системы тайного прослушивания мобильной телефонной связи (СОРМ) и
отсутствия эффективных средств правовой защиты. ЕСПЧ признал данную жалобу
обоснованной, отметив, помимо прочего, что законодательство РФ в указанной
части оставляет властям почти неограниченную дискрецию для определения того, какие
события или действия представляют собой подобную угрозу и является ли угроза
достаточно серьезной, чтобы оправдать скрытое наблюдение, тем самым создавая
возможности для произвола (§ 248). О практике ЕСПЧ по вопросам защиты
неприкосновенности частной жизни см. также комментарий к ст. 2.
В российской судебной
практике встречаются споры, касающиеся персональных данных, в которых суд при
обосновании своей позиции ссылается на решения и правовые позиции ЕСПЧ. В
частности, такого рода ссылки являлись основанием для признания судом
приоритета норм о неприкосновенности частной жизни перед нормами о свободе
слова при публикации на интернет-сайтах негативных отзывов о профессиональной
деятельности работника (Определение Судебной коллегии по гражданским делам
Верховного Суда РФ от 12 ноября 2019 г. N 14-КГ19-15, 2-2794/18).
Основным международным
договором РФ в сфере персональных данных является Конвенция 1981 г. Данный
документ закрепил фундаментальные принципы обработки персональных данных,
которые были имплементированы в Закон о персональных данных. Следует отметить,
что положения Конвенции не создают непосредственно прав и обязанностей для
участников отношений, связанных с обработкой персональных данных, а создают
обязательства для государства по их имплементации в национальное право (ст.
4(1)). Как следствие, положения данной Конвенции не действуют в России
непосредственно <1>. Кроме того, важно подчеркнуть, что Конвенция 1981 г.
допускает возможность присоединяющейся стороны сделать заявление об отдельных
изъятиях в сфере ее применения. Российская Федерация воспользовалась этим
положением, заявив, что не будет применять Конвенцию к персональным данным,
обрабатываемым физическими лицами исключительно для личных и семейных нужд, а
также к данным, отнесенным к государственной тайне. Кроме того, Российская
Федерация прямо указала на то, что оставляет за собой возможность устанавливать
ограничения прав субъекта персональных данных на доступ к персональным данным о
себе в целях защиты безопасности государства и общественного порядка <2>.
--------------------------------
<1> См. ч. 3 ст. 5
Федерального закона от 15 июля 1995 г. N 101-ФЗ "О международных договорах
Российской Федерации": "Положения официально опубликованных
международных договоров Российской Федерации, не требующие издания
внутригосударственных актов для применения, действуют в Российской Федерации
непосредственно (СПС "КонсультантПлюс"). Для осуществления иных
положений международных договоров Российской Федерации принимаются
соответствующие правовые акты".
<2> См.:
Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции
Совета Европы о защите физических лиц при автоматизированной обработке
персональных данных".
8. Примат положений международного
договора действует лишь в отношении федеральных законов, но не в отношении Конституции
РФ. В Постановлении от 14 июля 2015 г. N 21-П Конституционный Суд РФ допустил
неисполнение постановлений Европейского суда в ситуациях, когда "самим
содержанием постановления Европейского суда... неправомерно - с
конституционно-правовой точки зрения - затрагиваются принципы и нормы Конституции
Российской Федерации", причем "такое отступление является единственно
возможным способом избежать нарушения основополагающих принципов и норм Конституции
Российской Федерации". Данная позиция впоследствии получила свое развитие
и в иных постановлениях, где Суд еще раз указал, что исполнение решений ЕСПЧ не
является обязательным, если такое исполнение будет вступать в противоречие с
положениями Конституции РФ, обладающей верховенством и высшей юридической силой
в российской правовой системе (Постановление Конституционного Суда РФ от 19
апреля 2016 г. N 12-П). Свое логическое завершение и отражение данная позиция
нашла в положениях ч. 5 комментируемой статьи, которая была включена в Закон о
персональных данных в связи со вступлением в силу Закона РФ о поправке к Конституции
Российской Федерации от 14 марта 2020 г. N 1-ФКЗ "О совершенствовании
регулирования отдельных вопросов организации и функционирования публичной
власти" <1>. Статья 79 обновленной Конституции РФ предусматривает,
что "решения межгосударственных органов, принятые на основании положений
международных договоров Российской Федерации в их истолковании, противоречащем Конституции
Российской Федерации, не подлежат исполнению в Российской Федерации".
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
9. Рассматривая систему источников
законодательства в области персональных данных, нельзя не упомянуть акты,
которые хотя и не содержат юридически обязательных норм, но de facto оказывают важное влияние на
регулирование отношений, связанных с реализацией оператором организационных и
технических мер защиты персональных данных. К таким документам относятся
национальные стандарты - документ по стандартизации, который разработан
участником или участниками работ по стандартизации, по результатам экспертизы в
техническом комитете по стандартизации или проектном техническом комитете по
стандартизации утвержден федеральным органом исполнительной власти в сфере
стандартизации и в котором для всеобщего применения устанавливаются общие
характеристики объекта стандартизации, а также правила и общие принципы в
отношении объекта стандартизации (п. 5 ст. 2 Федерального закона от 29 июня
2015 г. N 162-ФЗ "О стандартизации в Российской Федерации"). К числу
стандартов, релевантных к проблематике защиты персональных данных, можно
отнести следующие:
- ГОСТ Р 59407-2021
"Базовая архитектура защиты персональных данных" (утв. Приказом
Федерального агентства по техническому регулированию и метрологии от 20 мая
2021 г. N 415-ст);
- ГОСТ Р 50922-2006
"Защита информации. Основные термины и определения" (утв. Приказом
Федерального агентства по техническому регулированию и метрологии от 27 декабря
2006 г. N 373-ст);
- ГОСТ Р 51275-2006
"Защита информации. Объект информатизации. Факторы, воздействующие на
информацию. Общие положения" (утв. Приказом Федерального агентства по
техническому регулированию и метрологии от 27 декабря 2006 г. N 374-ст);
- ГОСТ Р 34.10-2012
"Информационная технология. Криптографическая защита информации. Процессы
формирования и проверки электронной цифровой подписи" (утв. Приказом
Федерального агентства по техническому регулированию и метрологии от 7 августа
2012 г. N 215-ст);
- ГОСТ Р 34.11-2012
"Информационная технология. Криптографическая защита информации. Функция
хеширования" (утв. Приказом Федерального агентства по техническому
регулированию и метрологии от 7 августа 2012 г. N 216-ст);
- ГОСТ Р ИСО/МЭК
15408-3-2013 "Информационная технология. Методы и средства обеспечения
безопасности. Критерии оценки безопасности информационных технологий"
(утв. Приказом Федерального агентства по техническому регулированию и
метрологии от 8 ноября 2013 г. N 1340-ст);
- ГОСТ Р ИСО/МЭК
27001-2013 "Информационная технология. Методы и средства обеспечения
безопасности. Системы менеджмента информационной безопасности. Требования"
(утв. Приказом Федерального агентства по техническому регулированию и
метрологии от 27 декабря 2006 г. N 375-ст);
- ГОСТ Р ИСО/МЭК
27002-2012 "Информационная технология. Методы и средства обеспечения
безопасности. Свод норм и правил менеджмента информационной безопасности"
(утв. Приказом Федерального агентства по техническому регулированию и
метрологии от 24 сентября 2012 г. N 423-ст);
- ГОСТ Р ИСО/МЭК
27003-2012 "Информационная технология. Методы и средства обеспечения
безопасности. Система менеджмента информационной безопасности. Руководство по
реализации системы менеджмента информационной безопасности" (утв. Приказом
Федерального агентства по техническому регулированию и метрологии от 15 ноября
2012 г. N 812-ст);
- ГОСТ Р ИСО/МЭК
27004-2011 "Информационная технология. Методы и средства обеспечения
безопасности. Менеджмент информационной безопасности. Измерения" (утв. Приказом
Федерального агентства по техническому регулированию и метрологии от 1 декабря
2011 г. N 681-ст);
- ГОСТ Р ИСО/МЭК
27005-2010 "Информационная технология. Методы и средства обеспечения
безопасности. Менеджмент риска информационной безопасности" (утв. Приказом
Федерального агентства по техническому регулированию и метрологии от 30 ноября
2010 г. N 632-ст);
- ГОСТ Р ИСО/МЭК
27006-2008 "Информационная технология. Методы и средства обеспечения
безопасности. Требования к органам, осуществляющим аудит и сертификацию систем
менеджмента информационной безопасности" (утв. Приказом Федерального
агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N
524-ст).
Следует отметить, что с
1 июня 2016 г. при осуществлении закупок по Законам N 44-ФЗ и N 223-ФЗ
заказчики теперь обязаны при описании объекта закупки использовать документы
национальной системы стандартизации, то есть закупать продукцию,
соответствующую требованиям стандартов (см. п. 1 ч. 10 ст. 4 Федерального
закона от 18 июля 2011 г. N 223-ФЗ "О закупках товаров, работ, услуг
отдельными видами юридических лиц"; п. 2 ч. 1 ст. 33 Федерального закона
от 5 апреля 2013 г. N 44-ФЗ "О контрактной системе в сфере закупок
товаров, работ, услуг для обеспечения государственных и муниципальных
нужд"). Соответственно, приобретаемые государственными заказчиками
оборудование, программное обеспечение, работы и услуги, связанные с защитой
персональных данных, должны соответствовать показателям, требованиям, условным
обозначениям и терминологии, указанным в соответствующих стандартах, в
противном случае в закупочной документации должно содержаться обоснование
необходимости использования других показателей, требований, условных
обозначений и терминологии.
10. Европейское
законодательство о персональных данных в настоящее время носит двухуровневый
характер и представлено в виде GDPR, который, являясь актом унификации
европейского законодательства, имеет прямое действие на территории стран
Европейской экономической зоны, включающей не только страны Европейского союза,
но и Норвегию, Исландию, Лихтенштейн. Однако говорить о полной унификации
законодательства об обработке персональных данных в рамках всего Европейского
союза даже после вступления в силу GDPR было бы некорректно, поскольку ряд
аспектов обработки персональных данных регламентируется либо иными
общеевропейскими актами, либо на уровне национального законодательства.
Из таких иных
общеевропейских актов следует особо упомянуть Директиву 2002/58/EC от 12 июля
2002 г. (в ред. Директивы 2009/136/EC) об обработке персональных данных и
защите информации о частной жизни в сфере электронных коммуникаций <1>,
которая содержит дополнительный набор правил, касающихся обработки персональных
данных в сфере электронной коммерции (необходимость получения согласия на
размещение файлов cookie и иной доступ к устройствам пользователей; получения
явного согласия на обработку геолокационных данных пользователей; регулирование
сообщений рекламного характера и спама и пр.). Другим общеевропейским актом в
области персональных данных является Директива 2016/680 о защите физических лиц
при обработке их персональных данных правоохранительными органами <2>,
которая пришла на смену Рамочному решению Совета Европы 2008/977/JHA и
регулирует вопросы взаимной правовой помощи при расследовании уголовных дел и
осуществлении судопроизводства государств - членов ЕС, то есть обмен такими
данными между уполномоченными органами государств - членов ЕС.
--------------------------------
<1> См.: Directive
2002/58/EC Concerning the Processing of Personal Data and the Protection of
Privacy in the Electronic Communications Sector (E-privacy directive). В перспективе данная директива будет
заменена на регламент, текст которого находился на момент подготовки данного
издания комментария в процессе обсуждения. См.: Regulation
Concerning the respect for Private Life and the Protection of Personal Data in
Electronic Communications and Repealing Directive 2002/58/EC (Regulation on
Privacy and Electronic Communications). URL:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52017PC0010.
<2> См.: Directive
(EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on
the Protection of Natural Persons with Regard to the Processing of Personal
Data by Competent Authorities for the Purposes of Prevention, Investigation,
Detection or Prosecution of Criminal Offences or the Execution of Criminal
Penalties, and the Free Movement of Such Data and Repealing Council Framework
Decision 2008/977/JHA.
Поскольку указанные директивы
являются, в отличие от регламентов, инструментом гармонизации законодательств
государств - членов ЕС и не имеют прямого действия, они предполагают
необходимость их имплементации в национальное законодательство. В этой связи
при решении конкретных вопросов обработки персональных данных непосредственное
применение будут иметь именно положения национальных законов государств -
членов ЕС о защите персональных данных <1>.
--------------------------------
<1> С текстами
указанных законов на английском языке можно ознакомиться на сайте
Уполномоченного по защите персональных данных при Европейской комиссии по
ссылке: http://ec.europa.eu/dataprotectionofficer/dpl_transposition_en.htm.
GDPR также предусматривает ряд
положений, делегирующих на уровень национального законодательства решение
определенных вопросов, касающихся обработки персональных данных. Согласно ст.
2(2)(d) из-под сферы действия GDPR выведены процессы обработки персональных
данных, осуществляемые уполномоченными органами для целей предотвращения,
расследования, обнаружения преступлений, исполнения наказаний, предотвращения
угроз национальной безопасности. Данные вопросы продолжают регулироваться
национальным законодательством.
11. Говоря об источниках
регулирования отношений в области защиты персональных данных, необходимо
упомянуть о возрастающей роли саморегулирования в указанной сфере. Особенно
ярко это проявляется в положениях ст. 40 и 41 GDPR, касающихся имплементации
так называемых кодексов поведения (code
of conduct). Такого рода кодексы поведения должны разрабатываться
ассоциациями операторов и учитывать особенности обработки персональных данных в
соответствующей индустрии, организациях малого и среднего бизнеса. Тексты
кодексов одобряются уполномоченными органами по защите персональных данных с
учетом мнения EDPB, регистрируются и публикуются в специальном реестре.
Помимо оказания
операторам содействия в понимании и применении положений GDPR к их деятельности
присоединение оператора к положениям кодекса поведения имеет ряд важных
последствий. Во-первых, они выполняют сигнальную функцию, обозначая
добросовестность оператора или обработчика и его готовность соблюдать положения
законодательства о персональных данных. Это может выступать в качестве
конкурентного преимущества или способствовать формированию позитивного имиджа
оператора (обработчика). Во-вторых, соответствующие положения кодекса
поведения, к которому присоединился оператор (обработчик), становятся для него
юридически обязательными, и их несоблюдение может являться основанием для
предъявления соответствующих требований со стороны субъектов персональных
данных или контрольно-надзорных органов. В-третьих, юридически обязательная
природа положений кодекса поведения позволила сделать его одним из оснований
для трансграничной передачи данных в страны, не обеспечивающие адекватный
уровень защиты прав субъектов персональных данных, если оператор-импортер
присоединился к нему. В-четвертых, их наличие и степень соблюдения могут влиять
на размер штрафов за нарушение законодательства о персональных данных. Важно
отметить, что контроль за соблюдением положений кодекса поведения может
осуществлять не только уполномоченный государственный орган, но и
аккредитованная им организация, что, по сути, означает частичное делегирование
контрольно-надзорных функций за пределы собственно государственных органов. В
условиях, когда количество операторов является чрезмерно большим, а ресурсы
уполномоченных органов ограничены, данный подход является неизбежным шагом.
Кроме того, саморегулирование позволяет осуществлять тонкую настройку
регулирования с учетом специфики и нужд конкретной индустрии, в то время как
механизмы государственного принуждения всегда являются примером
"грубой" силы.
В России появляются
первые примеры саморегулирования в этой области. Так, в 2019 г. был принят
Кодекс этики использования данных, разработанный Ассоциацией "больших
данных" <1>. Кодекс включает в себя принципы профессиональной этики
при сборе, обработке и использовании данных, как пользовательских, так и
промышленных. Помимо прочего он также предполагает создание и ведение реестра
добросовестных участников.
--------------------------------
<1>
https://rubda.ru/association_news/kodeks-etiki-ispolzovaniya-dannyh-prinyat-liderami-otrasli/
В числе подписантов указанного кодекса фигурируют такие компании, как:
Газпром-медиа холдинг, Яндекс, МегаФон, Тинькофф Банк, Сбербанк, Газпромбанк,
oneFactor, Группа QIWI, Mail.ru Group, Группа ВТБ, ВымпелКом, Ростелеком, МТС,
а также Аналитический центр при Правительстве РФ.
К сожалению, российский Закон о
персональных данных не предусматривает возможность принятия кодексов поведения
и их правового статуса, поскольку в принципе не предполагает какой-либо
возможности для саморегулирования в области защиты персональных данных. В этой
связи до внесения изменений в Закон подобного рода кодексы поведения в лучшем
случае могут выполнять лишь поясняющую роль. Соблюдение операторами
подготовленных ассоциациями или иными объединениями кодексов поведения не может
служить аргументом в спорах с Роскомнадзором при осуществлении последним
контрольно-надзорной деятельности.
Глава 2. ПРИНЦИПЫ И УСЛОВИЯ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 5. Принципы обработки
персональных данных
1. Приведенные в данной статье
принципы берут свое начало еще из Руководящих принципов ОЭСР и в той или иной
мере отражены практически во всех международных документах (ст. 5 Конвенции
1981 г., ст. 5 GDPR), что свидетельствует об их устоявшемся и стабильном
характере и возможности их квалификации как ядра законодательства о
персональных данных. Данные принципы адресованы операторам, носят универсальный
характер и в равной мере применимы к любым персональным данным и их категориям,
способам обработки персональных данных, субъектам персональных данных.
2. Принципы,
перечисленные в комментируемой статье, являются непосредственно действующими,
их несоблюдение может рассматриваться в качестве нарушения законодательства о
персональных данных, даже если каких-либо специальных, конкретизирующих их
положений при этом не нарушено. Кроме того, принципы обработки персональных
данных имеют важное значение, выступая в качестве руководящих ориентиров как
при разрешении спорных ситуаций, которые прямо не предусмотрены в
законодательстве, так и при разработке новых норм.
3. Принцип осуществления
обработки на законной и справедливой основе, указанный в ч. 1 комментируемой
статьи, является первоочередным. Все остальные принципы представляют собой его
развитие. Законность обработки в широком смысле означает, что оператор должен
соблюдать все применимые к такой обработке требования законодательства и не
обрабатывать персональные данные в незаконных целях. Законность обработки в
узком смысле означает, что должно иметь место одно из оснований для обработки,
указанных в Законе, поскольку по общему правилу обработка персональных данных
запрещена при отсутствии легитимирующего основания. Таким образом, обработка
персональных данных в каждый конкретный момент должна иметь как минимум одно
правовое основание.
Справедливость обработки
означает необходимость принятия во внимание интересов субъектов персональных
данных и их разумных ожиданий, не злоупотребляя предоставленными оператору
возможностями. Если законность основания предполагает соблюдение буквы закона, то
справедливость - его духа. В качестве возможного нарушения принципа
справедливости обработки можно обозначить ситуацию, при которой определенный
онлайн-сервис на начальных этапах формулирует достаточно сбалансированную
политику обработки персональных данных, а впоследствии по мере роста
пользовательской базы и привыкания пользователей к сервису начинает в
одностороннем порядке постепенно изменять ее в сторону существенного расширения
своих прав по дальнейшему использованию персональных данных пользователей
(например, по их продаже третьим лицам для целей агрессивного маркетинга или
составления профайлов и т.п.). Если бы пользователи знали о них на момент
начала использования сервиса, их решение могло бы быть иным. В данном случае
можно говорить о нарушении разумных ожиданий пользователей, существовавших на
момент принятия ими решения о начале использования сервиса, и тем самым о
нарушении требований справедливости обработки, а также принципа ограничения
цели (см. далее).
Другим примером
нарушения требований справедливости является изложение оператором условий
обработки персональных данных неоднозначным, трудным для восприятия языком с
использованием множества специальных терминов <1>.
--------------------------------
<1> См. п. 39 Преамбулы GDPR; The EU
General Data Protection Regulation (GDPR): A Commentary / ed. by Christopher
Kuner, Lee Bygrave and Christopher Docksey. P. 315.
GDPR дополняет принцип обеспечения
законности и справедливости обработки также требованием обеспечения ее
прозрачности (ст. 5(1)(a)). Представляется, что данный критерий вполне
укладывается в рамки требования справедливости, что подтверждается
комментариями к данной статье <1>. Хотя подобная конкретизация явно не
ухудшила ситуацию, учитывая неопределенный характер понятия
"справедливость".
--------------------------------
<1> См.:
The EU General Data Protection Regulation (GDPR): A Commentary / ed. by
Christopher Kuner, Lee Bygrave and Christopher Docksey. P. 314.
4. Принцип ограничения обработки
конкретной целью (purpose limitation)
имеет своей целью обеспечение прозрачности и предсказуемости процессов
обработки персональных данных для их субъекта и обеспечение возможности
реализации им своих прав по управлению данными. Его можно условно разбить на
три составляющие:
1) цели сбора
персональных данных должны быть конкретно определены и доведены до сведения
субъекта персональных данных на момент сбора; иными словами, достаточно
абстрактно сформулированные цели (вроде "улучшения качества сервиса",
"маркетинговые цели") не укладываются в требования данного принципа,
равно как и предоставление информации post
factum;
2) указанные цели должны
быть законными;
3) последующие действия
по обработке персональных данных не должны быть несовместимыми с целью
обработки, заявленной на момент сбора.
В последнем случае речь
идет не о любом формальном или текстуальном различии между заявленной целью
первоначальной обработки (первичной обработкой) и последующей обработкой для
иной цели (вторичной обработкой), а именно об их несовместимости по существу,
наличие которой должно определяться в каждом конкретном случае отдельно. В
качестве ориентира можно использовать критерии, выработанные в европейской
практике: а) характер взаимосвязи между целями первичной и вторичной обработки;
б) контекст ситуации, при которой был осуществлен сбор, и разумные ожидания
субъекта в связи с возможным последующим использованием таких данных; в)
характер персональных данных и возможные негативные последствия от их
последующей обработки (чем чувствительнее данные, тем меньше возможностей по их
вторичному использованию); г) предпринятые оператором меры предосторожности,
направленные на предотвращение возможных негативных последствий от вторичной
обработки (например, обезличивание, шифрование данных, предоставление доступа к
данным в режиме "только чтение" и т.п.) <1>. Указанные критерии
нашли свое отражение в положениях GDPR (п. 50 Преамбулы, ст. 6(4)).
--------------------------------
<1> См.:
Opinion 03/2013 on Purpose Limitation. Article 29 Data Protection Working
Party, 2 April 2013.
Например, если заявленной целью
видеонаблюдения является обеспечение безопасности, а впоследствии запись
видеонаблюдения используется для привлечения работника к ответственности за
длительное отсутствие на рабочем месте, то налицо несовместимость целей
обработки. Аналогичным образом использование сведений из базы данных оператора
связи, собранных для биллинга, с целью оказания содействия правообладателям в
преследовании нарушителей интеллектуальных прав из числа клиентов данного
оператора связи сопряжено с обработкой данных с несовместимыми целями
<1>. Или другой пример. Субъект заключает договор с оператором, и
последний в рамках исполнения такого договора обрабатывает контактные данные
субъекта в объеме, необходимом для надлежащего исполнения договора. Если
впоследствии оператор передаст такие данные иному лицу в составе набора данных
клиентов такого оператора с целью их аналитики или осуществления получателем
набора данных рекламной деятельности в отношении субъектов, то это будет
вступать в противоречие с принципом совместимости цели обработки для исполнения
заключенного договора с субъектом.
--------------------------------
<1> Данная позиция
поддерживается и в европейской практике. См.: Opinion of Advocate General in Bonnier Audio AB and Others v. Perfect
Communication Sweden AB, ECJ, C-461/10, 19 April 2012, § 60.
В равной степени несовместимыми с
рассматриваемым принципом являются положения политики конфиденциальности или
формы согласия субъекта, в которых цели обработки конкретно не обозначены, а
используются формулировки вроде "оператор вправе осуществлять обработку
персональных данных для любых целей", поскольку в таких случаях требования
комментируемой статьи, касающиеся принципов обработки, выполнены быть не могут.
Принцип ограничения
обработки конкретной целью вступает в существенные противоречия с идеологией,
лежащей в основе использования технологий "больших данных". В ней
главный акцент делается на повторном использовании данных, поскольку все без исключения данные приобретают
потенциальную ценность. При этом такое повторное использование зачастую
предполагает постановку новой цели, отличной от цели первоначального сбора
персональных данных <1>. И если применительно к использованию технологий
"больших данных" для научно-исследовательских и статистических целей
можно в ряде случаев полагаться на специальное основание для обработки
персональных данных при отсутствии согласия субъекта (п. 9 ч. 1 ст. 6 Закона о
персональных данных), то для применения их для коммерческих целей (адресной
рекламы, индивидуализации сервиса, анализа платежеспособности и прочих подобных
целей) необходимо получение явно выраженного согласия субъекта на это.
--------------------------------
<1> См. подробнее:
Савельев А.И. Проблемы применения законодательства о персональных данных в
эпоху "Больших данных" (Big Data) // Право. Журнал Высшей школы
экономики. 2015. N 1. URL: https://publications.hse.ru/articles/150345962.
На момент подготовки настоящего
издания комментария принятый в первом чтении законопроект о внесении изменений
в Федеральный закон "О персональных данных" предусматривает
положение, которое должно облегчить реализацию данного требования. Он
предусматривает дополнение ст. 9 Закона о персональных данных ч. 9, согласно
которой "обработка персональных данных, обрабатываемых оператором на
законных основаниях, может осуществляться им в дополнительных целях в случае
наличия согласия субъекта персональных данных, содержащего информацию об
указанных дополнительных целях, или в иных случаях, указанных в части 1 статьи
6 настоящего Федерального закона". В случае принятия данного положения
легитимировать последующие цели обработки можно будет посредством получения
дополнительного согласия от субъекта. Кроме того, появляется прямое указание на
то, что в качестве законной цели обработки выступает обработка по основаниям,
предусмотренным Законом о персональных данных для обработки без согласия
субъекта (ч. 1 ст. 6). Данное добавление является спорным, поскольку в числе
таких оснований присутствует п. 7 ч. 1 ст. 6 ("законный интерес
оператора"), который в силу своей неопределенности может поставить под
сомнение реализацию принципа ограничения обработки определенной целью в ряде
ситуаций. Тем не менее у субъекта и Роскомнадзора сохраняется возможность
заявления о неприменимости данного основания по причине нарушения прав и законных
интересов субъекта (см. подробнее комментарий к п. 7 ч. 1 ст. 6 Закона о
персональных данных).
5. Принцип
недопустимости объединения баз данных для совместной обработки персональных
данных, собранных с несовместимыми целями, является конкретизацией принципа
ограничения обработки конкретной целью. Данное положение, так же как и в случае
с предыдущим принципом, накладывает существенные ограничения на осуществление
легитимной деятельности посредством инструментария "больших данных",
результаты которой могут влиять на экономическое, социальное или юридическое
положение индивидов. В литературе о "больших данных" подчеркивается,
что "истинная ценность данных - как айсберг в океане. На первый взгляд
видна лишь незначительная их часть, в то время как все остальное сокрыто под
водой. Такая скрытая ценность может быть зачастую получена путем объединения
одного набора данных с другим, на первый взгляд совершенно с ним не связанным,
поскольку при анализе "больших данных" совокупность важнее отдельных
частей, а при перекомпоновке совокупностей нескольких наборов данных получается
еще более удачная совокупность <1> (см. подробнее комментарий к ст. 16
Закона).
--------------------------------
<1> См.:
Майер-Шенбергер В., Кукьер К. Большие данные. Революция, которая изменит то,
как мы живем, работаем и мыслим. М., 2014. С. 111.
Примером возможного нарушения принципа
недопустимости объединения баз данных для совместной обработки персональных
данных, собранных с разными целями, являются инициативы, направленные на
создание так называемого цифрового профиля гражданина.
В паспорте федеральной
программы "Цифровое госуправление" сказано, что к 2024 г. в России
должна быть разработана и сформирована платформа идентификации личности. Она
включает в себя биометрию, "облачную" квалифицированную электронную
подпись и вместе с ними - цифровые профили физических и юридических лиц
<1>. В законопроекте N 747513-7 "О внесении изменений в отдельные
законодательные акты (в части уточнения процедур идентификации и
аутентификации)", подготовленном в июле 2019 г. Комитетом Государственной
Думы по информационной политике, информационным технологиям и связи, цифровой
профиль определен как "совокупность сведений о гражданах и юридических
лицах, содержащихся в информационных системах государственных органов, органов
местного самоуправления и организаций, осуществляющих в соответствии с
федеральными законами отдельные публичные полномочия, а также в единой системе
идентификации и аутентификации" <2>. Данный законопроект стал
предметом критики в том числе со стороны ФСБ, по мнению которой "обработка
информации о россиянах в единой инфраструктуре повысит риски ее незаконного
сбора и распространения" <3>. Тем не менее было принято решение о
создании инфраструктуры цифрового профиля граждан в рамках эксперимента по
повышению качества и связанности данных, содержащихся в государственных
информационных ресурсах <4>. Участниками данного эксперимента являются
ряд государственных органов (Минцифры России, Минэкономразвития России, Минтруд
России, МВД России, ФНС, Росреестр), Пенсионный фонд РФ, ЦБ РФ, Судебный
департамент при Верховном Суде РФ и ряд иных лиц. При этом отмечено, что
граждане, операторы связи, работодатели участвуют в нем на добровольной основе.
Формируемая в рамках данного эксперимента инфраструктура должна позволить
оптимизировать межведомственный обмен данными о гражданах, формируемый при
оказании им разного рода государственных услуг, а также предоставить
возможность отдельным организациям (например, кредитным, страховым,
микрофинансовым) получать доступ к таким сведениям в определенном объеме. Объем
сведений, которые будут выступать предметом обмена в рамках данной системы,
составляет порядка 40 позиций и включает в себя не только паспортные данные, но
и сведения о зарегистрированных автотранспортных средствах и недвижимости,
сведения из электронных трудовых книжек, налоговых деклараций, об актах
гражданского состояния, о судимости, исполнительном производстве в отношении
гражданина и ряд других сведений. Срок действия эксперимента - до 31 декабря
2021 г., однако не исключена возможность его продления.
--------------------------------
<1> См. п. 1.10
Паспорта федерального проекта "Цифровое государственное управление",
утв. президиумом Правительственной комиссии по цифровому развитию,
использованию информационных технологий для улучшения качества жизни и условий
ведения предпринимательской деятельности, протокол от 28 мая 2019 г. N 9.
<2>
https://sozd.duma.gov.ru/bill/747513-7
<3> Касми Э. ФСБ
обрушилась с критикой на идею цифрового профиля россиян. 13 ноября 2019 г. URL:
https://gov.cnews.ru/news/top/2019-11-13_fsb_obrushilas_s_kritikoj.
<4> См.: Постановление
Правительства РФ от 3 июня 2019 г. N 710 "О проведении эксперимента по
повышению качества и связанности данных, содержащихся в государственных
информационных ресурсах".
Очевидно, что аккумулирование такого
рода сведений, собранных с различными целями в контексте разных жизненных
ситуаций, представляет собой риск не только утечек, причем с повышенно
негативными последствиями для гражданина, но и нецелевого использования таких
данных, в частности в коммерческих целях и целях манипулирования гражданами,
поскольку проконтролировать соблюдение получившими доступ к таким данным
организациями принципов обработки персональных данных будет крайне
затруднительно, а эти данные представляют собой значительную коммерческую
ценность.
6. Принципы, приведенные
в ч. 4 и 5 комментируемой статьи, можно обобщенно обозначить как принцип
минимизации данных (data minimization).
Данный принцип предполагает, что сбор и обработка данных должны быть ограничены
лишь теми данными, которые минимально необходимы и достаточны для достижения
заявленных целей обработки. При этом обработка персональных данных, которая не
отвечает целям обработки, запрещена. Данный принцип основан на идее того, что
чем меньше информации будет иметь оператор для реализации своих целей, тем
меньше риски для субъекта персональных данных в случае утечки его данных или
иных неправомерных действий с ними.
В качестве примера
нарушения указанного принципа можно привести следующее дело, в котором
"суд... сделал правильный вывод о том, что для идентификации личности при
приеме на работу достаточно фамилии, имени и отчества, при условии предъявления
лицом документа, удостоверяющего личность, в котором содержатся все необходимые
сведения. Хранение копий паспорта, страниц военного билета, свидетельства о
заключении брака, свидетельства о рождении ребенка на рабочем месте превышает
объем обрабатываемых персональных данных работника... нарушает права и свободы
гражданина, снижает уровень прав и гарантий работника, противоречит
федеральному законодательству. При проведении проверки управление сделало
правильный вывод о том, что банк производит обработку избыточных персональных
данных по сравнению с теми, которые определены к заявленным целям их обработки,
что является нарушением части 5 статьи 5 Закона N 152-ФЗ" (Постановление
ФАС Северо-Кавказского округа от 21 апреля 2014 г. по делу N А53-13327/2013).
Аналогичным образом было квалифицировано указание в анкете работника полей для
указания судимости такого работника или его близких родственников при
отсутствии положения законодательства, обязывающего осуществлять сбор таких
данных (Постановление Арбитражного суда Поволжского округа от 16 апреля 2019 г.
N А55-21355/2018). Схожий подход применяется судами не только в трудовых
отношениях, но и в случаях включения в анкету на выдачу кредита сведений о
родственниках заемщика (Постановление Арбитражного суда Уральского округа от 22
декабря 2016 г. по делу N А76-5164/2016).
В другом деле суд
признал нарушение указанного принципа со стороны компании
"Ростелеком", предъявлявшей требование о предоставлении паспортных
данных и адреса регистрации при получении активационного кода для Единого
портала государственных и муниципальных услуг, поскольку "общество не сослалось
на соответствующие нормы права, обязывающие его при выдаче кода активации не
только устанавливать личность лиц, обратившихся за кодом активации, но и
обрабатывать их персональные данные, такие как паспортные данные (серия, номер,
кем выдан, дата выдачи) и адрес регистрации (адрес места жительства)" (Постановление
Четырнадцатого арбитражного апелляционного суда от 25 апреля 2013 г. по делу N
А44-7781/2012).
Вместе с тем обработка
работодателем персональных данных работника и его близких родственников в
объеме, предусмотренном унифицированными формами, утвержденными Госкомстатом
РФ, является допустимой и не нарушающей рассматриваемый принцип <1>.
Однако если в такой форме появляются дополнительные сведения, прямо ею не
предусмотренные, то это составляет нарушение. Например, Роскомнадзор
констатировал нарушение в случае, когда в унифицированной форме Т-2 было
обнаружено сделанное от руки указание телефона близкого родственника
(Апелляционное определение Московского городского суда от 4 июня 2018 г. по
делу N 33а-3957/2018).
--------------------------------
<1> См.: Письмо
Минкомсвязи России от 28 августа 2020 г. N ЛБ-С-074-24059 "О методических
рекомендациях" (вместе с Методическими рекомендациями для
общеобразовательных организаций по вопросам обработки персональных данных) (СПС
"КонсультантПлюс"). См. также п. 2 Разъяснений Роскомнадзора по
вопросам обработки персональных данных работников, соискателей на замещение
вакантных должностей, а также лиц, находящихся в кадровом резерве, от 14
декабря 2012 г. URL: https://rkn.gov.ru/news/rsoc/news17877/.
Представляется, что не будет соответствовать
данному принципу интернет-сервис или мобильное приложение, которое запрашивает
или фактически получает доступ к большому количеству данных, хранимых на
устройстве пользователя, если это, безусловно, не является необходимым для его
нормального функционирования.
Напротив, если
какие-либо правовые акты прямо предусматривают необходимость получения
оператором определенных сведений о субъекте, их сбор и последующая обработка не
могут считаться избыточными. Так, согласно позиции Верховного Суда РФ, поскольку
требованиями Центрального банка РФ предусмотрено, что возврат денег покупателю
из кассы организации на основании письменного заявления покупателя
осуществляется при условии указания в расходном кассовом ордене фамилии, имени,
отчества и данных документа, удостоверяющего личность, истребование указанных
персональных данных продавцом от покупателя избыточным не является и не
противоречит требованиям законодательства (Постановление Верховного Суда РФ от
15 июня 2015 г. N 25-АД15-3).
Субъект персональных
данных, который обнаружил, что оператор осуществляет обработку избыточных
персональных данных, вправе требовать блокирования или уничтожения таких
данных, а также реализовывать иные средства защиты (см. комментарий к ст. 14
Закона).
7. Согласно ч. 6
комментируемой статьи, обрабатываемые персональные данные должны быть точными,
достаточными, а в необходимых случаях - актуальными. Требование точности
предполагает, что собранные и обрабатываемые данные должны соответствовать
действительности и не должны вводить в заблуждение. Требование достаточности,
указанное в комментируемой норме, выглядит несколько странно, поскольку
пересекается с принципом минимизации данных. Представляется, что термин
"достаточный" является следствием неудачной попытки перевода слова
"неполный" (incomplete),
фигурирующего в схожем принципе, который был в свое время закреплен в ст.
6(1)(d) Директивы 1995 г. <1>. В данном случае требование достаточности
данных означает, что соответствующие действия и решения, которые принимаются
оператором по результатам обработки, не должны приниматься на основании
неполной информации.
--------------------------------
<1> См.: Every
reasonable step must be taken to ensure that data which are inaccurate or
incomplete, having regard to the purposes for which they were collected or for
which they are further processed, are erased or rectified. Примечательно, что
GDPR уже не упоминает данный термин в аналогичном принципе, предусмотренном в ст.
5(1)(d).
Неактуальность персональных данных
является одним из возможных условий реализации права быть забытым,
закрепленного в ст. 10.3 Закона об информации, согласно которой гражданин
вправе требовать от оператора поисковой системы прекращения выдачи ссылок,
позволяющих получить доступ к информации о таком гражданине.
Следует отметить, что
данный принцип не означает, что оператор обязан по собственной инициативе, в
интрузивной форме обращаться к субъекту с целью проверки точности и
актуальности обрабатываемых им персональных данных. Скорее он предполагает
предоставление субъекту возможности уточнения таких данных, в том числе
посредством специального функционала интерфейса онлайн-сервиса (см. комментарий
к ст. 14 Закона).
По мере увеличения
масштабов использования систем алгоритмического принятия решений, затрагивающих
права и законные интересы граждан (см. комментарий к ст. 16 Закона), точность и
актуальность обрабатываемых данных будет иметь ключевое значение для принятия
обоснованных и законных решений. Действующее российское законодательство
предусматривает ряд механизмов, наделяющих граждан правом требовать
корректировки обрабатываемых данных. Так, согласно ч. 3 ст. 8 Федерального
закона от 30 декабря 2004 г. N 218-ФЗ "О кредитных историях"
<1> субъект кредитной истории вправе полностью или частично оспорить
информацию, содержащуюся в его кредитной истории, подав в бюро кредитных
историй, в котором хранится указанная кредитная история, заявление о внесении
изменений и (или) дополнений в эту кредитную историю. При этом бюро кредитных
историй в течение 30 дней со дня получения заявления, указанного в ч. 3
настоящей статьи, обязано, за исключением случаев, определенных данным Законом,
провести дополнительную проверку информации, входящей в состав кредитной
истории, запросив ее у источника формирования кредитной истории. В случае если
субъект кредитной истории указал в заявлении о наличии у него обоснованных
причин, в том числе обстоятельств, угрожающих причинением вреда жизни или
здоровью, для получения соответствующей информации в более короткий срок, бюро
кредитных историй проводит проверку в указанный им срок. На время проведения
такой проверки в кредитной истории делается соответствующая пометка.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
Источник формирования кредитной
истории обязан в течение 14 дней со дня получения запроса бюро кредитных
историй, а в случае наличия у субъекта кредитной истории обоснованных причин
для получения такой информации в более короткий срок - в срок, указанный бюро
кредитных историй, представить в письменной форме в бюро кредитных историй
информацию, подтверждающую достоверность ранее переданных сведений или
правомерность запроса кредитного отчета, оспариваемые субъектом кредитных
историй, либо исправить его кредитную историю в оспариваемой части, направив
соответствующие достоверные сведения или просьбу об удалении неправомерного
запроса в бюро кредитных историй. В случае если в течение установленного срока бюро
кредитных историй не получило ответ на запрос, источник формирования кредитной
истории несет ответственность, установленную законодательством Российской
Федерации (ч. 4 - 4.2 ст. 8 указанного Закона). Так, размещение недостоверной
информации в бюро кредитных историй, которое создало для гражданина препятствия
для получения кредитов в иных банках, может являться основанием для
предъявления требования о компенсации морального вреда (Апелляционное определение
Самарского областного суда от 19 декабря 2018 г. по делу N 33-15523/2018;
Апелляционное определение Кемеровского областного суда от 27 августа 2015 г. по
делу N 33-8786/2015).
В связи с тем что данные
кредитной истории являются одним из ключевых параметров, учитываемых при
решении вопроса о выдаче кредита, причем нередко они анализируются
автоматизированным способом, возможность получения кредита ставится напрямую в
зависимость от качества таких данных и от активности самого гражданина в
реализации своих прав на получение сведений о содержании кредитной истории и ее
оперативную корректировку при необходимости. Аналогичная ситуация будет
складываться в обозримом будущем и в ряде иных сфер (трудоустройство, выезд за
рубеж и т.п.), что обусловливает необходимость активного вовлечения гражданина
в процессы обработки его данных.
8. Последним принципом,
упомянутым в комментируемой статье, является принцип ограничения хранения
данных (storage limitation). Согласно
данному принципу персональные данные должны быть уничтожены или обезличены по
достижении целей обработки. Данный принцип имеет в своей основе достаточно
очевидную установку: "Если данные существуют, значит, они уязвимы,
следовательно, единственным надежным способом устранить такую уязвимость
является прекращение их существования" <1>. Тем самым указанный
принцип является важным инструментом обеспечения контроля субъектов над своими
персональными данными.
--------------------------------
<1> См.: Bernal P.
Internet Privacy Rights. Cambridge University Press, 2014. P. 177.
Исключениями из требований данного
принципа являются ситуации, когда законодательство или договор с участием субъекта
персональных данных прямо предусматривает более длительный срок их хранения.
Так, например, в случае увольнения работника формально отпадает основание для
дальнейшей обработки его персональных данных, однако работодатель должен
продолжать обрабатывать определенные данные о работнике в силу требований
публичного права. Так, налоговым законодательством установлена обязанность
налоговых агентов (работодателей) в течение 5 лет обеспечивать сохранность
документов, необходимых для исчисления, удержания и перечисления налога (подп.
5 п. 3 ст. 24 Налогового кодекса РФ). Бухгалтерские документы подлежат хранению
в течение не менее чем пяти лет (ст. 29 Федерального закона от 6 декабря 2011
г. N 402-ФЗ "О бухгалтерском учете" <1>). Впоследствии личные
дела работников подлежат архивному хранению, на которое законодательство о
персональных данных уже не распространяется (см. комментарий к ст. 1 Закона).
Обработка оператором персональных данных уволенных работников свыше 5 лет
является нарушением законодательства о персональных данных (Постановление
Арбитражного суда Московского округа от 15 января 2018 г. по делу N
А40-81171/17-149-793). Помимо прочего, такого рода нарушение может выявляться в
ходе проверки Роскомнадзора при визуальном осмотре СУБД, используемой кадровой
службой (Апелляционное определение Московского городского суда от 4 июня 2018
г. по делу N 33а-3957/2018).
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
В тех случаях, когда обработка
конкретных персональных данных предусматривает несколько целей, обязанность по
их уничтожению или обезличиванию возникает с момента достижения последней из
них. Таким образом, указанный принцип не позволяет осуществлять обработку
персональных данных бесконечно или определять ее сроки исключительно по
усмотрению оператора, хотя последний обладает значительной степенью гибкости
при определении целей обработки и момента их достижения.
Такого рода гибкость
находит свое отражение при определении целей обработки данных о гражданах,
содержащихся в банках данных органов МВД. Так, в соответствии со ст. 17
Федерального закона от 7 февраля 2011 г. N 3-ФЗ "О полиции" <1>
полиция имеет право обрабатывать данные о гражданах, необходимые для выполнения
возложенных на нее обязанностей, и вносить в банки данных информацию о лицах,
осужденных за совершение преступления. В соответствии с п. 40, 41 Положения о
едином порядке регистрации уголовных дел и учета преступлений, утв. Приказом
Генпрокуратуры России N 39, МВД России N 1070, МЧС РФ N 1021, Минюста России N
253, ФСБ России N 780, Минэкономразвития России N 353, ФСКН России N 399 от 29
декабря 2005 г. "О едином учете преступлений" <2>, учету
подлежат все лица, в отношении которых вынесено постановление об отказе в
возбуждении уголовного дела по нереабилитирующим основаниям, о прекращении
уголовного дела или уголовного преследования по нереабилитирующим основаниям,
уголовное дело направлено прокурором в суд с обвинительным заключением (актом)
либо вынесен обвинительный приговор по уголовному делу частного обвинения.
--------------------------------
<1> См.: Там же.
<2> См.: СПС
"КонсультантПлюс".
В одном из дел гражданин обратился к
МВД с требованием об удалении сведений о факте уголовного преследования в
отношении него в связи с тем, что уголовное дело было прекращено в связи с
примирением сторон, а также что с данного момента прошло более 17 лет. Свои
требования он мотивировал не только тем, что цель обработки данных была
достигнута и они подлежат удалению, но и тем, что данные сведения создают ему
существенные сложности при трудоустройстве. В удовлетворении данных требований
судом было отказано со ссылкой на то, что цели обработки таких данных достигнуты
не были, поскольку "необходимость обработки подобных персональных данных
граждан, связанных с фактами уголовного преследования, обусловлена положениями ст.
65 Трудового кодекса РФ и корреспондирующей ст. 331 этого же Кодекса, абз. 3 ч.
2 которой предусмотрено, что к педагогической деятельности не допускаются лица,
подвергавшиеся уголовному преследованию (за исключением лиц, уголовное
преследование в отношении которых прекращено по реабилитирующим основаниям) за
преступления против жизни и здоровья, свободы, чести и достоинства личности (за
исключением незаконной госпитализации в медицинскую организацию, оказывающую
психиатрическую помощь в стационарных условиях, и клеветы), половой
неприкосновенности и половой свободы личности, против семьи и
несовершеннолетних, здоровья населения и общественной нравственности, основ
конституционного строя и безопасности государства, мира и безопасности
человечества, а также против общественной безопасности, за исключением случаев,
предусмотренных ч. 3 данной статьи" (Апелляционное определение
Нижегородского областного суда от 22 ноября 2017 г. по делу N 33а-13873/2017).
Данного подхода придерживаются и иные суды (Апелляционное определение
Московского городского суда от 4 сентября 2018 г. по делу N 33-29818/2018;
Апелляционное определение Санкт-Петербургского городского суда от 10 июля 2019
г. по делу N 2а-5092/2018; Апелляционное определение Красноярского краевого
суда от 14 февраля 2018 г. по делу N 33а-1948/2018).
Схожая ситуация
наблюдается и применительно к хранению сведений о совершении лицом
административного правонарушения в информационной системе ГИБДД по истечении
сроков, в течение которых лицо считается подвергнутым административному наказанию
(ст. 4.6 КоАП РФ). Суд указал на правомерность такой обработки, сославшись на
необходимость использования указанных данных для целей "учета показателей
состояния безопасности дорожного движения" (Апелляционное определение
Верховного суда Республики Башкортостан от 30 октября 2019 г. по делу N
33а-21322/2019; Апелляционное определение Свердловского областного суда от 29
июля 2015 г. по делу N 33-11645/2015). Правда, в этой связи непонятно, почему
указанные цели, статистические по своей природе, не могут быть достигнуты при
обезличивании соответствующих данных, учитывая, что именно на это ориентирует
сам Закон о персональных данных в п. 9 ч. 1 ст. 6.
9. Следует отметить, что
уничтожение и обезличивание персональных данных являются способами обработки, в
связи с чем должны соответствовать установленным правилам, касающимся обработки
персональных данных, в том числе принципам, указанным в комментируемой статье.
Положения, относящиеся к
комментируемому принципу, не в полной мере гармонизированы с иными нормами Закона
о персональных данных. Так, в соответствии с ч. 4 ст. 21 в случае достижения
цели обработки персональных данных оператор обязан прекратить обработку
персональных данных или обеспечить ее прекращение (если обработка персональных
данных осуществляется другим лицом, действующим по поручению оператора) и
уничтожить персональные данные или обеспечить их уничтожение (если обработка
персональных данных осуществляется другим лицом, действующим по поручению
оператора) в срок, не превышающий 30 дней с даты достижения цели обработки
персональных данных, если иное не предусмотрено договором, стороной которого,
выгодоприобретателем или поручителем по которому является субъект персональных
данных, иным соглашением между оператором и субъектом персональных данных либо
если оператор не вправе осуществлять обработку персональных данных без согласия
субъекта персональных данных на основаниях, предусмотренных настоящим
Федеральным законом или другими федеральными законами. Данное положение не
предусматривает возможности обезличивания персональных данных, а только их
уничтожение. Представляется, что нормы ч. 7 ст. 5 Закона о персональных данных
имеют приоритет, поскольку закрепляют собой принципы - положения, которые
должны определять содержание и смысл всех остальных норм законодательства о
персональных данных.
10. Принцип ограничения
хранения данных, так же как и принцип ограничения обработки определенной целью,
находится в прямом противоречии с идеологией "больших данных",
которая стимулирует организации собирать как можно больше информации. Чем
больше данных у компании, тем больше у нее простора для применения технологий
"больших данных" в целях выявления разного рода закономерностей,
которые могут иметь значение для принятия бизнес-решений, тем самым являясь еще
одной точкой напряжения между законодательством о персональных данных и новыми
технологиями. По всей видимости, примирить их может лишь развитие и
совершенствование технологий обезличивания данных.
Статья 6. Условия обработки
персональных данных
Комментарий к статье 6
1. Часть первая комментируемой статьи
еще раз подчеркивает, что принципы, указанные в ст. 5, носят характер
непосредственного правового предписания, а также конкретизирует перечень
оснований, которые придают обработке персональных данных легитимный статус. Все
приведенные в комментируемой статье основания касаются "обычных"
персональных данных, основания для обработки специальных категорий персональных
данных и биометрических данных содержатся в ст. 10 и 11 Закона о персональных
данных соответственно.
2. Согласие субъекта
персональных данных является одним из наиболее часто используемых оснований для
легитимации процессов обработки персональных данных, однако оно является при
этом одним из наиболее хрупких как с точки зрения предъявляемых к нему
требований, так и с точки зрения возможности его отзыва, что обусловило
существование еще ряда дополнительных оснований для обработки при отсутствии
такого согласия. Правда, с принятием Федерального закона от 30 декабря 2020 г.
N 519-ФЗ, который ввел особый правовой режим для персональных данных, разрешенных
субъектом для распространения, альтернатив согласию как основному
легитимирующему основанию для обработки таких данных практически нет. Подробно
данное основание будет рассмотрено в комментарии к ст. 9 и 10.1 Закона.
3. Пункт
2 ч. 1 комментируемой статьи предусматривает, по сути, два основания для
обработки персональных данных при отсутствии согласия субъекта: 1) когда это
необходимо для целей, предусмотренных международным договором, и 2) когда это
необходимо для целей, предусмотренных законодательством РФ, в том числе
"для осуществления и выполнения возложенных законодательством Российской
Федерации на оператора функций, полномочий и обязанностей". В тех случаях,
когда речь идет о наличии международного договора, для применения
рассматриваемого основания не требуется прямого упоминания в нем вопросов
обработки персональных данных, достаточно установления факта необходимости их
обработки для достижения целей сотрудничества, ради которых заключалось
соответствующее соглашение. На это прямо указывает использование законодателем
формулировки "для целей, предусмотренных международным договором", а
не "в случаях, предусмотренных международным договором". В качестве
примера можно привести ряд международных договоров в сфере авиаперевозок,
стороной которых является Российская Федерация <1>. Они не содержат
положений об обмене персональными данными, однако такой обмен предполагается в
силу необходимости оформления документов, сопровождающих перевозку, а также
обеспечения безопасности полетов.
--------------------------------
<1> Чикагская конвенция
(Конвенция о международной гражданской авиации заключена в г. Чикаго 7 декабря
1944 г., вступила в силу для Российской Федерации 16 августа 2005 г.),
Варшавская конвенция (Конвенция для унификации некоторых правил, касающихся
международных воздушных перевозок заключена в г. Варшаве 12 октября 1929 г.,
вступила в силу для СССР 13 февраля 1933 г.), Гвадалахарская конвенция
(Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых
правил, касающихся международных воздушных перевозок, осуществляемых лицом, не
являющимся перевозчиком по договору заключена в г. Гвадалахаре 18 сентября 1961
г.).
Обработка персональных данных при
отсутствии согласия субъекта персональных данных может осуществляться и в
случае, когда на то есть прямое указание в законодательстве РФ. При этом данная
норма оперирует термином "законодательство Российской Федерации", тем
самым допуская наличие соответствующих положений не только в федеральных
законах, но и в постановлениях Правительства РФ, актах органов государственной власти
РФ и субъектов РФ, а также органов местного самоуправления. При этом требования
законодательства иных государств, даже если они могут быть применимы к
оператору в силу ведения им деятельности на территории таких государств или в
силу экстерриториального характера таких актов, не охватываются рассматриваемым
основанием. Аналогичным образом не являются обязательными для российских
операторов запросы иностранных государственных органов о предоставлении
персональных данных, за исключением случаев, когда такие запросы могут
направляться в соответствии с действующими международными договорами РФ. Данный
подход вытекает из принципа национального суверенитета и является типичным для
любого государства. В качестве примера можно привести положения GDPR, согласно
которым любое решение иностранного суда или государственного органа, которое
обязывает оператора или обработчика предоставить персональные данные, является
действительным только в рамках существующих международных соглашений,
существующих между таким иностранным государством и страной - членом ЕС, на
территории которой находится такой оператор или обработчик (ст. 48 GDPR).
Данный подход последовательно отражен и в позиции европейских регуляторов,
согласно которой требования американских государственных органов, адресованные
европейским компаниям о предоставлении информации в рамках US Clarifying
Overseas Use of Data Act 2018 (CLOUD Act), являются юридически обязательными
для них только при наличии международного договора <1>.
--------------------------------
<1> См.: EDPB-EDPS
Joint Response to the LIBE Committee on the impact of the US Cloud Act on the
European legal framework for personal data protection, 10 July 2019.
В качестве наиболее релевантных
примеров международных соглашений, в рамках которых требования иностранных
судов или государственных органов о предоставлении документов, содержащих
персональные данные, могут являться обязательными для российских операторов,
можно указать соглашения о взаимной правовой помощи, именуемые иногда в
англоязычной практике как Mutual Legal
Assistance Treaties (MLAT). Такое соглашение существует между США и Россией
в части взаимной помощи при предотвращении преступлений, расследовании
уголовных дел, а также проведении иных официальных процедур, имеющих отношение
к уголовным делам <1>. В части судопроизводства по гражданским спорам
имеет значение Гаагская конвенция о предоставлении доказательств за рубеж по
гражданским и коммерческим делам 1970 г. (The Convention on the Taking of
Evidence Abroad in Civil or Commercial Matters), членами которой являются
Российская Федерация, США, Великобритания, Китай, ряд европейских, азиатских и
латиноамериканских стран <2>. Подобные международные договоры
предусматривают особый порядок взаимодействия между государственными органами
стран-участниц, который подлежит соблюдению. Иными словами, попытки получить
документы или иные доказательства в обход установленных процедур даже при
наличии международного договора между Россией и соответствующей страной не
будут охватываться легитимирующим основанием для обработки персональных данных
без согласия субъекта, предусмотренным в комментируемом положении Закона о
персональных данных. Данное замечание особенно важно, поскольку суды США не
считают себя связанными порядком, установленным в Гаагской конвенции 1970 г., и
исходят из приоритета собственного процессуального законодательства, что было прямо
одобрено Верховным судом США (Societe Rationale Industrielle Areospatiale v.
U.S. District Court, 482 U.S. 522, 107 S. Ct. 2542, 96 L. Ed. 2d 461 (1987)).
--------------------------------
<1> См.: Договор
между Российской Федерацией и Соединенными Штатами Америки о взаимной правовой
помощи по уголовным делам 1999 г.
<2> Общее
количество участников Конвенции на момент подготовки данного издания
комментария составляло 63 государства. С полным перечнем можно ознакомиться по
ссылке: https://www.hcch.net/en/instruments/conventions/status-table/?cid=82.
В качестве примера предусмотренных
законодательством РФ оснований для обработки оператором персональных данных без
согласия субъекта во исполнение соответствующих требований можно привести
положения п. 4 ст. 7 Федерального закона от 7 августа 2001 г. N 115-ФЗ "О
противодействии легализации (отмыванию) доходов, полученных преступным путем, и
финансированию терроризма" <1>, согласно которому документы,
содержащие сведения, указанные в настоящей статье, и сведения, необходимые для
идентификации личности, подлежат хранению не менее 5 лет со дня прекращения
отношений с клиентом. К подобного рода сведениям Закон относит: Ф.И.О.,
гражданство, дату рождения, реквизиты документа, удостоверяющего личность,
данные миграционной карты, документа, подтверждающего право иностранного
гражданина или лица без гражданства на пребывание (проживание) в Российской
Федерации, адрес места жительства (регистрации) или места пребывания, ИНН (при
его наличии). Также требованиями ч. 1 и 2 ст. 29 Федерального закона от 6
декабря 2011 г. N 402-ФЗ "О бухгалтерском учете" и подп. 8 п. 1 ст.
23 Налогового кодекса РФ установлены сроки хранения и обеспечения сохранности
документов бухгалтерского и налогового учета, допускающих наличие в них
персональных данных, составляющие 5 лет.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
Сам по себе факт наличия
соответствующего легитимирующего основания в каком-либо нормативно-правовом
акте, составляющем законодательство РФ, не означает, что предусмотренная им
обработка автоматически соответствует требованиям Закона о персональных данных.
Принципы обработки персональных данных, закрепленные в ст. 5 Закона, должны
соблюдаться в любом случае, равно как и иные положения Закона о персональных
данных. В противном случае его действие в отношении государственного сектора
фактически сведется к фикции, поскольку государство в лице соответствующего
органа всегда сможет создать для себя максимально благоприятные условия для
обработки персональных данных граждан, не руководствуясь ни интересами
последних, ни интересами общества и бизнеса. К сожалению, как показывает
практика принятия и применения региональных законов в рамках борьбы с
коронавирусной инфекцией, данные опасения не являются беспочвенными. Органами
государственной власти субъектов РФ принимались акты, предусматривающие сбор
избыточных данных о гражданах с непрозрачными процессами обработки и
неопределенными сроками их удаления.
4. Обработка
персональных данных без согласия субъекта допустима в связи с участием лица в
конституционном, гражданском, административном, уголовном судопроизводстве,
судопроизводстве в арбитражных судах.
Таким образом,
представление в суд разного рода документов, содержащих персональные данные
граждан, в качестве доказательств возможно без получения на то их согласия.
Например, передача сведений об ответчике (фамилии, имени, отчестве и месте его
регистрации) представителю юридического лица для подготовки искового заявления
в суд о взыскании с истца задолженности подпадает под положения,
предусмотренные п. 3 ч. 1 ст. 6 Закона о персональных данных (Определение
Третьего кассационного суда общей юрисдикции от 3 февраля 2020 г. N
88-1304/2020).
Вместе с тем это не означает,
что рассматриваемое основание освобождает лицо от соблюдения требований закона
при получении таких данных. В соответствии с требованиями процессуального
законодательства доказательства, полученные с нарушениями требований закона,
являются недопустимыми (ч. 3 ст. 26.2 КоАП РФ, ч. 3 ст. 64 АПК РФ, ч. 2 ст. 55
ГПК РФ, ч. 1 ст. 75 УПК РФ). Таким образом, получение документов с
персональными данными при отсутствии на то законного основания означает
недопустимость их в качестве доказательств (Апелляционное определение
Свердловского областного суда от 14 апреля 2016 г. по делу N 33-6362/2016).
Например, если документы, содержащие персональные данные, были получены в
результате использования услуг "пробива", то есть незаконного
получения сведений из баз данных государственных органов или организаций, такие
документы должны признаваться недопустимыми доказательствами.
Если речь идет о
приобщении в качестве доказательства материалов переписки, аудио- и
видеозаписей, в которых фигурируют третьи лица, то они, по общему правилу,
могут быть признаны допустимыми доказательствами, если приобщающая их сторона
являлась участником соответствующей переписки или разговора и по своему
характеру они не могут быть отнесены к частной жизни (Определения Судебной
коллегии по гражданским делам Верховного Суда РФ от 14 апреля 2015 г. N
33-КГ15-6 и от 6 декабря 2016 г. N 35-КГ16-18. См. также комментарий к ст. 2
Закона). В тех случаях, когда в таких материалах фигурируют третьи лица, не
являющиеся участниками процесса, суд может признать соответствующие
доказательства недопустимыми. Как отметил один из судов, если ответчик не
раскрыл информацию о том, где, когда, при каких обстоятельствах она сделана,
при прослушивании аудиозаписи усматривается, что на ней содержатся голоса не
только истца и ответчика (предположительно), но и иных лиц, которые в
правоотношениях со сторонами не состоят, согласия на аудиозапись разговора
стороны не давали, суд может признать аудиозапись недопустимым доказательством
(Апелляционное определение Санкт-Петербургского городского суда от 29 января
2020 г. N 33-3572/2020 по делу N 2-5268/2019). В другом деле суд признал
недопустимым доказательством электронную переписку, поскольку "ответчиком
не представлены в суд первой инстанции сведения о получении согласия граждан
Сидоровой А.А., Исаева Д.И. на получение ответчиком сведений об их частной
жизни и доступа к личной переписке, неприкосновенность и тайна которых
охраняется в силу норм ст. 23 Конституции Российской Федерации" (Постановление
Девятого арбитражного апелляционного суда от 4 июня 2019 г. по делу N
А40-122683/18).
Следует отметить, что
комментируемое положение касается обработки персональных данных только в связи
с участием лица в судопроизводстве, осуществляемом российскими судами. На это
указывает содержащийся в обновленной редакции указанного положения закрытый
перечень видов судопроизводства, воспроизводящий положения Федерального
конституционного закона от 31 декабря 1996 г. N 1-ФКЗ "О судебной системе
Российской Федерации" <1> (ч.
3 ст. 1). Таким образом, лицо, получившее запрос от иностранного суда с
требованием представить доказательства, содержащие персональные данные, имеет
возможность отказать в его исполнении при отсутствии согласия субъектов
персональных данных, поскольку комментируемое положение в новой редакции
легитимировать обработку в виде передачи таких данных третьему лицу, коим
является иностранный суд, более не может <2>. В свою очередь, если такие
субъекты возражают против передачи их данных в иностранный суд, иное возможное
основание для обработки без согласия субъекта, предусмотренное п. 7 ч. 1 ст. 6
Закона о персональных данных, также не может быть использовано по причине
нарушения такой обработкой прав и законных интересов гражданина.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
<2> Предыдущая
редакция данной нормы, которая содержала фразу "для осуществления
правосудия", не позволяла сделать столь однозначный вывод.
Приведенные соображения релевантны
только применительно к иностранным государственным
судам. Если же речь идет о международном коммерческом арбитраже, то передача
персональных данных в рамках производства, осуществляемого в таком арбитраже,
может быть осуществлена без согласия субъекта на основании п. 2 ч. 1 ст. 6
Закона о персональных данных ("для целей, предусмотренных международным
договором") в случаях, когда применима Конвенция ООН о признании и
приведении в исполнение иностранных арбитражных решений 1958 г., стороной
которой является Россия.
Обработка персональных
данных, осуществляемая при предоставлении доступа к информации о деятельности
судов в порядке, установленном Федеральным законом от 22 декабря 2008 г. N
262-ФЗ "Об обеспечении доступа к информации о деятельности судов в
Российской Федерации", не охватывается действием Закона о персональных
данных (см. комментарий к ст. 1 Закона).
5. Пункт 3.1
комментируемой статьи предусматривает отдельное основание для обработки
персональных данных без согласия субъекта для случаев, когда она необходима
"для исполнения судебного акта, акта другого органа или должностного лица,
подлежащих исполнению в соответствии с законодательством Российской Федерации
об исполнительном производстве". Данное основание применимо для обработки
персональных данных не только непосредственно самими судебными приставами, но и
иными органами и лицами, которые вовлечены в процесс исполнительного
производства, в частности работодателями должника, кредитными организациями и
другими лицами, которые обязаны исполнять законные постановления судебных
приставов.
Кроме того, следует
отметить п. 2 ч. 1 ст. 64 Федерального закона от 2 октября 2007 г. N 229-ФЗ
"Об исполнительном производстве", наделяющий судебного пристава
правом "запрашивать необходимые сведения, в том числе персональные данные,
у физических лиц, организаций и органов, находящихся на территории Российской
Федерации, а также на территориях иностранных государств, в порядке,
установленном международным договором Российской Федерации, получать от них
объяснения, информацию, справки". Вместе с тем судебная практика нередко
толкует данное право судебного пристава ограничительно и отдает приоритет специальным
положениям законодательства, регламентирующим порядок предоставления отдельных
видов информации. Например, один из судов пришел к выводу, что
"законодатель не включил в число прав судебных приставов-исполнителей
возможность запрашивать информацию об абонентах у операторов связи, так как не
указал в ФЗ "Об исполнительном производстве" те необходимые условия,
при которых в соответствии со ст. 6 ФЗ "О персональных данных"
Федеральный закон может быть основанием для обработки персональных данных без
согласия субъекта персональных данных" (Постановление Девятого
арбитражного апелляционного суда от 2 октября 2017 г. по делу N А40-38929/17).
Запросы приставов о
получении сведений о регистрации актов гражданского состояния также
признавались судами неправомерными (Апелляционное определение Московского
городского суда от 24 ноября 2020 г. по делу N 33а-5626/2020) со ссылкой на
позицию Минюста России, выраженную в Письме от 12 апреля 2019 г. N 12-47778/19,
согласно которой сведения о государственной регистрации актов гражданского
состояния по запросам ФССП России (ее территориальных органов) в соответствии с
п. 3 ст. 13.2 Федерального закона от 15 ноября 1997 г. N 143-ФЗ "Об актах
гражданского состояния" <1> могут предоставляться лишь при
производстве дознания в рамках расследования конкретного уголовного дела.
Однако следует отметить, что Федеральным законом от 1 октября 2019 г. N 328-ФЗ
"О службе в органах принудительного исполнения Российской Федерации и
внесении изменений в отдельные законодательные акты Российской Федерации"
<2> в данную норму были внесены изменения, в рамках которых судебные
приставы прямо указаны в числе органов, обладающих правом запрашивать сведения
о регистрации актов гражданского состояния. В связи с этим подобную позицию
суда можно признать спорной.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
<2> См.: Там же.
6. Обработка персональных данных без
согласия субъекта может осуществляться для целей осуществления полномочий
государственных и муниципальных органов, в том числе для предоставления
государственной или муниципальной услуги в соответствии с Федеральным законом
от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных
и муниципальных услуг" <1>, для обеспечения предоставления такой
услуги, для регистрации субъекта персональных данных на едином портале
государственных и муниципальных услуг. В этой связи требование от гражданина
дополнительного предоставления согласия на обработку его персональных данных
является неправомерным (Постановление Четырнадцатого арбитражного
апелляционного суда от 25 апреля 2013 г. по делу N А44-7781/2012; Апелляционное
определение Костромского областного суда от 16 мая 2012 г. по делу N 33-703А).
Данная позиция была подтверждена и Верховным Судом РФ, дополнительно указавшим,
что иной подход противоречил бы принципу добровольности согласия (Кассационное определение
Судебной коллегии по административным делам Верховного Суда РФ от 22 января
2020 г. N 5-КА19-56). Таким образом, в свете сформулированной Верховным Судом
РФ позиции государственные органы не должны ориентироваться на ранее
существовавшую практику нижестоящих судов, признававшую законным отказ в
предоставлении государственной услуги по причине непредоставления гражданином
согласия на обработку его персональных данных по установленной форме (см.,
например, Апелляционное определение Московского городского суда от 6 июля 2017
г. по делу N 33а-8/2017).
--------------------------------
<1> См.: Там же.
Следует отметить стремление отдельных
государственных органов расширительно толковать положения данного пункта и
применять его к ситуациям, не связанным с оказанием государственных или
муниципальных услуг. Так, в Минцифры России выразили мнение, что персональные
данные работников, переведенных на дистанционный режим работы, могут быть
переданы в мэрию Москвы в рамках требований Указа Мэра Москвы от 6 октября 2020
г. N 97-УМ <1> без согласия работника "на основании пункта 4 части 1
статьи 6 Закона "О персональных данных", с учетом Указа Президента от
11 мая 2020 года N 316 "Об определении порядка продления действия мер по
обеспечению санитарно-эпидемиологического благополучия населения в субъектах РФ
в связи с распространением новой коронавирусной инфекции" и статьи 11
Закона "О защите населения и территорий от ЧС" от 21 декабря 1994
года" <2>.
--------------------------------
<1> См.: Указ Мэра
Москвы от 6 октября 2020 г. "О внесении изменений в Указы Мэра Москвы от 5
марта 2020 г. N 12-УМ и от 8 июня 2020 г. N 68-УМ". URL:
https://rg.ru/2020/10/06/moscow-ukaz97-reg-site-dok.html.
<2> В сборе данных
сотрудников на "удаленке" без их согласия не нашли нарушений. URL:
https://www.interfax.ru/russia/731251.
Данный пример демонстрирует, что даже
регулятор в сфере персональных данных иногда может ошибаться в толковании норм
законодательства, относящихся к его предметной компетенции. Дело в том, что
приведенное Минцифры России положение в данном случае не подходит, поскольку
оно касается случаев, когда государственный орган обрабатывает данные для целей предоставления государственной
услуги <1>. При этом согласно п. 1 ст. 2 Федерального закона от 27
июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и
муниципальных услуг" государственная услуга представляет собой
деятельность по реализации функций соответствующего государственного органа, которая осуществляется по запросам
заявителей в пределах установленных нормативными правовыми актами
Российской Федерации и нормативными правовыми актами субъектов Российской
Федерации полномочий органов, предоставляющих государственные услуги.
Деятельность, осуществляемая мэрией Москвы в рамках реализации положений Указа
N 97-УМ, не может быть отнесена к государственной услуге, поскольку в данном
случае никакого запроса со стороны заявителей не предполагается, текст Указа N
97-УМ в этой части говорит об исполнении работодателями указанных в нем
обязанностей. Соответственно, в этой части более правильным было бы применение
к обработке персональных данных без согласия субъекта положений п. 2 ч. 1 ст. 6
Закона о персональных данных: "обработка персональных данных необходима
для... осуществления и выполнения возложенных законодательством Российской
Федерации на оператора функций, полномочий и обязанностей", которые
вытекают из положений законодательства РФ, регламентирующих полномочия органов
государственной власти субъектов РФ по борьбе с коронавирусной инфекцией.
Данный тезис не означает, что требования Указа N 97-УМ в части обязания
работодателей предоставить персональные данные дистанционных работников
являются законными. Подробный анализ данной ситуации содержится в Заключении
Комиссии по правовому обеспечению цифровой экономики Московского отделения
Ассоциации юристов России от 19 октября 2020 г. <2>. Более детально
данный вопрос будет рассмотрен в комментарии к ст. 9 Закона применительно к
требованию добровольности дачи субъектом согласия на обработку его данных.
--------------------------------
<1> См. п. 4 ч. 1
ст. 6 Закона о персональных данных: "Обработка персональных данных
необходима для исполнения полномочий федеральных органов исполнительной власти,
органов государственных внебюджетных фондов, исполнительных органов
государственной власти субъектов Российской Федерации, органов местного
самоуправления и функций организаций, участвующих в предоставлении
соответственно государственных и муниципальных услуг, предусмотренных
Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации
предоставления государственных и муниципальных услуг", включая регистрацию
субъекта персональных данных на едином портале государственных и муниципальных
услуг и (или) региональных порталах государственных и муниципальных
услуг".
<2> https://alrf.msk.ru/komissiya_po_pravovomu_obespecheniyu_cifrovoy_ekonomiki
7. Пункт 5 ч. 1
комментируемой статьи содержит одно из важнейших оснований для обработки
персональных данных при отсутствии согласия субъекта, которое может быть
использовано в коммерческой деятельности оператора. Речь идет о возможности
обработки персональных данных физического лица, если это необходимо для
заключения и (или) исполнения договора, стороной, выгодоприобретателем или
поручителем по которому он является. Данное основание действует только в тех
случаях, когда субъект персональных данных является участником договора в одной
из тех форм, которые указаны в Законе: стороной, выгодоприобретателем или
поручителем. Таким образом, данное основание не распространяется, в частности,
на случаи, когда договор заключается между оператором и организацией,
выступающей работодателем субъекта.
Комментируемое положение
не содержит конкретизации типа договора, однако в практике Роскомнадзора оно
применяется именно в отношении гражданско-правовых договоров, поскольку
основания для обработки персональных данных в рамках трудовых отношений
рассматриваются им в рамках требований гл. 14 Трудового кодекса РФ <1>.
--------------------------------
<1> См., например:
Публичный семинар Роскомнадзора для операторов 28 января 2021 г. URL:
https://www.youtube.com/watch?v=jUfF06S1_Yk.
Содержание понятия выгодоприобретателя
зависит от типа заключаемого договора и обстоятельств его заключения. Так, в
гражданском законодательстве под выгодоприобретателем может пониматься лицо, в
пользу которого заключен договор (ст. 430 ГК РФ), в частности лицо, в пользу
которого застраховано имущество по договору страхования (ст. 930 ГК РФ); лицо,
в интересах которого осуществляется доверительное управление имуществом (ст.
1012 ГК РФ); лицо, в пользу которого открыт банковский вклад (ст. 842 ГК РФ). В
публично-правовой сфере под понятием выгодоприобретателя понимается лицо, к
выгоде которого действует клиент, в том числе на основании агентского договора,
договоров поручения, комиссии и доверительного управления, при проведении
операций с денежными средствами и иным имуществом (ст. 3 Федерального закона от
7 августа 2001 г. N 115-ФЗ "О противодействии легализации (отмыванию)
доходов, полученных преступным путем, и финансированию терроризма").
Под поручителем
понимается лицо, являющееся стороной договора поручительства. По договору
поручительства поручитель обязывается перед кредитором другого лица отвечать за
исполнение последним его обязательства полностью или в части (п. 1 ст. 361 ГК
РФ). Отношения поручительства регулируются ст. 361 - 367 ГК РФ.
Комментируемое основание
для обработки персональных данных применяется только к тем данным и способам
обработки, которые безусловно необходимы для заключения или исполнения
договора, например для осуществления оплаты товара (услуги), доставки,
послегарантийного обслуживания. Предоставление онлайн-сервиса на основании
пользовательского соглашения также может охватываться комментируемым основанием
для обработки персональных данных без согласия субъекта (Апелляционное определение
Новосибирского областного суда от 2 ноября 2017 г. по делу N 33-10623/2017).
Однако такие способы обработки, как продажа персональных данных третьим лицам
для целей предоставления рекламных услуг, составление профайлов пользователей,
осуществление маркетинговых исследований и т.п., к ним не относятся. В этой
связи для их осуществления необходимо использование иных оснований, в частности
согласия субъекта. При этом хранение и предоставление соответствующей
информации о договоре в уполномоченные органы (налоговые, органы валютного
контроля) может осуществляться оператором в соответствии с п. 2 ч. 1 ст. 6 Закона
о персональных данных.
С 1 января 2017 г. из
комментируемого положения была исключена возможность обработки персональных
данных без согласия субъекта в виде уступки оператором своих прав по такому
договору. Таким образом, с указанного времени оператор не может осуществлять
уступку права требования оплаты по договору коллекторам или иным лицам без
согласия субъекта персональных данных, поскольку гражданин не является стороной
по договору, заключенному между банком и коллектором (Определение Судебной
коллегии по гражданским делам Верховного Суда РФ от 1 августа 2017 г. N
78-КГ17-45; Обзор судебной практики по делам, связанным с защитой прав
потребителей финансовых услуг, утв. Президиумом Верховного Суда РФ 27 сентября
2017 г.).
При этом, если кредитная
организация в нарушение требований законодательства о персональных данных все
же осуществляет уступку прав требования оплаты третьим лицам, такое действие
может получить негативную оценку со стороны Центрального банка РФ. Как отмечено
в Письме Банка России от 29 сентября 2014 г. N 41-2-2-8/1757, "в целях
снижения правового, репутационного и регуляторного риска при работе с
персональными данными банкам следует иметь внутренние процедуры, обеспечивающие
соблюдение требований законодательства о защите персональных данных. Недостатки
в деятельности банков, связанные с исполнением норм Федерального закона "О
персональных данных", выявленные при осуществлении банковского надзора,
рассматриваются как негативный фактор при оценке качества управления банком, в
том числе оценке организации системы внутреннего контроля в соответствии с Положением
Банка России от 16 декабря 2003 г. N 242-П "Об организации внутреннего
контроля в кредитных организациях и банковских группах" <1>.
--------------------------------
<1>
https://cbr.ru/StaticHtml/File/50624/140925.pdf
Согласие субъекта на последующую
уступку прав требования к нему может быть выражено в основном договоре при
условии его соответствия требованиям ст. 9 Закона о персональных данных (см. комментарий
к ней). При этом само по себе присоединение заемщика к стандартным условиям
договора банка не может служить безусловным выражением личного согласия
заемщика в силу отсутствия у него специальных познаний в указанной области и с
учетом того, что в отношениях с банком - исполнителем услуги по предоставлению
заемщику денежных средств (кредита) гражданин является экономически слабой
стороной и нуждается в особой защите своих прав (Постановление Девятого
арбитражного апелляционного суда от 5 ноября 2013 г. N 09АП-34398/2013 по делу
N А40-20717/13). При определенных условиях такое условие может быть признано
недействительным как ущемляющее права потребителя <1>.
--------------------------------
<1> См. подробнее:
Карапетов А.Г., Савельев А.И. Свобода договора и ее пределы. Т. 2. М., 2012. С.
382 - 385.
8. Пункт 6 ч. 1 комментируемой статьи
содержит редко используемое, но от этого не менее важное условие обработки
персональных данных при отсутствии согласия субъекта: обработка персональных
данных необходима для защиты жизни, здоровья или иных жизненно важных интересов
субъекта персональных данных, если получение согласия субъекта персональных
данных невозможно (в частности, по причине бессознательного состояния такого лица,
его безвестного отсутствия, лишения дееспособности и т.д.). Данное основание
предполагает самостоятельное определение оператором жизненно важных интересов
субъекта, к числу которых может относиться защита его жизни и здоровья, а также
обусловленную объективными обстоятельствами невозможность использования
основания, предусмотренного п. 1 ч. 1 ст. 6 Закона о персональных данных
(согласие субъекта персональных данных). Тем самым в нем заложена идея о том,
что право лица на жизнь и здоровье имеет приоритет перед правом лица на защиту
его персональных данных, но только в тех случаях, когда оно не может само
сделать выбор.
В качестве примера можно
привести размещение заинтересованными гражданами в социальных сетях объявления
о пропаже определенного человека с указанием его примет и иных персональных
данных. Другим примером, потенциально подпадающим под данное исключение,
являются случаи обработки персональных данных малолетних детей их родителями
или иными законными представителями.
9.
Обработка персональных данных без согласия субъекта персональных данных
возможна, если она необходима для осуществления прав и законных интересов
оператора, третьих лиц или достижения общественно значимых целей, но при
условии ненарушения прав и законных интересов субъекта персональных данных.
Данное положение дает определенную степень усмотрения оператору при решении
вопросов обработки персональных данных, снижая степень его зависимости от согласия
субъекта персональных данных. Оператор может оправдать осуществляемую им
обработку своими законными правами и интересами либо законными правами и
интересами иных лиц, а равно публичным интересом. Однако при этом ему
необходимо также продемонстрировать, что такого рода обработка не имеет
негативных последствий для субъектов персональных данных, и принять на себя
риск возможного несогласия с этой оценкой со стороны субъектов или
уполномоченных органов по защите персональных данных. Бремя доказывания наличия
всех указанных условий лежит на операторе.
В целом представляется,
что о законном интересе оператора можно говорить в ряде случаев, когда
осуществляется обработка персональных данных для целей проявления должной
осмотрительности при заключении сделок, для целей предотвращения мошеннических
действий, угроз информационной безопасности и наступления иных обстоятельств,
при которых оператор может понести существенный ущерб вследствие неправомерных
действий третьих лиц.
На практике ссылка на
законный интерес оператора использовалась, в частности, для оправдания права
банка, выступающего в качестве собственника здания, получать и обрабатывать
информацию о проживающих в нем лицах (Постановление Арбитражного суда
Северо-Кавказского округа от 8 сентября 2015 г. N Ф08-6355/2015 по делу N
А63-12601/2014). Данное основание также может использоваться для легитимации
функционирования пропускного режима на территории оператора, поскольку в таком
случае можно говорить об общественно полезной цели: обеспечении безопасности
работников оператора и посетителей (Апелляционное определение Московского
городского суда от 18 июня 2015 г. по делу N 33-20949/2015). В качестве еще
одного примера возможного применения данной статьи можно указать разъяснения
ВАС РФ, согласно которым "не требуется согласия физических лиц, вступивших
в правоотношения с обществом, на предоставление участнику хозяйственного
общества документов, содержащих персональные данные таких физических лиц
(фамилию, имя, отчество и место жительства физического лица, иную информацию,
необходимую для обращения в суд в соответствии с требованиями процессуального
законодательства, сведения о размере вознаграждения физического лица и т.д.),
если эта информация необходима участнику для целей защиты своих прав и законных
интересов, например оспаривания сделки, заключенной с этим лицом, либо
обращения в суд с иском к члену совета директоров (наблюдательного совета)
общества, единоличному исполнительному органу общества, временному единоличному
исполнительному органу общества, члену коллегиального исполнительного органа
общества (правления, дирекции), равно как и к управляющему о возмещении
причиненных обществу убытков" (п. 15 Информационного письма Президиума ВАС
РФ от 18 января 2011 г. N 144 "О некоторых вопросах практики рассмотрения
арбитражными судами споров о предоставлении информации участникам хозяйственных
обществ").
Данное основание имеет
субсидиарный характер по отношению к иным основаниям для обработки персональных
данных без согласия оператора и не должно использоваться для обхода условий и
ограничений, установленных в них. В частности, если соответствующее основание
устанавливает в качестве обязательного условия для обработки выполнение
требования обезличивания или содержит ограничение по целям такой обработки,
например, недопустимость ее осуществления в целях политической агитации или
прямого маркетинга (п. 9 ч. 1 ст. 6 Закона о персональных данных), то обходить
указанные ограничения ссылкой на наличие у оператора "законного
интереса" неправомерно. Не может быть и своего особого законного интереса
у таких операторов, как органы государственной власти и органы местного
самоуправления, поскольку они всегда должны действовать в рамках своей
компетенции, прямо предусмотренной законом, и не могут ее произвольно
расширять, прикрываясь категориями вроде "законный интерес".
Представляется недопустимым использовать ссылки на законный интерес оператора
для расширения возможностей по обработке персональных данных для целей
исполнения договора, стороной которого является субъект (п. 5 ч. 1 ст. 6 Закона
о персональных данных, см. выше комментарий
к данному положению).
В отдельных судебных
решениях можно найти проявление позиции, что законный интерес выступает в
качестве остаточного основания и не должен использоваться для обхода иных
оснований для обработки данных. Так, суды отказывают в применении данного пункта
в случаях, когда оператор ссылается на законный интерес, выражающийся в защите
своего права, а запрашиваемая информация может быть распространена только с
согласия субъекта и отсутствуют иные основания для обработки без такого согласия
(см., например, Апелляционное определение Московского городского суда от 24
октября 2019 г. по делу N 33-47975/2019).
Интересен вопрос о
допустимости использования данного основания для обоснования введения системы
видеонаблюдения за деятельностью работников на рабочем месте. Как отмечает
Роскомнадзор в своих Разъяснениях, при соблюдении определенных условий это
возможно. К ним относится отражение в локальном нормативном акте организации
(например, правилах внутреннего трудового распорядка) факта наличия систем
слежения с обоснованием производственной необходимости в их установке <1>.
Кроме того, целесообразно обеспечение наличия в каждом рабочем помещении, где
установлено видеооборудование, соответствующей таблички - предупреждения о
видеозаписи. Примечательно, что недавняя практика ЕСПЧ также исходит из наличия
у работодателя права контролировать, как работники исполняют свои трудовые
обязанности, в том числе с использованием технических средств <2>.
Отечественные суды обычно также решают вопрос в пользу работодателя, однако
используя более прямолинейную логику. Так, в одном из решений суд указал, что
"использование работодателем средств видеофиксации не нарушает основные
конституционные права истца, поскольку видеозапись рабочего процесса не
является раскрытием персональных данных работника и не используется для того,
чтобы установить обстоятельства его частной жизни либо его личную и семейную
тайну" (Апелляционное определение Московского городского суда от 4 августа
2016 г. N 33-30048/2016). Другой суд пришел к выводу, что "установка
системы видеонаблюдения в... связана с обеспечением безопасности, в силу чего
не является источником получения персональных данных работника по смыслу,
заложенному в Федеральном законе "О персональных данных"
(Апелляционное определение Свердловского областного суда от 25 марта 2016 г. по
делу N 33-5427/2016). Как видно, суды в данном случае вообще рассматривают
данные действия как выходящие за рамки законодательства о персональных данных,
что вряд ли можно признать его корректным толкованием, на что косвенно
указывает и отсутствие каких-либо аргументов у суда, кроме беспомощной ссылки
на "смысл закона". При таких обстоятельствах представляется, что даже
если они и признают применимость данного Закона, то вряд ли будут возражать
против применения положений п. 7 ч. 1 ст. 6 Закона о персональных данных для ее
легитимации.
--------------------------------
<1> См.: Разъяснения
Роскомнадзора от 2 сентября 2013 г. "О вопросах отнесения фото- и
видеоизображения, дактилоскопических данных и иной информации к биометрическим
персональным данным и особенности их обработки" // СПС
"КонсультантПлюс".
<2> См.: Постановление
ЕСПЧ от 12 января 2016 г. по делу "Бэрбулеску (Barbelescu) против
Румынии", жалоба N 61496/08. В данном случае речь шла о праве работодателя
осуществлять контроль за использованием трафика и просмотр аккаунта
мессенджера, используемого работником на рабочем компьютере.
GDPR содержит аналогичное основание,
которое по сравнению с ранее действовавшей Директивой 1995 г. было дополнено
положениями, согласно которым оно не может быть использовано государственными
органами, а также в случаях, когда речь идет об обработке персональных данных
несовершеннолетних (ст. 6(1)(f)).
10. Обработка
персональных данных допустима без согласия субъекта в тех случаях, когда она
осуществляется в общественном интересе, таком как реализация права на свободу
слова (ст. 29 Конституции РФ) профессиональным журналистом и (или) в рамках
законной деятельности средства массовой информации, а также для реализации
права на свободу литературного, художественного, научного, технического и
других видов творчества, преподавания (ст. 44 Конституции РФ). Однако при этом
положения п. 8 ч. 1 ст. 6 Закона о персональных данных делают оговорку о
недопустимости нарушения прав и законных интересов субъекта персональных
данных.
Следует отметить, что
комментируемое основание формально относится только к профессиональным
журналистам, то есть к лицам, занимающимся редактированием, созданием, сбором
или подготовкой сообщений и материалов для редакции зарегистрированного
средства массовой информации, связанным с ней трудовыми или иными договорными
отношениями либо занимающимся такой деятельностью по ее уполномочию <1>.
Данный статус не распространяется на так называемых блогеров, даже если у них
имеется значительное количество подписчиков.
--------------------------------
<1> См. ст. 2 Закона
РФ от 27 декабря 1991 г. N 2124-1 "О средствах массовой информации"
(СПС "КонсультантПлюс").
Под средством массовой информации
понимается "периодическое печатное издание, сетевое издание, телеканал,
радиоканал, телепрограмма, радиопрограмма, видеопрограмма, кинохроникальная
программа, иная форма периодического распространения массовой информации под
постоянным наименованием (названием)". Интернет-сайт, по общему правилу,
СМИ не является, хотя в добровольном порядке может быть зарегистрирован как
сетевое издание <1>. Поэтому, если интернет-ресурс не имеет регистрации
СМИ, он не может воспользоваться комментируемым основанием для обработки
персональных данных без согласия субъекта.
--------------------------------
<1> См.: Там же, ст.
8.
Применение данного основания для
обработки персональных данных без согласия субъекта предполагает соблюдение
журналистом обязанностей, предусмотренных законом. Так, к обязанностям журналиста
в силу п. 5 ч. 1 ст. 49 Закона РФ от 27 декабря 1991 г. N 2124-1 "О
средствах массовой информации" отнесена обязанность получать согласие (за
исключением случаев, когда это необходимо для защиты общественных интересов) на
распространение в средстве массовой информации сведений о личной жизни
гражданина от самого гражданина или его законных представителей. Как указал
Верховный Суд РФ, данным положением предусмотрен запрет на распространение в
средствах массовой информации сведений о личной жизни граждан, если от них
самих или от их законных представителей не было получено на то согласие, за
исключением случаев, когда это необходимо для защиты общественных интересов.
При этом к общественным интересам следует относить не любой интерес,
проявляемый аудиторией, а, например, потребность общества в обнаружении и
раскрытии угрозы демократическому правовому государству и гражданскому
обществу, общественной безопасности, окружающей среде (п. 25 Постановления
Пленума Верховного Суда РФ от 15 июня 2010 г. N 16 "О практике применения
судами Закона Российской Федерации "О средствах массовой информации").
На основании данных
положений российская судебная практика исходит из приоритета согласия субъекта
как основания для публикации его персональных данных в СМИ. В качестве
иллюстрации можно привести дело, где фигурировала опубликованная статья,
которая содержала сведения о заявителе: фамилию, имя, место работы, звание.
Кроме того, в статье имелась врезка из статьи этой же газеты, в которой также
публиковались персональные данные заявителя. Данные были опубликованы без
согласования и разрешения заявителя. Суды указали, что наличия какой-либо
необходимости или потребности общества в раскрытии персональных данных лица,
упомянутого в статье, при этом не занимающегося какой-либо публичной
деятельностью, по материалам дела не усматривается. Обстоятельства,
свидетельствующие о том, что сведения были распространены для защиты
общественных интересов, не установлены (Постановление Верховного Суда РФ от 28
июня 2018 г. N 74-АД18-11). В другом деле суд указал, что, опубликовав статью
"Фронтовичка станет бомжом?" в газете, издательство таким образом
раскрыло неопределенному кругу лиц персональные данные их субъекта без его
согласия. По мнению суда, исключительные обстоятельства, при наличии которых в
целях защиты общественных интересов раскрытие указанных данных допускается,
отсутствовали (Постановление Арбитражного суда Волго-Вятского округа от 20
марта 2018 г. по делу N А43-11782/2017). Существуют и иные подобные решения (Постановление
Волгоградского областного суда от 20 сентября 2018 г. по делу N 4а-697/2018).
К слову сказать,
европейская практика подходит к данному вопросу гораздо более либерально,
понимая под обработкой персональных данных в журналистских целях все случаи,
когда соответствующие действия имеют своей целью "раскрытие общественности
информации, мнений или идей безотносительно к используемым средствам
коммуникации и носителям информации, а также к наличию или отсутствию факта
получения прибыли за указанную деятельность" (Tietosuojavaltuutettu v.
Satakunnan Markkinaporssi Oy and Satamedia Oy, ECJ, C-73/07, 16 December 2008).
Обработка персональных
данных авторов научных работ или иных лиц, осуществляемая при написании работ,
имеющих учебную или научную направленность, охватывается комментируемым
основанием для обработки персональных данных как осуществляемая в рамках
"научной, литературной или иной творческой деятельности".
Следует отметить, что
комментируемое основание для обработки персональных данных может быть
использовано только в той мере, в которой не нарушаются права и законные
интересы субъекта персональных данных. Такое нарушение может иметь место,
например, при описании события преступления с указанием персональных данных
обвиняемого, потерпевшего и иных участников процесса (Постановление Верховного
суда Республики Саха (Якутия) от 29 октября 2015 г. N 4а-547/2015). Кроме того,
необходимо принимать во внимание положения ст. 41 Закона РФ "О средствах
массовой информации", в частности, обязанность редакции разглашать в
распространяемых сообщениях и материалах сведения, прямо или косвенно
указывающие на личность несовершеннолетнего, совершившего преступление либо
подозреваемого в его совершении, а равно совершившего административное
правонарушение или антиобщественное действие, без согласия самого
несовершеннолетнего и его законного представителя.
В связи со вступлением в
силу ст. 10.1 Закона о персональных данных, устанавливающей особый правовой
режим обработки персональных данных, разрешенных субъектом для распространения,
перепечатывание содержащих персональные данные фрагментов статьи в СМИ или ином
источнике, доступном неограниченному кругу лиц, возможно только с соблюдением
такого правового режима. Это означает, что в основе такого дальнейшего
распространения должно лежать соответствующее согласие субъекта персональных
данных. Таким образом, сфера применения п. 8 ч. 1 ст. 6 Закона о персональных
данных существенным образом сужается.
11. Допустимость
обработки персональных данных без согласия их субъекта для статистических или
иных исследовательских целей при условии обезличивания таких данных является
одним из основных легитимирующих оснований (помимо согласия субъекта и
законного интереса оператора) для разного рода действий с "большими
данными", включающими в себя персональные данные, учитывая, что
использование "больших данных" обычно сопряжено с деятельностью,
которую специалисты по статистике определили бы как статистическую <1>.
--------------------------------
<1> Так,
статистику определяют как отрасль знаний, объединяющую принципы и методы работы
с числовыми данными, характеризующими массовые явления. См.: Елисеева И.И.,
Юзбашев М.М. Общая теория статистики. М., 2004. С. 13.
Применение данного основания возможно
при одновременном соблюдении следующих условий:
1) наличии
статистической или иной исследовательской цели;
2) обязательного
предварительного обезличивания данных;
3) неиспользования
результатов обработки в целях, указанных в ст. 15 Закона.
Понятие статистики имеет
несколько значений. Во-первых, под статистикой понимают самостоятельную науку,
изучающую количественную сторону массовых общественных явлений и процессов в
неразрывной связи с их качественной стороной в конкретных условиях места и
времени с целью выявления присущих этим явлениям закономерностей и тенденций.
Во-вторых, статистикой также называют результат статистической деятельности,
т.е. массив статистических данных или обобщающие показатели, характеризующие
состояние массовых явлений и процессов по определенной совокупности за
определенный период <1>. Как видно, данное понятие достаточно широкое, и
нет никаких оснований для применения п. 9 ч. 1 ст. 6 Закона о персональных
данных исключительно к официальной статистической информации в том смысле,
который вкладывается в это понятие Федеральным законом от 29 ноября 2007 г. N
282-ФЗ "Об официальном статистическом учете и системе государственной
статистики в Российской Федерации" <2>. Обработка персональных
данных в статистических целях может осуществляться и в иных случаях.
--------------------------------
<1> См.:
Садовникова Н.А., Дарда Е.С. и др. Статистика. Теория статистики / Российский
государственный университет им. Плеханова. Кафедра статистики. М., 2017. С. 3.
<2> См.: СПС
"КонсультантПлюс".
Под иными исследовательскими целями
понимаются цели, отвечающие критериям научно-исследовательской деятельности в
соответствии с Федеральным законом от 23 августа 1996 г. N 127-ФЗ "О науке
и государственной научно-технической политике", который ее определяет как
"деятельность, направленную на получение и применение новых знаний, в том
числе:
- фундаментальные
научные исследования - экспериментальная или теоретическая деятельность,
направленная на получение новых знаний об основных закономерностях строения,
функционирования и развития человека, общества, окружающей среды;
- прикладные научные
исследования - исследования, направленные преимущественно на применение новых
знаний для достижения практических целей и решения конкретных задач;
- поисковые научные
исследования - исследования, направленные на получение новых знаний в целях их
последующего практического применения (ориентированные научные исследования) и
(или) на применение новых знаний (прикладные научные исследования) и проводимые
путем выполнения научно-исследовательских работ".
Об обезличивании - см. комментарий
к ст. 3 Закона.
В силу прямого указания п.
9 ч. 1 ст. 6 Закона о персональных данных такая обработка не должна
использоваться для целей прямого маркетинга (продвижения товаров, работ, услуг
на рынке посредством осуществления прямых контактов с потенциальным
потребителем с помощью средств связи), а также для политической агитации. Таким
образом, данное основание не может использоваться для легитимации обработки
массивов данных клиентов с целью последующего направления им
персонализированных (таргетированных) предложений. Однако данное основание
вполне может быть использовано для обработки клиентских данных с целью принятия
каких-либо внутренних управленческих решений (стратегии развития компании,
изменения бизнес-модели и пр.).
Кроме того, следует
отметить, что данное основание касается только обычных персональных данных, не
затрагивая специальные их категории (например, данные о здоровье), а ст. 10
Закона о персональных данных, посвященная основаниям для обработки таких данных
без согласия субъекта, в свою очередь, не содержит аналогичного положения.
Схожее основание
существует и в GDPR (ст. 9(2)(j)), правда, в отличие от российского подхода в
Европе оно прямо распространено на обработку персональных данных специальных
категорий и несколько расширено: в перечень оснований включаются не только
статистические и исследовательские цели, но и "архивирование данных в
публичном интересе" и осуществление "исторических исследований".
При этом должны обеспечиваться гарантии защиты прав субъектов персональных данных
(в частности, посредством обезличивания данных), а также должно уважаться
существо права на защиту персональных данных (essence of the right to data protection). К сожалению, GDPR не
конкретизирует, в чем состоит существо данного права, оставляя этот вопрос на
усмотрение правоприменительной практики.
12. С 1
июля 2020 г. в Законе о персональных данных появилось еще одно основание для
обработки персональных данных без согласия субъекта: в целях повышения
эффективности государственного или муниципального управления, а также в иных
целях, предусмотренных Законом о проведении эксперимента в области ИИ. В июле
2021 г. данное основание также было дополнено ссылкой на Федеральный закон от
31 июля 2020 г. N 258-ФЗ "Об экспериментальных правовых режимах в сфере
цифровых инноваций в Российской Федерации".
Данное основание
потенциально имеет крайне широкую сферу применения, поскольку согласно ч. 1 ст.
3 Закона о проведении эксперимента в области ИИ помимо повышения эффективности
государственного или муниципального управления целями эксперимента являются: 1)
обеспечение повышения качества жизни населения; 2) повышение эффективности
деятельности хозяйствующих субъектов в ходе внедрения технологий искусственного
интеллекта; 3) формирование комплексной системы регулирования общественных
отношений, возникающих в связи с развитием и использованием технологий
искусственного интеллекта, по результатам установления экспериментального
правового режима. Как видно, обтекаемость данных формулировок оставляет широкий
простор для их творческого толкования как операторами, так и
правоприменительными органами. Единственными формальными ограничителями сферы
потенциального применения данного основания для обработки персональных данных
являются: 1) наличие у оператора статуса участника эксперимента, приобретаемого
в порядке, установленном ст. 5 данного Закона; 2) обработка и хранение таких
данных на территории г. Москвы (ч. 7 ст. 4).
Закон о проведении
эксперимента в области ИИ предусматривает следующие полномочия Правительства
Москвы:
- определять порядок и
случаи передачи собственниками средств и систем фото- и видеонаблюдения
изображений, а также предоставления доступа к таким средствам и системам фото-
и видеонаблюдения органам государственной власти и организациям, осуществляющим
публичные функции в соответствии с нормативными правовыми актами РФ (п. 5 ч. 1
ст. 4). Данный порядок предусмотрен Постановлением Правительства Москвы от 3
декабря 2020 г. N 2136-ПП "О порядке и случаях передачи собственниками
средств и систем фото- и видеонаблюдения изображений, а также предоставления
доступа к средствам и системам фото- и видеонаблюдения в целях создания
необходимых условий для разработки и внедрения технологий искусственного
интеллекта в городе Москве". В нем указано, что передача и предоставление
доступа к таким сведениям осуществляется с использованием государственной информационной
системы "Единый центр хранения и обработки данных" на основе
соглашения, заключаемого Департаментом информационных технологий города Москвы
с собственником средств и систем наблюдения, в котором в том числе определяются
случаи передачи изображений и предоставления доступа к средствам и системам
наблюдения. Для того чтобы понять, какой объем информации может выступать
предметом обработки в данном случае, необходимо обратиться к п. 2 Положения о
государственной информационной системе "Единый центр хранения и обработки
данных", утв. Постановлением Правительства Москвы от 7 февраля 2012 г. N
24-ПП, согласно которому в данной системе содержится совокупность информации об
объектах, за которыми ведется видеонаблюдение (объекты видеонаблюдения), а
именно: видеоизображение объекта видеонаблюдения; сведения о его
местонахождении, дате и времени осуществления видеонаблюдения; совокупность
сведений о поставщиках и пользователях информации об объектах видеонаблюдения;
история движения данной информации;
- по согласованию с
уполномоченным федеральным органом исполнительной власти, осуществляющим
функции по выработке и реализации государственной политики и нормативно-правовому
регулированию в сфере информационных технологий, определять порядок и условия
обработки участниками экспериментального правового режима персональных данных,
полученных в результате обезличивания (п. 6 ч. 1 ст. 4). При этом такие
персональные данные не могут быть переданы лицам, не являющимся участниками
экспериментального правового режима. В случае утраты статуса участника
экспериментального правового режима или прекращения эксперимента в связи с
истечением срока его проведения лицо, являвшееся участником экспериментального
правового режима, утрачивает право на получение персональных данных, полученных
в результате обезличивания, а хранящиеся у такого лица персональные данные,
полученные в результате обезличивания, подлежат уничтожению. Порядок и условия
обработки участниками экспериментального правового режима персональных данных,
полученных в результате обезличивания, утвержден Постановлением Правительства
Москвы от 3 декабря 2020 г. N 2138-ПП. Данный Порядок предусматривает
необходимость заключения участниками эксперимента специальных соглашений с
Департаментом информационных технологий г. Москвы, требования к содержанию
которых установлены в приложении к такому порядку. При отсутствии такого
соглашения комментируемое основание для обработки персональных данных без
согласия субъекта применяться не может. Обезличивание персональных данных
осуществляется в соответствии с методологиями, предусмотренными
законодательством РФ (см. комментарий к понятию "обезличивание" в ст.
3 Закона).
Кроме того, указанный
порядок устанавливает ряд запретов: 1) на реидентификацию обезличенных данных,
2) на передачу обезличенных данных лицам, не обладающим статусом участника
эксперимента, 3) на обработку обезличенных данных участниками
экспериментального правового режима с применением технологий, не позволяющих
обеспечить уничтожение обезличенных данных посредством средств защиты
информации, прошедших в установленном порядке процедуру оценки соответствия, в
составе которых реализована функция уничтожения информации.
Федеральный закон от 31
июля 2020 г. N 258-ФЗ "Об экспериментальных правовых режимах в сфере
цифровых инноваций в Российской Федерации" устанавливает в ст. 3 еще более
широкий перечень оснований для установления экспериментального правового режима
(далее - ЭПР): 1) формирование по результатам реализации ЭПР новых видов и форм
экономической деятельности, способов осуществления экономической деятельности;
2) развитие конкуренции; 3) расширение состава, повышение качества или
доступности товаров, работ и услуг; 4) повышение эффективности государственного
или муниципального управления; 5) обеспечение развития науки и социальной
сферы; 6) совершенствование общего регулирования по результатам реализации ЭПР;
7) привлечение инвестиций в развитие предпринимательской деятельности в сфере
цифровых инноваций в Российской Федерации; 8) создание благоприятных условий
для разработки и внедрения цифровых инноваций.
Решение об установлении
ЭПР и утверждении программы ЭПР принимается Правительством РФ (в отношении
финансовых рынков - Банком России) путем издания соответственно акта
Правительства РФ, акта Банка России об установлении ЭПР и утверждении его
программы.
В программе ЭПР в
обязательном порядке должны содержаться порядок и условия обезличивания и
последующей обработки субъектом ЭПР персональных данных при условии
обязательного обезличивания персональных данных, если ЭПР предусматривает
обработку субъектом ЭПР персональных данных, полученных в результате
обезличивания.
При этом программой ЭПР
должно быть предусмотрено, что персональные данные, полученные в результате
обезличивания и обрабатываемые субъектом ЭПР, не могут быть переданы иным
лицам. В случае прекращения статуса ЭПР субъект экспериментального правового
режима утрачивает право на обработку персональных данных, полученных в
результате обезличивания, а хранящиеся у него персональные данные, полученные в
результате обезличивания, подлежат уничтожению в порядке, установленном
Минцифры РФ. Для уничтожения персональных данных, полученных в результате
обезличивания, применяются прошедшие в установленном порядке процедуру оценки
соответствия средства защиты информации, в составе которых реализована функция
уничтожения информации.
Срок действия
экспериментального правового режима определяется программой экспериментального
правового режима с учетом целей, указанных в ст. 3 Федерального закона N
258-ФЗ, и не может превышать три года.
Как видно из приведенных
положений, они допускают достаточно большую степень усмотрения в формулировании
изъятий из общего режима обработки персональных данных, делегированную на
подзаконный уровень. Такого рода подход со временем способен уничтожить
определенное единство регулирования вопросов обработки персональных данных,
обеспечиваемое Законом о персональных данных, создавая лоскутное одеяло из
льготных правовых режимов, применимых к крупным операторам - участникам ЭПР.
Как следствие, соблюдение общих требований Закона о персональных данных может
стать уделом малого и среднего бизнеса, а также тех немногих крупных компаний,
которые не участвуют в тех или иных ЭПР.
13.
Последнее основание для обработки персональных данных при отсутствии согласия
субъекта персональных данных касается случаев обязательного раскрытия
информации в соответствии с требованиями федерального закона. Данное основание
представляется излишним, поскольку лицо, которое обязано раскрывать или
публиковать персональные данные в силу закона, могло бы это делать на основании
п. 2 ч. 1 ст. 6 "для выполнения возложенных законодательством РФ на
оператора обязанностей".
Примеры такого рода
требований законодательства:
- положения, обязывающие
граждан, претендующих на замещение должностей государственной или муниципальной
службы, раскрывать сведения о своих доходах, об имуществе и обязательствах
имущественного характера, а также о доходах, об имуществе и обязательствах
имущественного характера своих супруги (супруга) и несовершеннолетних детей (ст.
8 Федерального закона от 25 декабря 2008 г. N 273-ФЗ "О противодействии
коррупции");
- законодательство о
банкротстве, в соответствии с которым подлежат публикации сведения о
наименовании должника, его адресе и идентифицирующих должника сведениях
(государственный регистрационный номер записи о государственной регистрации
юридического лица, государственный регистрационный номер записи о
государственной регистрации индивидуального предпринимателя, идентификационный
номер налогоплательщика, страховой номер индивидуального лицевого счета) (п. 8
ст. 28 Федерального закона от 26 октября 2002 г. N 127-ФЗ "О
несостоятельности (банкротстве)" <1> (далее - Закон о банкротстве));
- обязанность
медицинских организаций размещать в сети Интернет сведения о медицинских
работниках медицинских организаций, об уровне их образования и об их
квалификации (п. 7 ч. 1 ст. 79 Закона об охране здоровья);
- обязанность
образовательных организаций размещать на своем официальном сайте в сети
Интернет следующие данные о работниках организации: информация о руководителе
образовательной организации, его заместителях, руководителях филиалов
образовательной организации (при их наличии), в том числе: фамилия, имя,
отчество (при наличии) руководителя, его заместителей; должность руководителя,
его заместителей; контактные телефоны; адрес электронной почты; персональный
состав педагогических работников с указанием уровня образования, квалификации и
опыта работы, в том числе: фамилия, имя, отчество (при наличии) работника;
занимаемая должность (должности); преподаваемые дисциплины; ученая степень (при
наличии); ученое звание (при наличии); наименование направления подготовки и
(или) специальности; данные о повышении квалификации и (или) профессиональной
переподготовке (при наличии); общий стаж работы; стаж работы по специальности (Постановление
Правительства РФ от 10 июля 2013 г. N 582 "Об утверждении Правил
размещения на официальном сайте образовательной организации в
информационно-телекоммуникационной сети Интернет и обновления информации об
образовательной организации").
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
В связи со вступлением в силу
Федерального закона N 519-ФЗ и появлением особого правового режима в отношении
персональных данных, разрешенных субъектом для распространения, а также
отсутствием в нем прямо предусмотренных исключений в отношении персональных
данных, раскрытие которых осуществляется в рамках исполнения закона не органами
государственной власти или местного самоуправления, а иными лицами, возникает
вопрос о том, как соблюдать требования законодательства о раскрытии информации
в новых реалиях. Конечно, можно попробовать получить от всех подобных лиц
согласие в порядке, установленном ст. 10.1 Закона о персональных данных, но
такой подход является достаточно абсурдным. Во-первых, потому что наличие в
специальном законе специального требования об обязательном раскрытии информации
означает, что данная информация является важной для общества и в данном случае
конституционное право на поиск и распространение информации имеет приоритет
перед правом на неприкосновенность частной жизни. При таких обстоятельствах
получение согласия от субъекта является требованием, не адекватным сложившейся
ситуации. Во-вторых, обязание операторов, обязанных раскрывать персональные
данные в силу закона, получать согласие от их субъектов под страхом привлечения
оператора к ответственности за неполучение такого согласия будет вынуждать
последних к использованию различных форм принуждения лиц к даче такого
согласия. Это будет не только провоцировать конфликтные ситуации, но и будет
деформировать институт согласия и лежащий в основе него принцип добровольности
его дачи, что будет негативным образом сказываться на толковании требований к согласию
в иных ситуациях. В этой связи получение согласия от субъекта на раскрытие его
данных в силу требований закона будет противоречить самой сути положений ст.
10.1 Закона о персональных данных как направленных на обеспечение гражданина
контролем над публичным распространением своих данных.
Очевидно, что в данном
случае имеет место пробел законодательства, вызванный спешкой в принятии
Федерального закона N 519-ФЗ. Лицо не может нести ответственность за совершение
действий, которые оно обязано совершить в силу закона. В этой связи недопустимо
привлекать такое лицо к административной ответственности по ст. 13.11 КоАП РФ
за нарушение правил обработки персональных данных, если оно при этом
осуществило обязательное раскрытие информации в силу закона. В качестве
формального основания для данной позиции могут выступать положения ч. 7 ст. 3
Федерального закона от 31 июля 2020 г. N 247-ФЗ "Об обязательных
требованиях в Российской Федерации": "В случае действия
противоречащих друг другу обязательных требований в отношении одного и того же
объекта и предмета регулирования, установленных нормативными правовыми актами
равной юридической силы, лицо считается добросовестно соблюдающим обязательные
требования и не подлежит привлечению к ответственности, если оно обеспечило
соблюдение одного из таких обязательных требований".
Представляется, что в
перспективе данная ошибка будет признана законодателем и исключения из
правового режима персональных данных, разрешенных субъектом для
распространения, будут прописаны более точно и с использованием при этом уже
сложившихся категорий Закона о персональных данных. Имеется в виду указание
такого рода исключений посредством ссылок на основания для обработки данных,
уже предусмотренные в ст. 6, 10, 11 Закона о персональных данных, вместо
создания новых сущностей, коей является ч. 15 ст. 10.1. Это позволит не только
обеспечить единообразие терминологии, но и распространить наработанный по
соответствующим основаниям массив правоприменительной практики на новые
отношения, что будет способствовать определенности и некоторой предсказуемости
правового регулирования. До указанного момента в качестве одного из ключевых
аргументов об отсутствии нарушений в действиях оператора, размещающего персональные
данные в рамках обязательного раскрытия информации, предусмотренного
федеральным законом, при отсутствии специального согласия субъекта по ст. 10.1
может также выступать Постановление Конституционного Суда РФ от 25 мая 2021 г.
N 22-П. Данное Постановление, принятое уже после вступления в силу ст. 10.1
Закона о персональных данных, признало допустимым размещение на веб-сайте СМИ
информации о физическом лице в виде отзыва о его профессиональной деятельности
на основании п. 8 ч. 1 ст. 6 Закона о персональных данных. Учитывая, что данное
Постановление, по сути, подтвердило применимость уже существовавших на момент
вступления в силу ст. 10.1 оснований для обработки персональных данных без
согласия субъекта и непосредственно касается размещения таких данных в сети
Интернет, выраженная в нем правовая позиция вполне может быть распространена и
на п. 11 ч. 1 ст. 6 Закона о персональных данных.
14. Обработка
персональных данных лиц, подлежащих государственной охране ("объекты
государственной охраны"), и членов их семей осуществляется с учетом
особенностей, предусмотренных Федеральным законом от 27 мая 1996 г. N 57-ФЗ
"О государственной охране" <1>. К таким лицам относятся
Президент РФ, Председатель Правительства, Председатель Совета Федерации,
Председатель Государственной Думы, Председатель Конституционного Суда,
Председатель Верховного Суда, Генеральный прокурор, Председатель Следственного
комитета РФ, главы иностранных государств и правительств и иные лица
иностранных государств во время пребывания на территории Российской Федерации,
а также иные лица, установленные законом.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
Ключевая особенность обработки
персональных данных таких лиц содержится в п. 14.1 вышеуказанного Закона и
сводится к тому, что органы государственной охраны могут давать согласие на
обработку персональных данных объектов государственной охраны и членов их
семей, а также принимать непосредственные меры по защите таких данных. Закон не
конкретизирует характер этих мер, по всей видимости, такая конкретизация
содержится в ведомственных актах с грифом "для служебного
пользования".
15. Часть
3 комментируемой статьи регулирует статус лица, осуществляющего обработку
персональных данных по поручению оператора, которое в европейской практике
именуется "обработчиком" (data
processor).
Ключевыми
характеристиками данного лица являются: 1) наличие самостоятельной
правосубъектности, то есть такое лицо должно быть юридически самостоятельным по
отношению к оператору, что позволяет исключить из его сферы работников
оператора и обособленные подразделения организации - оператора, а также 2)
обработка осуществляется данным лицом в интересах оператора. Таким образом, у
обработчика отсутствует собственный интерес (цели) в обработке таких данных
помимо предоставления соответствующих услуг заказчику.
Таким образом, можно
обозначить отношения, возникающие между оператором и обработчиком, как
отношения "аутсорсинга" в широком смысле, предполагающие при этом,
что оператор делегирует обработчику выполнение всех или части функций по
обработке персональных данных в определенной области. При этом у оператора есть
потенциальная возможность выполнения этих функций самостоятельно, однако это
потребовало бы больших затрат времени или средств. Привлекая обработчика,
оператор оптимизирует свои бизнес-процессы в соответствующей области.
В качестве лица,
осуществляющего обработку персональных данных по поручению оператора, обычно
выступают разного рода аутсорсинговые организации (например, по ведению
бухгалтерии или расчету зарплат, по оказанию услуг колл-центров или технической
поддержки продукта). Другим примером являются провайдеры "облачных"
сервисов, которые предоставляют оператору вычислительные мощности для обработки
персональных данных <1>. Однако если такие провайдеры осуществляют
обработку персональных данных своих клиентов для собственных нужд, то они будут
выступать в качестве оператора таких данных. Данное правило не зафиксировано
напрямую в российском законодательстве в отличие от европейского <2>, но
оно вытекает из существа статуса обработчика, который в России идентичен
европейскому.
--------------------------------
<1> Подробнее об
"облачных" сервисах см.: Савельев А.И. Правовая природа
"облачных" сервисов: свобода договора, авторское право и высокие
технологии // Вестник гражданского права. 2015. N 5.
<2> См. ст. 28(10)
GDPR, Opinion 05/2012 on Cloud Computing. Article 29 Data Protection Working
Party, 1 July 2012.
Согласно позиции Роскомнадзора
отношения "оператор - обработчик" могут возникать и внутри группы
компаний, в рамках которой выделяется организация, которая осуществляет
обработку персональных данных в интересах головной организации и (или) иных
организаций группы (Семинар Роскомнадзора от 26 ноября 2021 г.). Вместе с тем
представляется, что если такая выделенная в рамках группы организация
осуществляет обработку не исключительно в интересах другой компании или
компаний группы, но также и в своих интересах, обрабатывая, например, общую
базу данных всех клиентов группы компаний для осуществления собственной
предпринимательской деятельности на вверенной ей территории, то более корректно
говорить о возникновении отношений сооператорства, а не "оператор -
обработчик".
Главным отличием
оператора от "лица, осуществляющего обработку персональных данных по
поручению оператора" является распределение ответственности между ними.
Лицо, осуществляющее обработку персональных данных по поручению оператора, не
обязано получать согласие субъекта персональных данных на обработку его
персональных данных. Оператор несет ответственность перед субъектом
персональных данных за действия указанного лица, а оно, в свою очередь, несет
ответственность перед оператором (ч. 4 и 5 ст. 6 Закона о персональных данных).
Однако, принимая во внимание положения ч. 14 ст. 10.1 Закона о персональных
данных, у лица, осуществляющего обработку персональных данных по поручению
оператора, может возникнуть обязанность по прекращению обработки персональных
данных, ранее разрешенных субъектом для распространения, в случае получения
соответствующего требования от субъекта (см. подробнее комментарий к ст. 10.1).
16. Одним из ключевых
условий законности привлечения оператором лица, осуществляющего обработку
персональных данных по его поручению, является наличие формализованного
поручения оператора обработчику, в котором должны быть определены: 1) перечень
действий (операций) с персональными данными, которые будут совершаться
обработчиком; 2) цели обработки; 3) обязанности обработчика по соблюдению
конфиденциальности персональных данных и обеспечению их безопасности с
указанием требований к защите обрабатываемых персональных данных в соответствии
со ст. 19 Закона о персональных данных.
Отсутствие одного из
указанных положений может быть истолковано как нарушение законодательства о
персональных данных (Постановление Арбитражного суда Московского округа от 15
января 2018 г. по делу N А40-81171/17-149-793; Постановление Федерального
арбитражного суда Северо-Западного округа от 29 апреля 2013 г. по делу N
А44-5910/2012).
Закон никак не конкретизирует
форму и характер такого поручения. Такое поручение может представлять собой
отдельный договор, при этом, несмотря на использование законодателем слова
"поручение", такое соглашение не может быть квалифицировано в
качестве договора поручения, поскольку предметом такого договора является
совершение юридических действий (ст. 971 ГК РФ), в то время как предметом
поручения оператора является совершение преимущественно фактических действий, а именно - действий по обработке данных. В
некоторых случаях такое поручение оператора будет отвечать квалифицирующим
признакам агентского соглашения (в соответствии с п. 1 ст. 1005 ГК РФ по
агентскому договору одна сторона (агент) обязуется за вознаграждение совершать
по поручению другой стороны (принципала) юридические и иные действия от своего
имени, но за счет принципала либо от имени и за счет принципала). В иных
случаях, как, например, при "облачных" сервисах или хостинге, данный
договор будет скорее договором возмездного оказания услуг (гл. 39 ГК РФ) или,
при определенных обстоятельствах, лицензионным договором <1>.
--------------------------------
<1> См. подробнее:
Савельев А.И. Правовая природа "облачных" сервисов: свобода договора,
авторское право и высокие технологии // Вестник гражданского права. 2015. N 5.
С. 62 - 99.
Правовая квалификация ролей участников
таких договоров в контексте законодательства о персональных данных, подобно
правовой квалификации самого договора, должна осуществляться исходя из существа
возникающих отношений и совершаемых сторонами действий, а не из формального
обозначения в договоре того или иного лица в качестве оператора или
обработчика.
17. Еще одним условием
законности привлечения обработчика является получение оператором согласия от
субъекта персональных данных на данное действие, за исключением случаев,
установленных федеральными законами (см., например, абз. 6 ч. 1 ст. 53
Федерального закона от 7 июля 2003 г. N 126-ФЗ "О связи" <1>).
Согласие субъекта может быть выражено как в самом договоре <2>, так и
отдельно. Например, в одном деле условие договора, предусматривавшее, что лицо
"дает банку право обрабатывать его персональные данные различными
способами, в том числе привлекая другие организации", было признано судом
достаточным для данной цели
(Апелляционное определение Верховного суда Республики Татарстан от 28 января
2016 г. по делу N 33-1566/2016). Однако представляется, что данное согласие не
соответствует в полной мере требованиям ст. 9 Закона о персональных данных (см.
комментарий к ней).
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
<2> См.: Определение
Конституционного Суда РФ от 28 января 2016 г. N 100-О: "В силу приведенных
законоположений управляющая организация, с тем чтобы иметь возможность
осуществлять деятельность по управлению многоквартирным домом, обязана получить
у собственников и нанимателей жилых помещений согласие на обработку
персональных данных, в том числе на их передачу третьим лицам, причем данное
согласие может быть включено в качестве условия в договор управления
многоквартирным домом".
Для того чтобы согласие субъекта на
передачу его данных лицу, осуществляющему обработку по поручению оператора,
отвечало требованию информированности (см. комментарий к ст. 9 Закона), субъект
должен быть осведомлен о личности такого обработчика. Информация о нем может
быть предоставлена в тексте самого согласия либо же в виде отсылки на общий
список таких обработчиков, расположенный на веб-сайте оператора. Последний
вариант дает определенную гибкость в условиях, когда количество обработчиков
значительно и может изменяться время от времени. При этом, как отмечает
Роскомнадзор, в случае таких изменений оператор должен в разумный срок (как
вариант, в течение 10 дней) уведомить субъекта. Однако, по мнению
Роскомнадзора, вариант с указанием обработчиков на веб-сайте оператора возможен
только для тех случаев, когда согласие не должно быть в силу закона
исключительно в письменной форме. В таких случаях альтернатив поименному
указанию обработчиков в таком согласии нет (Семинар Роскомнадзора от 26 ноября
2021 г.).
Помимо согласия в
качестве легитимирующего основания, указанного в федеральном законе, для
привлечения обработчика без согласия субъекта могут выступать соответствующие
положения Закона о персональных данных о допустимости обработки оператором
персональных данных без согласия субъекта, поскольку привлечение обработчика
представляет собой разновидность обработки в виде предоставления персональных
данных. Данный подход в большинстве своем разделяется судебной практикой (Постановление
Федерального арбитражного суда Уральского округа от 28 ноября 2013 г. N
Ф09-12778/13 по делу N А60-6044/2013; Апелляционное определение
Санкт-Петербургского городского суда от 4 декабря 2014 г. N 33-16220/2014 по
делу N 2-2991/2014; Апелляционное определение Ульяновского областного суда от
15 июля 2014 г. по делу N 33-2368/2014; Апелляционное определение Московского
городского суда от 14 мая 2014 г. по делу N 33-9801; Апелляционное определение
Рязанского областного суда от 19 февраля 2014 г. по делу N 33-358).
Данный подход также
можно встретить и в разъяснениях Минцифры России, которое указало, что "в
случае, если оператор связи поручает обработку персональных данных
абонента-гражданина третьему лицу в целях заключения и (или) исполнения
договора об оказании услуг связи, стороной которого является абонент-гражданин,
и (или) в целях осуществления прав и законных интересов оператора связи или
абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе
на передачу его персональных данных такому третьему лицу, обработку
персональных данных таким третьим лицом в соответствии с поручением оператора
связи, не требуется" (Письмо Минкомсвязи России от 7 июля 2017 г. N
П11-15054-ОГ "О разъяснении норм федерального законодательства").
Привлечение обработчика
при отсутствии согласия субъекта или разрешения закона представляет собой
нарушение оператором законодательства о персональных данных (Постановление
Федерального арбитражного суда Уральского округа от 18 марта 2014 г. N
Ф09-1152/14 по делу N А34-3659/2013). Сам обработчик не может быть привлечен к
ответственности за отсутствие такого согласия в силу прямого указания закона (ч.
4 ст. 6 Закона о персональных данных).
Отличительной
особенностью статуса обработчика является то, что он не имеет обязанностей
непосредственно перед субъектом персональных данных, ответственность за его
действия несет непосредственно оператор (ч. 5 ст. 6 Закона о персональных
данных). Иными словами, субъект персональных данных не может предъявлять свои
требования напрямую к обработчику, такие требования должны быть предъявлены
непосредственно к оператору. Однако не следует забывать, что одно и то же лицо
может выступать по отношению к различным
персональным данным и в роли оператора, и в роли лица, осуществляющего
обработку персональных данных по поручению оператора, в связи с чем оно все
равно будет вынуждено соблюдать все основные положения законодательства о
персональных данных. Так, организация, привлеченная для расчета зарплаты, будет
выступать обработчиком в отношении персональных данных субъектов - работников
заказчика, однако в отношении своих собственных работников такая организация
будет выступать оператором.
На практике существуют
ситуации, когда лицо, обрабатывающее персональные данные по поручению
оператора, поручает их обработку другому лицу ("субобработчику").
Согласно разъяснениям Роскомнадзора такой сценарий напрямую не предусмотрен
комментируемым положением ч. 3 ст. 6 Закона о персональных данных, но и не
противоречит ему. В этой связи по общему правилу необходимо получение согласия
от субъекта на такую передачу, но его должен получать именно оператор, а не
первоначальный обработчик <1>.
--------------------------------
<1> См.: Публичный
семинар Роскомнадзора для операторов 28 января 2021 г. URL: https://www.youtube.com/watch?v=jUfF06S1_Yk.
18. Следует особо упомянуть про статус
обработчика по GDPR, поскольку этот вопрос может оказывать непосредственное
влияние на взаимоотношения российских операторов с европейскими обработчиками,
а также на ситуации, когда российская компания выступает в качестве обработчика
по договору с оператором, деятельность по обработке персональных данных
которого подпадает под GDPR. Про территориальную сферу применения GDPR см. комментарий
к ст. 1 Закона.
Во-первых, GDPR куда
более подробно регламентирует содержание соглашений о порядке обработки
персональных данных, чем ч. 3 ст. 6 Закона о персональных данных. В
соответствии со ст. 28 GDPR в таком соглашении должны содержаться:
- общие сведения о
параметрах обработки: виды обрабатываемых персональных данных, категории
субъектов таких данных, срок обработки, виды операций по обработке, цель
обработки, осуществляемой в рамках поручения;
- права и обязанности
сторон, которые должны быть конкретизированы с учетом специфики и характера
процессов обработки;
- обязанность
обработчика осуществлять обработку исключительно на основании документированных
инструкций оператора, за исключением случаев, когда такая обработка должна
осуществляться на основании требований закона, например, при предоставлении
обработчиком информации на основании запроса государственных органов или судов
стран ЕС. При этом крайне целесообразно конкретизировать форму предоставления
таких документированных инструкций с учетом обеспечения последующей возможности
их использования при возникновении споров между сторонами или с регуляторами.
Обработчик обязан незамедлительно уведомить оператора о противоречии его
инструкций требованиям законодательства, например, если отсутствуют надлежащие
основания для трансграничной передачи данных в страны, не обеспечивающие
адекватной защиты прав субъектов персональных данных, к которым относится и
Россия;
- обязанность
обработчика обеспечить наличие у сотрудников и иных привлекаемых к обработке
лиц юридически значимых обязательств по обеспечению конфиденциальности
обрабатываемых персональных данных;
- обязанность
обработчика соблюдать технические меры защиты информации, указанные в ст. 32
GDPR (обезличивание, шифрование данных, тестирование систем безопасности и
др.);
- порядок привлечения
субобработчиков. Например, при условии предварительного согласования с
оператором или же посредством его уведомления с правом заявления возражения в
определенный период времени;
- оказание содействия
оператору в соблюдении им обязанностей по имплементации
организационно-технических мер защиты персональных данных, ответам на запросы
субъектов и выполнению иных требований GDPR, например, в части уведомлений об утечках
и иных инцидентах с данными;
- обязанность удалить
или возвратить экземпляры информации, содержащие персональные данные, по
окончании срока действия поручения с учетом применимых положений
законодательства, требующих хранения определенных видов данных;
- механизмы контроля
оператора за соблюдением обработчиком своих обязанностей.
Само соглашение может
заключаться как в письменной, так и в электронной форме (ст. 28(9) GDPR). При
этом EDPB особо подчеркивает, что текст условий не должен являться калькой с
положений GDPR, а должен представлять собой реальную конкретизацию таких
положений к конкретной ситуации <1>.
--------------------------------
<1> См.:
Guidelines 07/2020 on the Concepts of Controller and Processor in the GDPR.
Version 1.0. Adopted on 2 September 2020, § 109.
GDPR предусматривает возможность
принятия стандартных договорных условий, применимых к регламентации указанных
условий, одобренных Европейской Комиссией, а также национальными регуляторами (ст.
28(7), 28(8)). В июне 2021 г. Европейская комиссия утвердила текст стандартных
условий, применимых к отношениям между оператором и обработчиком <1>.
Кроме того, соответствующие стандартные условия были разработаны регуляторами
Дании и Словакии <2>. Они вполне могут использоваться в качестве основы
для разработки собственных соглашений в этой области с учетом специфики
обрабатываемых данных и сферы деятельности. При этом наличие одобренных регуляторами
или Европейской комиссией стандартных условий не ограничивает оператора и
обработчика в возможности согласовывать собственные условия.
--------------------------------
<1> См.:
Commission Implementing Decision (EU) 2021/915 of 4 June 2021 on standard
contractual clauses between controllers and processors under Article 28(7) of
Regulation (EU) 2016/679 of the European Parliament and of the Council and
Article 29(7) of Regulation (EU) 2018/1725 of the European Parliament and of
the Council. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32021D0915.
<2> См.: Opinion
14/2019 on the draft Standard Contractual Clauses submitted by the DK SA
(Article 28(8) GDPR). URL:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_opinion_201914_dk_scc_en.pdf;
Opinion 17/2020 on the draft Standard Contractual Clauses submitted by the SI
SA (Article 28(8) GDPR). URL:
https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-172020-draft-standard-contractual-clauses_en.
Нарушение требований ст. 28 GDPR может
повлечь ответственность в размере штрафа до 10 млн евро или до 2% от мировой
выручки за предыдущий финансовый год, в зависимости от того, что выше (ст.
83(4) GDPR).
Во-вторых, в отличие от Закона
о персональных данных, регламентирующего обязанности обработчика исключительно
в контексте договорных отношений с оператором, у обработчика по GDPR есть ряд
обязанностей в силу закона. К ним относятся:
- обеспечение наличия
обязательств по соблюдению режима конфиденциальности обрабатываемых
персональных данных работниками обработчика и иными лицами, привлеченными им (ст.
28(3) GDPR);
- фиксирование всех
действий, совершенных в процессе обработки персональных данных (ст. 30(2)
GDPR);
- имплементация организационно-технических
мер защиты персональных данных (ст. 32 GDPR);
- уведомление оператора
об утечке и иных инцидентах с данными без промедления по факту их выявления (ст.
33(2) GDPR);
- в ряде случаев -
назначение ответственного за обработку персональных данных (data protection
officer) (ст. 37 GDPR).
Кроме того, следует
отметить, что правила и ограничения, установленные GDPR в отношении
трансграничной передачи персональных данных, в равной степени применяются как к
оператору, так и к обработчику.
Таким образом, GDPR
значительно усилил по сравнению с ранее действовавшей Директивой 1995 г.
ответственность обработчиков за соблюдение законодательства о персональных
данных, не оставляя их деятельность исключительно на откуп существующим
договоренностям с оператором.
Статья 7. Конфиденциальность
персональных данных
1. Комментируемая статья прямо относит
персональные данные к разновидности информации ограниченного доступа (ст. 9
Закона об информации). Учитывая многообразие существующих правовых режимов
информации ограниченного доступа, сведения, являющиеся персональными данными,
могут одновременно подпадать под иной режим информации ограниченного доступа,
например, являться коммерческой тайной, врачебной тайной, банковской тайной.
При этом Закон о персональных данных не дает никаких ориентиров относительно
разрешения возможных коллизий между такими правовыми режимами (за исключением
режима государственной тайны, отношения по обработке которой выведены за рамки
законодательства о персональных данных). Представляется, что в таком случае
оператору целесообразно следовать наиболее рестриктивному правовому режиму.
Так, например, в отношении базы данных клиентов оператора, содержащей
персональные данные, оператором может быть установлен режим коммерческой тайны.
При этом в соответствии с Федеральным законом от 29 июля 2004 г. N 98-ФЗ
"О коммерческой тайне" оператору, как обладателю такой информации,
принадлежит достаточно широкий круг правомочий по определению ее режима и
судьбы. В данном случае оператор может распоряжаться информацией, составляющей коммерческую
тайну, только с соблюдением ограничений, предусмотренных законодательством о
персональных данных. У него нет возможности обойти данные ограничения
посредством установления по собственной инициативе альтернативного, более
либерального правового режима. Если же, к примеру, информация, составляющая
персональные данные, одновременно является банковской тайной и в отношении ее
обработки и защиты установлены дополнительные требования, например в части
идентификации ее субъектов, то представляется, что они должны применяться в
совокупности с положениями законодательства о персональных данных, а в случае
коллизий - иметь приоритет.
2. Положения
комментируемой статьи могут иметь важное значение при оценке законности
требований о предоставлении персональных данных в различных правоотношениях, в
том числе в сфере государственных закупок. Так, нередко для подтверждения
наличия квалификации или трудовых ресурсов от участников закупок заказчики
требуют предоставить копии трудовых договоров, трудовых книжек работников,
приказов о приеме на работу, а также копии дипломов о профессиональном
образовании работников. Поскольку указанные сведения являются персональными
данными, в отношении которых оператор обязан соблюдать требование
конфиденциальности, соответствующие требования не соответствуют положениям
законодательства. По мнению антимонопольного органа, предоставление документов
и сведений, которые требует заказчик, напрямую не предусмотрено Федеральным законом
от 5 апреля 2013 г. N 44-ФЗ "О контрактной системе в сфере закупок
товаров, работ, услуг для обеспечения государственных и муниципальных нужд"
<1>, в связи с чем заказчик не вправе требовать от участника закупки
предоставления таких сведений (Решение Алтайского краевого УФАС России от 24
июня 2014 г. по делу N 295/14). Аналогичным образом требование государственного
заказчика предоставить справки формы 2-НДФЛ на каждого сотрудника участника
торгов было признано не соответствующим требованиям закона (Решение ФАС России
от 31 июля 2013 г. по делу N К-1230/13). Верховный Суд РФ в одном из
определений указал, что исключение участником торгов из предоставляемой
госзаказчику информации сведений, составляющих персональные данные сотрудников
(фамилий, имен, отчеств; паспортных данных; ИНН; СНИЛС), не давших согласие на
раскрытие такой информации, соответствует Закону о персональных данных. Как
следствие, у госзаказчика отсутствуют правовые основания для отклонения заявки
общества от участия в предварительном отборе (Определение Верховного Суда РФ от
2 октября 2019 г. по делу N А56-85478/2018).
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
3. Другим примером применения данной статьи
на практике являются случаи признания судами правомерным отказа лиц в
предоставлении информации, составляющей персональные данные, на основании
запроса адвоката.
Суды отмечают, что
предоставление информации о персональных данных субъекта по адвокатскому
запросу федеральным законодательством не предусмотрено. А закрепленное в ст. 6
Федерального закона от 31 мая 2002 г. N 63-ФЗ "Об адвокатской деятельности
и адвокатуре в Российской Федерации" <1> право адвоката собирать
сведения, необходимые для оказания юридической помощи, и обязанность
соответствующего органа предоставить такую информацию не распространяются на
установленные законом конфиденциальные сведения, к числу которых относятся и
персональные данные (Определение Первого кассационного суда общей юрисдикции от
28 апреля 2020 г. N 16-1551/2020; Апелляционное определение Московского
городского суда от 14 февраля 2018 г. по делу N 33а-448/2018; Апелляционное определение
Санкт-Петербургского городского суда от 15 мая 2019 г. по делу N 2а-6545/2018; Определение
Приморского краевого суда от 28 апреля 2014 г. по делу N 33-3718). Однако
адвокат не лишен возможности при рассмотрении судом конкретного дела с участием
его доверителя обратиться к суду с ходатайством об истребовании доказательств,
в том числе сведений, содержащих конфиденциальную информацию (Кассационное определение
Шестого кассационного суда общей юрисдикции от 12 ноября 2019 г. N
88а-260/2019; Апелляционное определение Свердловского областного суда от 22
октября 2020 г. по делу N 33а-13992/2020).
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
4. В отличие от ситуации с предоставлением
персональных данных по запросу адвокатов практика по предоставлению такой
информации по запросу арбитражных управляющих является не столь однозначной. По
мнению одних судов, в положениях п. 1 ст. 20.3 Закона о банкротстве отсутствует
указание на право арбитражного управляющего истребовать сведения, составляющие
персональные данные. При этом в отношении запроса сведений о должнике ст. 129
Закона о банкротстве не предоставляет конкурсному управляющему дополнительных
полномочий (Постановление Арбитражного суда Северо-Западного округа от 10
августа 2020 г. по делу N А56-137254/2019). Другие суды полагают, что
арбитражный управляющий вправе запрашивать такую информацию. При этом они
ссылаются на открытый перечень информации, которая может быть запрошена арбитражным
управляющим, и специальный характер положений Закона о банкротстве по отношению
к Закону о персональных данных, предусмотренный в п. 3 ст. 232 Закона о
банкротстве. Согласно данному положению впредь до приведения законов и иных
нормативных правовых актов, действующих на территории РФ и регулирующих
отношения, связанные с банкротством, в соответствие с настоящим Федеральным законом
указанные законы и иные нормативные правовые акты применяются постольку,
поскольку они не противоречат настоящему Федеральному закону (Постановление
Арбитражного суда Северо-Кавказского округа от 17 сентября 2018 г. N
Ф08-7169/2018 по делу N А63-14832/2017). Представляется, что более правильным
является подход, при котором арбитражный управляющий рассматривается как лицо,
действующее во исполнение судебного акта о введении соответствующей процедуры
банкротства и в целях исполнения возложенных на него Законом о банкротстве
обязанностей. В этой связи должны применяться положения п. 2 ч. 1 ст. 6 Закона
о персональных данных (Постановление Арбитражного суда Центрального округа от
14 февраля 2019 г. по делу N А08-4342/2018).
При этом арбитражный
управляющий как оператор должен соблюдать все требования законодательства о
персональных данных, в том числе принципы. В частности, он не должен запрашивать
избыточных сведений. Так, в одном из дел арбитражный управляющий запросил у
ряда провайдеров сервисов электронной почты "сведения о зарегистрированных
на имя должника почтовых аккаунтах, предоставлении доступа к ним с указанием на
логин и пароль, распечатки переписки за последние пять лет". Суды признали
отказ провайдеров предоставить такие данные законным, поскольку
"управляющий не представил достаточные доказательства возможности
формирования конкурсной массы вследствие получения доступа к электронной
переписке. Получение доступа к электронной переписке обеспечит доступ не только
в отношении персональных данных, личной тайны должника, но и в отношении личной
тайны и персональных данных третьих лиц, чьи права и законные интересы могут
быть нарушены" (Постановление Арбитражного суда Северо-Кавказского округа
от 16 августа 2019 г. по делу N А53-23516/2017).
Кроме того, наличие у
арбитражного управляющего общих правомочий по запросу сведений, составляющих
персональные данные, не означает возможность запрашивать любые такие данные, в
том числе в отношении которых установлен особый порядок обработки. В частности,
по общему правилу у арбитражного управляющего нет возможности запрашивать
информацию о наличии или отсутствии у должника судимости за совершение
преступлений в сфере экономики (Постановление Арбитражного суда
Дальневосточного округа от 25 июля 2019 г. по делу N А24-1527/2019; Постановление
Арбитражного суда Уральского округа от 4 мая 2017 г. по делу N А76-15768/2016).
5. Новая редакция ст. 7,
вступившая в силу 1 сентября 2011 г., исключила указание на возможность
несоблюдения режима конфиденциальности в отношении общедоступных, а также
обезличенных данных. Принимая во внимание, что обезличенные данные в
большинстве своем сохраняют идентификационный потенциал и могут относиться к
косвенно определяемому лицу, а также потенциал технологий "больших
данных", позволяющих без особого труда осуществлять деобезличивание
данных, такой подход представляется логичным.
Что же касается
общедоступных данных, то, с одной стороны, такой статус сохраняется за ними до
соответствующего волеизъявления субъекта о прекращении такой обработки (ч. 2
ст. 8 и ч. 12 и 13 ст. 10.1 Закона о персональных данных), а с другой -
возможность обработки общедоступных данных без согласия субъекта не носит
безграничный характер и должна осуществляться в соответствии с принципами
обработки персональных данных и условиями такого согласия. Соответственно,
несмотря на общедоступность соответствующих персональных данных, такие данные в
ряде случаев будут являться ограниченными для обработки третьими лицами.
Статья 8. Общедоступные
источники персональных данных
Комментарий к статье 8
1. Указанная норма возникла в ходе
рассмотрения во втором чтении законопроекта N 217352-4 <1>, ставшего
впоследствии Федеральным законом "О персональных данных". Во многом
ее содержание заимствовало положения, которые на тот момент уже содержались в
европейском законодательстве. Так, в ст. 12 Директивы 2002/58/ЕС о защите
частной жизни в сфере телекоммуникаций предусматривается возможность создания
справочников с контактной информацией абонентов телекоммуникационных сервисов.
При этом она предусматривает, что: а) субъекты персональных данных должны быть
бесплатно извещены о планируемом включении их данных в такого рода справочники
с описанием механизма поиска в этих справочниках; б) субъектам персональных
данных должна быть предоставлена возможность внесения исправлений в сведения о
них, содержащиеся в таких справочниках; в) в случае использования таких
справочников для целей, отличных от поиска обычной контактной информации,
необходимо получение согласия субъекта персональных данных. Как видно, в
европейском законодательстве данная норма имеет вполне определенную целевую
направленность: защиту прав граждан при создании операторами информационных
справочных ресурсов с их контактной информацией.
--------------------------------
<1>
https://sozd.duma.gov.ru/bill/217352-4
2. Положения комментируемой статьи
сформулированы более широко и посвящены общедоступным источникам персональных
данных, которые доступны неопределенному кругу лиц, таким как справочники
(например, лиц, проживающих в многоквартирном доме; работников оператора и
т.п.) или адресные книги.
Исходя из буквального
смысла положений ч. 1 ст. 8 Закона о персональных данных, общедоступный
источник персональных данных характеризуется двумя основными признаками: 1)
характером размещаемой информации: такой источник содержит преимущественно
контактную или иную справочную информацию о соответствующем субъекте
персональных данных; 2) администратор такого общедоступного источника
определяет содержание данных, включаемых в общедоступные источники персональных
данных. Иными словами, если структура такого справочника предполагает указание
только Ф.И.О., даты рождения, образования, стажа работы и адреса электронной
почты, то субъект по собственному усмотрению не может расширить такой список и
указать в одном из таких полей иную информацию, например о своих публикациях,
участии в конференциях или общественных советах.
В этой связи не будут
являться общедоступными источниками персональных данных для целей ст. 8 Закона
о персональных данных интернет-ресурсы, где субъект персональных данных наделен
значительной степенью усмотрения по определению характера размещаемой
информации о себе, хотя и в пределах установленных правилами такого
онлайн-ресурса рамок. Примерами таких ресурсов являются социальные сети,
онлайн-сайты с отзывами о товарах или услугах, интернет-форумы и прочие
подобные информационные ресурсы. Помимо стандартизированной информации, которую
пользователь указывает в профиле, он может сообщать самые разные данные о своей
жизни в текстах сообщений, размещаемых на таких ресурсах. Как следствие, такие
онлайн-ресурсы содержат богатый набор разнообразной информации, содержащей
оценочные суждения, информацию о других лицах, объекты интеллектуальной собственности
и т.п., что явно выходит за пределы собственно цели информационно-справочного
обеспечения, а предоставляет возможность для самовыражения и площадку для
обмена мнениями.
3. Комментируемая статья
касается лишь тех общедоступных источников, которые создаются по инициативе
оператора, а не в рамках исполнения им требований законодательства о раскрытии
или опубликовании определенной информации (п. 11 ч. 1 ст. 6 Закона о
персональных данных). Таким образом, она не касается сведений, содержащихся в
ЕГРЮЛ, а также в иных реестрах, формируемых в соответствии с законодательством
РФ (Постановление Президиума Нижегородского областного суда от 6 июля 2016 г.
по делу N 44г-49/2016; Апелляционное определение Тамбовского областного суда от
15 февраля 2016 г. по делу N 33-500/2016).
Режим использования и
изменения информации, содержащейся в них, определяется требованиями
законодательства и основан на принципе открытости и достоверности данных,
содержащихся в государственных информационных системах. Так, в соответствии с ч.
9 ст. 14 Закона об информации государственные органы обязаны обеспечить
достоверность и актуальность информации, содержащейся в государственной
информационной системе, доступ к указанной информации в случаях и в порядке,
которые предусмотрены законодательством, а также защиту указанной информации от
неправомерных доступа, уничтожения, модифицирования, блокирования, копирования,
предоставления, распространения и иных неправомерных действий.
4. Главным условием
создания и использования оператором общедоступного источника персональных
данных является получение согласия на это от каждого субъекта, персональные
данные которого в них включаются. При этом Закон не делает никаких исключений
из указанных положений, в связи с чем включение оператором персональных данных,
которые уже были сделаны общедоступными субъектом ранее, в создаваемый таким
оператором источник общедоступных данных все равно требует согласия субъекта.
Во многом это связано с тем, что создание баз данных, содержащих персональные
данные, уже само по себе несет определенные риски для субъектов, в связи с чем
должно быть ими санкционировано. Такое согласие должно быть выражено в
письменной форме и отвечать требованиям, указанным в ст. 9 Закона о
персональных данных, главным образом - в ее ч. 4, конкретизирующей требования к
содержанию и реквизитам такого согласия.
5. В соответствии с ч. 2
комментируемой статьи оператор общедоступного источника персональных данных
обязан исключить сведения о субъекте на основании заявления такого субъекта,
решения суда или требования уполномоченного органа (например, прокуратуры или
Роскомнадзора). Рассматриваемая норма не устанавливает срок, в течение которого
оператор должен удалить сведения, в связи с чем представляется, что здесь
применимы положения ч. 1 ст. 21, в силу которых оператор должен заблокировать
доступ к данным с момента обращения субъекта, то есть незамедлительно. В
результате указанных действий персональные данные должны перестать быть
доступными третьим лицам для ознакомления и обработки. Отказ оператора в
удовлетворении требований субъекта персональных данных об исключении его данных
из общедоступного источника в порядке ч. 2 ст. 8 Закона о персональных данных
дает право субъекту обжаловать данный отказ или бездействие оператора в
Роскомнадзор или в судебном порядке (см. комментарий к ст. 17 Закона).
6. В связи со включением
в Закон о персональных данных положений ст. 10.1, регламентирующих порядок
обработки персональных данных, разрешенных субъектом для распространения, ст. 8
Закона о персональных данных в большинстве своем утратила самостоятельное
значение. Это связано с тем, что положения ст. 10.1 в полной мере охватывают те
отношения, которые возникают при размещении информации в общедоступных
источниках персональных данных. Поэтому ст. 8 Закона о персональных данных
должна была бы быть исключена со вступлением в силу ст. 10.1, но этого не было
сделано, возможно, вследствие спешки при разработке и принятии Федерального закона
N 519-ФЗ. Остается выразить надежду, что это будет сделано впоследствии. До
указанного момента возникает коллизия между положениями ст. 8 и 10.1 Закона о
персональных данных в части разных требований к согласию, которое субъект
должен предоставить. По ст. 8 такое согласие должно быть дано в письменной
форме и соответствовать требованиям ч. 4 ст. 9 Закона о персональных данных. В
отношении же персональных данных, разрешенных субъектом для распространения,
требуется получение особого согласия, соответствующего требованиям, утвержденным
Роскомнадзором (ч. 9 ст. 9). Не исключено, что Роскомнадзор захочет примирить
данные положения и обозначит позицию, согласно которой положения ст. 10.1 не
распространяются на обработку персональных данных в общедоступных источниках
информации. В этой связи до выхода официальных разъяснений рекомендуется
прояснить данный вопрос в рамках обращения с запросом о таких разъяснениях в
индивидуальном порядке.
Статья 9. Согласие субъекта
персональных данных на обработку его персональных данных
1.1. Одной из основных целей
регулирования порядка дачи субъектом согласия на обработку является устранение
существующей информационной асимметрии в отношениях между оператором и
субъектом персональных данных и обеспечение автономии воли последнего. Предполагается,
что человек, обладая всей необходимой информацией, способен рационально оценить
риски и принять взвешенное решение. Право субъекта персональных данных на дачу
согласия на обработку своих данных в совокупности с правами субъекта
персональных данных на отзыв такого согласия, а также на доступ к информации о
порядке обработки своих данных можно в совокупности обозначить как проявление
концепции права субъекта персональных данных на информационное самоопределение
и возможность влияния на процессы обработки данных о нем. В этой связи вполне
логично, что согласие субъекта персональных данных является единственным универсальным легитимирующим
основанием для любого сбора, использования или иных видов обработки
персональных данных, все остальные основания для обработки персональных данных
в отсутствие согласия субъекта предполагают либо наличие специальной цели
обработки, либо наличие специального субъекта на стороне оператора, либо
совокупности указанных факторов.
1.2. Закон о
персональных данных вслед за европейским законодательством предусматривает
четыре основных квалифицирующих признака, которым в совокупности должно удовлетворять согласие субъекта персональных
данных для того, чтобы выступать надлежащим легитимирующим основанием для
обработки его данных. Причем данные четыре критерия недавно нашли свое
формальное отражение и в тексте Модернизированной Конвенции N 108 (ст. 5(2)),
которая была подписана Россией. Такое согласие должно быть:
- конкретным, то есть явно выраженным и определенным. Факт дачи
согласия не должен быть предметом домыслов, а должен следовать из конкретных
действий субъекта, свидетельствующих об этом. Молчание или бездействие субъекта
персональных данных, даже если такое поведение в соответствии с политикой конфиденциальности
оператора будет признаваться согласием, не будет удовлетворять указанному
требованию. В частности, предустановленные галочки напротив формы согласия
субъекта не могут рассматриваться в качестве конкретного согласия, поскольку
бездействие субъекта в виде оставления такой галочки на месте не может быть
однозначно истолковано как его согласие: субъект мог просто не заметить
соответствующее положение <1>. Аналогичным образом действия субъекта
персональных данных по использованию устройства или интернет-сервиса с
использованием настроек конфиденциальности по умолчанию в отсутствие каких-либо
свидетельств их изменения пользователем также не удовлетворяют указанному
требованию;
- информированным, то есть даче согласия должно предшествовать
предоставление субъекту всей необходимой и достоверной информации о целях
обработки, об обрабатываемых данных, операторе и иных лицах, которые будут
осуществлять обработку персональных данных, сроке обработки и всех иных
релевантных параметрах обработки персональных данных. Предоставляемая
оператором информация должна позволять субъекту получить ответы на вопросы:
кто, зачем, какие данные, каким образом и в течение какого срока будет
обрабатывать. При этом не будет лишним предоставление расшифровки основных терминов,
которые используются в соответствующем документе (форме согласия, договоре), в
противном случае есть риск непризнания данного согласия соответствующим
указанному требованию. Как указал суд, "согласие на обработку персональных
данных должно быть конкретным, информированным и сознательным и предполагает
как минимум письменное разъяснение субъекту персональных данных значение
понятия "обработка персональных данных". Ни договор страхования, ни
заявление о страховании, ни полисные условия не содержат никакого разъяснения
указанного понятия" (Постановление Арбитражного суда Северо-Западного
округа от 18 июля 2016 г. N Ф07-5537/2016 по делу N А44-9647/2015);
- сознательным, то есть обдуманным и осмысленным. Соответствующая
информация должна быть воспринята субъектом персональных данных и отражать его
действительные намерения. Вынужденный характер дачи согласия ставит под
сомнение его соответствие указанному требованию;
- свободным. Данное требование предполагает недопустимость понуждения
субъекта к даче такого согласия под угрозой наступления неблагоприятных для
него последствий. Наиболее актуальным данное требование является в трудовых
отношениях, публично-правовых отношениях и потребительских договорах.
Применительно к ним существует судебная практика, предусматривающая
недопустимость понуждения субъекта к даче согласия. Как указал суд,
"реализация работником права на получение дополнительных льгот,
предоставляемых в связи с трудовыми правоотношениями, не может ставиться в
зависимость от предоставления им работодателю неограниченного доступа к
персональным данным, безотносительно к тому, какой объем информации
действительно является необходимым работодателю, поскольку это нарушало приведенные
выше правила ст. 5 Федерального закона от 27 июля 2006 г. N 152-ФЗ, а также
принцип добровольности выражения согласия субъектом персональных данных и
одновременно, как указано выше, обладало бы признаками дискриминации в сфере
труда" (Определение Третьего кассационного суда общей юрисдикции от 16
декабря 2020 г. по делу N 88-17959/2020. См. также: Апелляционное определение
Санкт-Петербургского городского суда от 20 августа 2020 г. по делу N
2-614/2020). Аналогичным образом понуждение субъекта к даче согласия как
условия предоставления ему государственной услуги является незаконным
(Кассационное определение Судебной коллегии по административным делам
Верховного Суда РФ от 22 января 2020 г. N 5-КА19-56). Наконец, условия
договоров, в которых у потребителя отсутствует возможность выражения согласия
или отказа от обработки персональных данных, были признаны незаконными как
противоречащие ст. 16 Закона о защите прав потребителей (Постановление
Арбитражного суда Северо-Западного округа от 2 апреля 2018 г. по делу N А44-745/2017;
Постановление Девятого арбитражного апелляционного суда от 26 февраля 2018 г.
по делу N А40-183756/17). При этом подобная судебная практика является
достаточно многочисленной <2>. Принцип добровольности дачи согласия
означает и невозможность привлечения работодателя к ответственности за
непредоставление сведений, которые тот может получить только на основании
согласия работника, если такое согласие не было дано <3>.
--------------------------------
<1> Достаточно
подробно вопрос о несоответствии предустановленных галочек требованиям
конкретности применительно к согласию рассматривается в решении Европейского
суда Справедливости по делу Bundesverband der Verbraucherzentralen und - Verbraucherzentrale Bundesverband eV v.
Planet49 GmbH (2019) Case C-673/17, 1 October 2019. Несоответствие
предустановленных галочек (pre-ticketed
boxes) требованиям конкретного (specific)
и явно выраженного согласия (unambiguous)
прямо указано в п. 32 преамбулы GDPR.
<2> См.: Постановление
Арбитражного суда Северо-Западного округа от 18 июля 2016 г. N Ф07-5537/2016 по
делу N А44-9647/2015 ("Отсутствие у потребителя права выбора возможности
согласия или отказа в согласии на обработку персональных данных ущемляет права
потребителей, что в силу статьи 16 Закона N 2300-1 свидетельствует об их
недействительности в этой части"); Постановление Тринадцатого арбитражного
апелляционного суда от 3 июня 2014 г. по делу N А56-56137/2013 ("Поскольку
Обществом не обоснована невозможность исполнения договора в объемах, требуемых
потребителем, в отсутствие персональных данных, с учетом позиции, изложенной в Определении
Конституционного Суда Российской Федерации от 6 июня 2002 г. N 115-О, суд
апелляционной инстанции приходит к выводу о наличии в действиях Общества состава
административного правонарушения, предусмотренного частью 1 статьи 14.4 КоАП
РФ"). См. также: Постановление Арбитражного суда Уральского округа от 7
апреля 2015 г. N Ф09-793/15 ("условия вышеуказанных правил изложены таким
образом, что гражданин не имеет возможности свободно выразить согласие или
отказаться от передачи персональных данных третьим лицам... и иным образом
объективно повлиять на содержание того согласия, которое в силу закона должно
даваться им самостоятельно"); Постановление Федерального арбитражного суда
Уральского округа от 27 июня 2012 г. N Ф09-4511/12 по делу N А50-22009/2011; Постановление
Седьмого арбитражного апелляционного суда от 18 марта 2014 г. по делу N
А27-13718/2013; Постановление Девятого арбитражного апелляционного суда от 10
декабря 2012 г. N 09АП-34468/2012 по делу N А40-98144/12-21-923 и др.
<3> В этой связи
представляет интерес Заключение Комиссии по правовому обеспечению цифровой
экономики МО АЮР от 19 октября 2020 г. о незаконности требований московских
властей об обязании работодателей предоставлять ряд персональных данных
дистанционных работников, установленных в рамках борьбы с коронавирусной
инфекцией. См.: https://alrf.msk.ru/no_value_selected_125959234.
1.3. По общему правилу, согласие на
обработку персональных данных может быть дано в любой форме, позволяющей
подтвердить факт его получения, если только специальная форма дачи согласия
прямо не предусмотрена законом. При этом равнозначным содержащему
собственноручную подпись субъекта персональных данных согласию в письменной
форме на бумажном носителе признается согласие в форме электронного документа,
подписанного в соответствии с федеральным законом электронной подписью (ч. 4
комментируемой статьи). В совокупности данные положения позволяют получать
согласие в различных формах:
1) письменный документ, собственноручно подписанный субъектом
персональных данных. Согласие на обработку персональных данных может быть
оформлено в виде отдельного документа или быть инкорпорированным в текст
договора, стороной которого является субъект. При этом согласие на обработку
персональных данных может выводиться посредством толкования из иных положений
письменного договора. Например, условие соглашения об уплате алиментов,
предусматривающее обязанность лица по предоставлению справки по форме 2-НДФЛ,
было квалифицировано судом как согласие на обработку таких сведений
(Апелляционное определение Московского городского суда от 10 сентября 2020 г.
по делу N 33-34143/2020). При оформлении согласия в форме документа,
собственноручно подписанного субъектом, крайне целесообразно сохранять
оригиналы таких документов. Это обусловлено существующими требованиями
процессуального законодательства, которые в ряде случаев не позволяют считать
факт установленным, если он подтвержден лишь копией документа в отсутствие
предоставленного суду оригинала (ч. 6 ст. 71, ч. 3 ст. 75 АПК РФ, ч. 7 ст. 67, ч.
2 ст. 71 ГПК РФ);
2) устная форма. Данный подход используется банками и иными
организациями при организации функционирования колл-центров. Следует отметить,
что в отдельных разъяснениях Роскомнадзора содержится указание на то, что
действующее законодательство не предусматривает возможность получения согласия
по телефону <1>. Данное разъяснение следует рассматривать как
противоречащее прямому указанию Закона о возможности дачи согласия в любой форме. Главное, чтобы оператор
имел доказательства его предоставления, что может быть достигнуто, например,
посредством записи такого разговора при предупреждении об этом субъекта. Таким
образом, нет формальных оснований считать противоречащим законодательству следующий
механизм дачи согласия: при обращении субъекта персональных данных по телефону
поддержки производится его идентификация, фиксируются метаданные разговора (в
частности, с какого номера, в какое время и какой продолжительности был
звонок), а также осуществляется запись содержания разговора, о чем
предварительно предупреждается абонент;
3) конклюдентная форма. В данном случае согласие субъекта персональных
данных недвусмысленно следует из его поведения, в том числе на
интернет-ресурсах. Как разъяснил Роскомнадзор, согласие на обработку
персональных данных может быть получено посредством проставления галочки
пользователем в соответствующей веб-форме <2>. В другом месте
представители Роскомнадзора отмечают, что "регистрация пользователя
Интернета на сайте, подтвержденная логином и паролем, означает согласие
субъекта на обработку его персональных данных" <3>. В качестве
подтверждения факта проставления галочки данным конкретным субъектом могут
служить косвенные доказательства, такие как оплата товара или услуги банковской
картой, принадлежащей субъекту персональных данных, при условии технической невозможности инициирования процесса
размещения заказа без предварительного выражения согласия с условиями обработки
персональных данных (Апелляционное определение Московского городского суда от
26 августа 2020 г. по делу N 33-30803/2020). Аналогичным образом, если
функционал интернет-ресурса не позволяет без предварительного выражения согласия
на обработку персональных данных разместить контент на таком ресурсе (например,
резюме соискателя), то последующий факт размещения такого контента будет
автоматически считаться подтверждением и факта выражения лицом согласия на
обработку его данных (Апелляционное определение Московского городского суда от
12 февраля 2019 г. по делу N 33-5265/2019). При этом крайне важно подчеркнуть
один момент. Проставление галочки субъектом не является само по себе
электронной подписью. Соответственно, такая форма дачи согласия не может
использоваться для тех случаев, когда закон требует получения согласия субъекта
в письменной форме со всеми реквизитами, включая собственноручную или электронную
подпись стороны. Вместе с тем Закон о персональных данных не требует
обязательного наличия подписи в любом согласии субъекта. Здесь уместно привести
разъяснение Верховного Суда РФ, согласно которому юридически значимое действие
(оферта) не требует обязательного наличия подписи, если сопутствующие
обстоятельства позволяют достоверно установить направившее ее лицо <4>.
Соответственно, во всех случаях, когда в силу Закона не требуется получение
согласия исключительно в письменной форме, возможно получение такого согласия в
форме галочки, и оно не может быть признано противоречащим закону в силу факта
отсутствия в нем электронной подписи;
4) электронный документ, подписанный простой электронной подписью в виде
СМС. В соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ
"Об электронной подписи" (далее - Закон об электронной подписи)
простая электронная подпись - это электронная подпись, которая создается
посредством использования кодов, паролей или иных средств и подтверждает факт
формирования электронной подписи определенным лицом. Такого рода согласие может
быть выражено в виде ввода СМС-кода, отправленного на телефон субъекта
персональных данных при регистрации на соответствующем ресурсе. Документ, с
которым было выражено согласие в подобной форме, признается судами в качестве
подписанного простой электронной подписью (Определение Приморского краевого
суда от 7 апреля 2015 г. по делу N 33-2865: "Согласно Оферте СМС-код
используется в качестве электронной подписи клиента для формирования им каждого
электронного документа. В случае идентичности СМС-кода, направленного банком, и
СМС-кода, введенного в форме электронного документа для подтверждения передачи
клиентом соответствующего распоряжении/заявления через интернет-банк, такая
электронная подпись считается подлинной и предоставленной клиентом").
Крайне важно подчеркнуть, что для обеспечения юридической силы простой
электронной подписи необходимо также выполнение требований ст. 6 Закона об
электронной подписи, предусматривающих обязательность наличия определенных
условий в договоре с пользователем (правила определения лица, подписывающего электронный
документ, на основании простой электронной подписи; его обязанность
обеспечивать конфиденциальность ключа электронной подписи и порядок проверки
подлинности электронной подписи) <5>. В этой связи следует признать
противоречащими как положениям законодательства, так и судебной практике
разъяснения Роскомнадзора, в которых содержится указание на то, что действующее
законодательство не предусматривает возможность получения согласия по СМС
<6>;
5) электронная форма дачи согласия, выраженного в электронном письме,
направленном с электронной почты субъекта персональных данных. Электронная
почта признается судебной практикой в качестве одного из возможных
идентификаторов лица. Так, в Постановлении Президиума ВАС РФ от 12 ноября 2013
г. N 18002/12 указано, что "получение или отправка сообщения с
использованием адреса электронной почты, известного как почта самого лица или
служебная почта его компетентного сотрудника, свидетельствует о совершении этих
действий самим лицом, пока им не доказано обратное". В этой связи
посредством электронной почты вполне можно давать обычное согласие на обработку
персональных данных. Если же дополнительно выполнены требования ст. 6 и 9
Закона об электронной подписи, в частности, стороны (оператор и субъект)
достигли соглашения о том, что направление сообщения с определенного
электронного адреса будет считаться подписанием документа простой электронной
почтой, и включили в такое соглашение указанные в этих статьях условия, то
такое согласие будет считаться подписанным простой электронной подписью
<7>. Как следствие, оно может использоваться для дачи согласия, которое
может быть получено только в письменной форме, разумеется, при условии
включения в него всех сведений, указанных в ч. 4 комментируемой статьи;
6) документ, подписанный
усиленной квалифицированной подписью субъекта. Данная форма дачи согласия в
электронной форме является наиболее надежной, но и труднореализуемой в силу
отсутствия у большинства субъектов такой подписи и сложностей, связанных с ее
получением.
--------------------------------
<1> См.: Информация
Роскомнадзора "Ответы на вопросы в сфере защиты прав субъектов
персональных данных".
<2> См.: Должны ли
интернет-магазины требовать согласие покупателя на обработку персональных
данных - ответы на часто поступающие вопросы граждан. 17 ноября 2017 г. URL:
https://rkn.gov.ru/news/rsoc/news51712.htm.
<3> Федеральный
закон "О персональных данных": научно-практический комментарий / под
ред. А.А. Приезжевой. С. 48, 52.
<4> См.: п. 9
Постановления Пленума Верховного Суда РФ от 25 декабря 2018 г. N 49 "О
некоторых вопросах применения общих положений Гражданского кодекса Российской
Федерации о заключении и толковании договора".
<5> См. подробнее:
Савельев А.И. Электронная коммерция в России и за рубежом. Правовое
регулирование. М., 2016. С. 230 - 233.
<6> См.: Информация
Роскомнадзора "Ответы на вопросы в сфере защиты прав субъектов
персональных данных".
<7> Данная позиция
была также высказана Минкомсвязи РФ. См.: Можно ли считать адрес отправителя
входящего электронного письма простой электронной подписью отправителя? URL:
http://minsvyaz.ru/ru/appeals/faq/33/.
1.4. В отсутствие всех необходимых
условий обработки непосредственно в тексте подписываемого субъектом согласия на
обработку информированный характер согласия на обработку персональных данных
предполагает наличие у политики конфиденциальности соответствующего оператора и
возможности предварительного ознакомления с ее положениями. Наличие такой
политики и ее доступность для ознакомления являются не только сложившимся
обычаем в сфере электронной коммерции, но и прямым требованием
законодательства. В соответствии с ч. 2 ст. 18.1 Закона о персональных данных
оператор, осуществляющий сбор персональных данных с использованием
информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей
информационно-телекоммуникационной сети документ, определяющий его политику в
отношении обработки персональных данных, и сведения о реализуемых требованиях к
защите персональных данных, а также обеспечить возможность доступа к указанному
документу с использованием средств соответствующей
информационно-телекоммуникационной сети.
При этом следует
отметить, что, несмотря на то что выражение согласия с политикой
конфиденциальности может выглядеть как заключение некоего соглашения, правовая
природа данного действия представляет именно одностороннее волеизъявление
субъекта, требования к которому определяются не нормами гражданского
законодательства о договорах, а положениями ст. 9 Закона о персональных данных.
Положения политики конфиденциальности определяют собой содержание такого
согласия и в этой связи выступают как особый способ изложения такого
содержания. Если бы положения такой политики были бы перенесены непосредственно
в текст одностороннего документа, названного "согласие", ничего
принципиальным образом бы не изменилось. В этой связи выражение согласия
субъектом с политикой конфиденциальности является не заключением соглашения, а
приемом юридической техники, посредством которого определяются условия
обработки персональных данных, с которыми субъект выражает согласие.
1.5. Срок обработки
персональных данных является одним из важных параметров обработки персональных
данных, который должен надлежащим образом доводиться до сведения субъекта. При
этом нередко операторы указывают необоснованно долгие сроки действия такого
согласия. Некоторые суды, отмечая наличие у субъекта права на отзыв такого
согласия в любой момент, не находят нарушения закона в такой практике
(Апелляционное определение Московского городского суда от 18 июня 2018 г. по
делу N 33-26378/2018). Однако, по мнению Роскомнадзора, она противоречит закону.
По его мнению, нельзя предусматривать неограниченный срок действия согласия на
обработку персональных данных или указывать ничем не мотивированные сроки,
например 15, 50 или 70 лет (Семинар
Роскомнадзора от 26 ноября 2020 г.).
2.1. Закон о
персональных данных также наделяет субъекта правом на отзыв ранее данного
согласия на обработку его данных. Правовым последствием такого отзыва является
утрата права оператора на обработку персональных данных такого субъекта, за
исключением случаев, когда оператор имеет иные предусмотренные Законом о
персональных данных основания для обработки таких данных (п. 2 - 11 ч. 1 ст. 6,
ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных). Бремя доказывания
наличия таких оснований возлагается на самого оператора.
Так, например, если
между сторонами заключен кредитный договор, то банковская организация имеет
право обрабатывать персональные данные клиента сразу по нескольким основаниям:
1) согласие субъекта персональных
данных; 2) для целей исполнения договора,
стороной которого является субъект (п. 5 ч. 1 ст. 6); 3) для выполнения возложенных законодательством на оператора обязанностей
(обязанность сохранять идентифицирующие клиента документы в течение не менее
пяти лет - п. 4 ст. 7 Федерального закона от 7 августа 2001 г. N 115-ФЗ "О
противодействии легализации (отмыванию) доходов, полученных преступным путем, и
финансированию терроризма"; обязанность хранить первичные учетные
документы, регистры бухгалтерского учета и бухгалтерскую отчетность в течение
сроков, устанавливаемых в соответствии с правилами организации государственного
архивного дела, но не менее пяти лет - ч. 1 ст. 29 Федерального закона от 6
декабря 2011 г. N 402-ФЗ "О бухгалтерском учете", все хозяйственные
операции, проводимые организацией, должны оформляться оправдательными
документами). Таким образом, отношения кредитора и заемщика после окончания
гражданско-правовых отношений порождают для банка финансовые обязательства
перед государством, которые подлежат государственному контролю, в связи с чем
отзыв субъектом согласия на обработку персональных данных, даже если он сделан
после надлежащего исполнения сторонами кредитного договора, не влечет
безусловной обязанности банка прекратить обработку персональных данных и
уничтожить их в порядке ч. 5 ст. 21 Закона о персональных данных.
2.2. Отзыв согласия на
обработку распространяет свое действие лишь на будущий период и не имеет
ретроактивного действия. Таким образом, обработка персональных данных,
осуществлявшаяся оператором до такого отзыва, будет продолжать считаться
законной и после него.
2.3. Крайне желательно
оформлять отзыв согласия на обработку персональных данных таким образом, чтобы
у субъекта была возможность доказывания факта его направления оператору в
определенный момент, например, заказным письмом с уведомлением о вручении или
посредством проставления штампа канцелярии оператора о приеме документа на его
втором экземпляре.
2.4. Право субъекта
персональных данных может быть полезным в ситуациях, когда согласие на
обработку персональных данных носило вынужденный
характер, в частности, когда оператор обусловил предоставление товара или
услуги либо совершение иного действия предварительной дачей согласия на
обработку персональных данных, которое можно условно обозначить как согласие
"на все случаи жизни". Такое согласие предусматривает обработку
персональных данных с указанием целей, способов, сроков и иных параметров
обработки, которые явно избыточны по отношению к тем целям, ради которых
субъект персональных данных обратился к оператору. Отказ в подписании такой
формы согласия обычно приводит к отказу в заключении договора или
предоставлении государственной (муниципальной) услуги, тем самым лишая субъекта
персональных данных возможности выбора, а следовательно, и свободного характера
дачи согласия. Очевидно, что обращение в Роскомнадзор или за судебной защитой
своего права в ряде случаев является для гражданина неприемлемым в силу
потребности в получении соответствующего товара или услуги "здесь и
сейчас". В этой связи последующий отзыв данного согласия является одной из
наиболее эффективных мер минимизации возможных рисков обработки персональных данных
на основе "всеобъемлющих" согласий.
2.5. GDPR
предусматривает достаточно важное правило, касающееся порядка отзыва согласия
на обработку персональных данных. Процедура такого отзыва не должна быть более
обременительной, чем процедура дачи согласия (ст. 7(3)). Например, если дача
согласия была осуществлена посредством проставления галочки, то оператор должен
обеспечить реализацию права на отзыв согласия аналогичным способом. Закон о
персональных данных не содержит схожего положения, чем пользуются операторы,
устанавливая обременительные требования для отзыва согласия, например,
посредством отправления отдельного письма с указанием ряда реквизитов вроде
паспортных данных, позволяющих провести идентификацию лица. При этом согласно ч.
5 ст. 21 Закона о персональных данных оператору дается 30 дней с момента
получения отзыва согласия на прекращение обработки персональных данных,
осуществляемой на основании ранее данного согласия, и уничтожение таких данных,
за исключением случаев, когда у оператора сохраняется возможность продолжения
их обработки на основании положений, допускающих ее осуществление без согласия
субъекта.
3. Часть 3
комментируемой статьи содержит положение, непосредственно влияющее на
распределение бремени доказывания в спорах между субъектом и оператором. В
отличие от общего правила, согласно которому каждая сторона должна доказать те
обстоятельства, на которые она ссылается как на основания своих требований и
возражений (ч. 1 ст. 56 ГПК РФ), в данном случае федеральный закон
устанавливает исключение, и субъекту достаточно лишь заявить о том, что
обработка персональных данных оператором осуществлялась без его согласия. Бремя
опровержения этого заявления с использованием допустимых и относимых
доказательств возлагается на оператора.
Аналогичным образом такое
бремя возлагается и в ходе осуществления Роскомнадзором контрольно-надзорных
мероприятий.
4.1. Часть 4
комментируемой статьи предусматривает возможность указания законом случаев,
когда согласие субъекта на обработку персональных данных может быть дано только
в письменной форме или в форме электронного документа, подписанного электронной
подписью. Закон о персональных данных предусматривает пять таких случаев: согласие
на обработку персональных данных специальных категорий (п. 1 ч. 2 ст. 10),
согласие на обработку биометрических данных (ч. 1 ст. 11), согласие на
трансграничную передачу данных в страны, не обеспечивающие адекватный уровень
защиты прав субъектов (п. 1 ч. 4 ст. 12), согласие на включение персональных
данных в общедоступные источники (ст. 8), согласие на принятие решений,
затрагивающих права и законные интересы субъекта, на основании исключительно
автоматизированной обработки данных без участия человека (ст. 16). Кроме того,
ТК РФ предусматривает в качестве общего правила письменную форму дачи согласия
работника на обработку его персональных данных посредством их получения от
третьих лиц (п. 3 ст. 86) или их передачи третьим лицам (ст. 88).
В таких случаях дачи
согласия в устной форме или в форме проставления галочки на интернет-ресурсе
будет недостаточно. Однако в качестве альтернативы собственноручной подписи
может быть использована любая из подписей, предусмотренных Законом об
электронной подписи, в том числе простая электронная подпись. Безусловно, для
этого должны быть выполнены все требования вышеуказанного Закона, в частности,
между субъектом и оператором должно иметь место соглашение об электронном
взаимодействии с условиями, указанными в ст. 6 и 9 Закона об электронной
подписи.
4.2. Необходимость
получения согласия в письменной форме не должна пониматься в бытовом смысле
этого слова - в виде необходимости получения такого согласия на бумаге.
Письменная форма согласия означает в данном случае не только его фиксацию в
форме документа, отвечающего требованиям письменной формы, но и наличие у него
определенного набора реквизитов. Часть 4 комментируемой статьи содержит
минимально необходимый перечень реквизитов, которые должны присутствовать в тех
случаях, когда согласие должно быть дано субъектом именно в письменной форме.
Отсутствие таких реквизитов в форме согласия является нарушением
законодательства о персональных данных (Постановление Федерального арбитражного
суда Северо-Кавказского округа от 27 апреля 2011 г. по делу N А32-12882/2010).
При этом практика Роскомнадзора демонстрирует весьма формальный подход к оценке
соблюдения оператором требований указанных реквизитов. Ярким примером является
позиция, согласно которой каждой цели обработки персональных данных должно
соответствовать отдельное согласие в письменной форме, поскольку п. 4 ч. 4 ст.
9 указывает слово "цель" в единственном числе (Постановление Девятого
арбитражного апелляционного суда от 16 августа 2016 г. по делу N А40-17595/16).
Несмотря на критику экспертного сообщества, справедливо отмечающего, что
количество подписываемых гражданином документов с согласием на обработку данных
не влияет на степень защиты его персональных данных, Роскомнадзор неоднократно
заявлял, что будет придерживаться данной позиции до изменения законодательства.
Такого рода изменение предусматривается в Законопроекте N 992331-7, принятом в
первом чтении на момент подготовки данного издания комментария. Законопроект
предусматривает возможность указания нескольких целей в одном письменном
согласии субъекта, при условии что для каждой цели указаны реквизиты,
перечисленные в п. 5 - 8 ч. 4 ст. 9: перечень обрабатываемых данных,
наименование или Ф.И.О. обработчика (при его наличии), перечень операций,
совершаемых с персональными данными, срок действия согласия <1>.
--------------------------------
<1> См.: Законопроект
N 992331-7 "О внесении изменений в Федеральный закон "О персональных
данных" (в части уточнения порядка обработки персональных данных)".
Во избежание споров с контрольно-надзорными
органами рекомендуется включать в форму согласия на обработку персональных
данных полный перечень персональных данных субъекта, который обрабатывается
оператором на основании такого согласия. Неполный перечень может быть
истолкован как нарушение требований ч. 4 ст. 9 Закона о персональных данных (Постановление
Семнадцатого арбитражного апелляционного суда от 10 июня 2015 г. N
17АП-5329/2015-АК по делу N А60-1187/2015). Правда, представляется, что
оператор не лишен возможности обосновывать обработку тех персональных данных,
которые не указаны в форме согласия, ссылкой на иные основания для обработки,
указанные в Законе о персональных данных.
5. Частью 5
комментируемой статьи предусмотрено, что порядок получения согласия субъекта
персональных данных на обработку его персональных данных в целях предоставления
государственных и муниципальных услуг в форме электронного документа
устанавливается Правительством РФ. В этой связи Постановлением Правительства РФ
от 25 января 2013 г. N 33 утверждены Правила использования простой электронной
подписи при оказании государственных и муниципальных услуг. Данные Правила
регламентируют порядок использования простой электронной подписи любыми лицами
при обращении за получением государственных и муниципальных услуг в электронной
форме.
6.1. Согласие на
обработку персональных данных, а равно и его отзыв могут быть даны как
непосредственно субъектом, так и его представителем. При этом основания для
такого представительства могут возникать в силу закона (например, применительно
к родителям и иным законным представителям несовершеннолетнего, к опекуну - в
отношении лица, лишенного дееспособности, к попечителю - в отношении лица,
дееспособность которого была ограничена) или носить добровольный характер. В
первом случае в качестве документов, подтверждающих наличие статуса законного
представителя, могут выступать, в частности: для родителей - свидетельство о
рождении, свидетельство об усыновлении (удочерении); для опекунов и попечителей
- удостоверение опекуна (попечителя) или акт о назначении опекуном
(попечителем), выданный органом государственной власти субъекта РФ в сфере
труда и социальной защиты населения. При добровольном представительстве в
качестве документов, подтверждающих полномочия лица, может выступать
доверенность, оформленная в соответствии с требованиями ст. 185 - 187 ГК РФ, а
также договор между субъектом персональных данных и представителем, например,
договор поручения или агентирования (п. 4 ст. 185 ГК РФ). При этом ни Закон о
персональных данных, ни иные правовые акты не устанавливают требования об
обязательном нотариальном заверении доверенности на право совершения действий с
персональными данными представляемого лица.
6.2. Закон о
персональных данных не устанавливает возраст, с которого несовершеннолетний
вправе давать согласие на обработку его персональных данных. На основании этого
некоторые суды делают вывод о том, что несовершеннолетние в принципе не могут
давать такого согласия. Как отметил один из судов, "действующим
законодательством Российской Федерации установлено, что несовершеннолетние не
вправе от своего имени давать согласие на обработку персональных данных. Вместе
с тем в совокупности положений частей 1, 6 статьи 9 и части 1 статьи 11 Закона
о персональных данных не исключается возможность получения согласия на
обработку биометрических персональных данных несовершеннолетних от их законных
представителей" (Постановление Седьмого кассационного суда общей
юрисдикции от 24 июля 2020 г. по делу N 16-2185/2020. См. также: Постановление
Восьмого арбитражного апелляционного суда от 14 сентября 2017 г. по делу N
А70-2034/2017). Аналогичного мнения придерживается и Центральный банк РФ, указавший,
что "специальных норм относительно предоставления такого согласия
несовершеннолетними в возрасте от четырнадцати до восемнадцати лет,
обладающими, по общему правилу, ограниченной дееспособностью, на обработку их
персональных данных Федеральный закон "О персональных данных" не
содержит" (Письмо Банка России от 9 апреля 2020 г. N 31-4-4/1216).
Следует отметить, что
согласно п. 2 ст. 26 ГК РФ несовершеннолетние в возрасте от 14 до 18 лет вправе
самостоятельно, без согласия родителей, усыновителей и попечителя: 1)
распоряжаться своими заработком, стипендией и иными доходами; 2) осуществлять
права автора произведения науки, литературы или искусства, изобретения или
иного охраняемого законом результата своей интеллектуальной деятельности; 3) в
соответствии с законом вносить вклады в кредитные организации и распоряжаться
ими; 4) совершать мелкие бытовые сделки; сделки, направленные на безвозмездное
получение выгоды, не требующие нотариального удостоверения либо государственной
регистрации; сделки по распоряжению средствами, предоставленными законным
представителем или с согласия последнего третьим лицом для определенной цели
или для свободного распоряжения.
Данные
положения ГК РФ сами по себе не дают оснований для вывода о возможности
несовершеннолетнего в возрасте от 14 до 18 лет к самостоятельной даче согласия.
В тех случаях, когда такие лица вступают в допускаемые для них соглашения,
обработка их персональных данных в необходимом объеме будет возможна без их
согласия как минимум на основании п. 5 ч. 1 ст. 6 Закона о персональных данных
(обработка персональных данных, необходимая для заключения и (или) исполнения
договора, стороной или выгодоприобретателем которого является субъект
персональных данных). Обработка персональных данных в связи с заключенным им
договором в большем объеме в отсутствие иных оснований для обработки без
согласия субъекта будет требовать получения такого согласия, которое в силу
специфики предъявляемых к нему требований информированности и сознательности, а
также сложности оценки рисков в информационной сфере несовершеннолетний дать не
может. Аналогичный подход мог бы быть применен и к случаям заключения
несовершеннолетними трудовых договоров и обработки их персональных данных
работодателем для целей, предусмотренных трудовым законодательством:
необходимый минимум работодатель имеет право обрабатывать без согласия,
остальное - только с согласия законных представителей. При этом согласно
семейному законодательству, предусматривающему принцип равенства прав
родителей, для предоставления согласия на обработку персональных данных ребенка
в письменной форме достаточно подписи одного из родителей (п. 1 ст. 61
Семейного кодекса РФ).
6.3. Следует отметить,
что законодательство РФ все же предусматривает один случай, который может быть
истолкован как предоставляющий несовершеннолетнему право на самостоятельную
дачу согласия на обработку персональных данных. Так, согласно ч. 2 ст. 54
Закона об охране здоровья право на дачу информированного согласия на
медицинское вмешательство, по общему правилу, возникает у лица с 15 лет. Это
означает, что несовершеннолетние в возрасте от 15 до 18 лет вправе как дать
согласие на медицинское вмешательство без согласия родителей или законных
представителей, так и отказаться от него, даже если такие лица дают согласие
или настаивают на медицинском вмешательстве.
При этом
информированность добровольного согласия на медицинское вмешательство
обеспечивается обязанностью предоставления медицинским работником в доступной
форме полной информации о целях, методах оказания медицинской помощи, связанном
с ними риске, возможных вариантах медицинского вмешательства, о его
последствиях, а также о предполагаемых результатах оказания медицинской помощи
(ч. 1 ст. 20 указанного Закона). Достижение цели данных законодательных
положений в виде наделения несовершеннолетнего при определенных условиях правом
самостоятельно принимать решение о целесообразности медицинского вмешательства
невозможно без одновременного признания его права на самостоятельную дачу
согласия на обработку его персональных данных. В противном случае
самостоятельная реализация несовершеннолетним своих прав, предоставленных
законодательством об охране здоровья, ставилась бы в зависимость от
волеизъявления других лиц (законных представителей), лишая тем самым положения ч.
2 ст. 54 Закона об охране здоровья граждан смысла.
6.4. Однако в
перспективе целесообразно вернуться к рассмотрению данного вопроса на
законодательном уровне и, с учетом значения персональных данных в цифровой
среде и раннего погружения детей в такую среду, допустить определенные
послабления в данном вопросе.
В качестве примера
возможного подхода можно указать GDPR. Согласно ст. 8(1) если ребенок еще не
достиг возраста 16 лет, то обработка персональных данных в связи с
предоставлением информационных цифровых сервисов, имеющих направленность на
таких лиц, является правомерной, только если согласие было дано или одобрено
лицом, обладающим родительской ответственностью в отношении ребенка. При этом
государства-члены могут предусмотреть в законодательстве более низкий возраст
для этих целей, но не ниже 13 лет <1>. Как отмечается, вопрос о
допустимом возрасте дачи согласия на обработку персональных данных очень сильно
зависит от национальных особенностей и в связи с этим по-разному решается в
странах Европы. Например, в Великобритании и Дании данное право предоставлено
детям, достигшим 16 лет, в Германии и Испании - 14 лет <2>. Кроме того,
следует подчеркнуть, что данная статья GDPR касается только согласия на
обработку персональных данных, предоставляемого несовершеннолетним при
использовании информационных цифровых сервисов (information society service), под которыми понимается любой
сервис, предоставление которого осуществляется по индивидуальному запросу
пользователя, дистанционно с использованием электронного оборудования и на
возмездной основе <3>. Причем такие сервисы должны быть направлены на
несовершеннолетних, иными словами, данное правило не распространяется на те
сервисы, которые в силу своего характера ориентированы лишь на взрослую
аудиторию, вроде Pornhub или Tinder.
--------------------------------
<1> По всей
видимости, установление возраста 13 лет в качестве минимального порога было
продиктовано положениями американского законодательства. US Children's Online
Privacy Protection Act 1998 (COPPA) устанавливает требования к порядку
обработки интернет-сайтами и онлайн-сервисами персональных данных детей в
возрасте до 13 лет и получения согласия от их законных представителей. Тем
самым предполагается, что ребенок, достигший возраста 13 лет, может дать
согласие на обработку персональных данных в онлайн-среде самостоятельно.
<2> См.: The EU
General Data Protection Regulation (GDPR): A Commentary / ed. by Christopher
Kuner, Lee Bygrave and Christopher Docksey. P. 358.
<3> См.: ст.
1(1)(b) Directive (EU) 2015/1535 of the European Parliament and of the Council
of 9 September 2015 laying down a procedure for the provision of information in
the field of technical regulations and of rules on Information Society
services.
Соответственно, установленное в ст. 8
GDPR правило не является общим по отношению к любому согласию на обработку
персональных данных и не распространяется на согласие в офлайновых отношениях.
Безусловно,
предоставление несовершеннолетним возможности самостоятельно давать согласие на
обработку их персональных данных потребует дополнительных гарантий на уровне
законодательства, в частности, повышенных требований к ясности условий такой
обработки и запрета на обработку определенных видов данных, например биометрических
или генетических, а также на те виды обработки, которые в перспективе могут
иметь для них негативные последствия (профайлинг, автоматизированная обработка
для целей принятия юридически значимых решений).
6.5. Если у
несовершеннолетнего возникла в силу ГК РФ полная дееспособность в связи со
вступлением в брак или эмансипацией (ст. 27 ГК РФ), он вправе давать согласие
на обработку своих персональных данных без ограничений, поскольку с
гражданско-правовой точки зрения он с данного момента уже более не считается
несовершеннолетним и его объем дееспособности ничем не отличается от объема дееспособности
лица, достигшего 18-летнего возраста.
7.1. В случае смерти
субъекта персональных данных согласие на обработку его персональных данных дают
наследники субъекта персональных данных, если такое согласие не было дано
субъектом персональных данных при его жизни. Схожая норма содержится и в
законодательстве РФ об архивном деле. Так, п. 3 ст. 25 Федерального закона от
22 октября 2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации"
предусматривается ограничение на доступ к архивным документам, содержащим
сведения о личной и семейной тайне гражданина, его частной жизни, а также
сведения, создающие угрозу для его безопасности, на срок 75 лет со дня создания
указанных документов. С письменного разрешения гражданина, а после его смерти с
письменного разрешения наследников данного гражданина ограничение на доступ к
архивным документам, содержащим сведения о личной и семейной тайне гражданина,
его частной жизни, а также сведения, создающие угрозу для его безопасности,
может быть отменено ранее, чем через 75 лет со дня создания указанных
документов.
7.2. Реализация
наследником права на дачу согласия на обработку персональных данных умершего
предполагает подтверждение таким лицом своего статуса наследника, что может
быть сделано посредством предъявления выданного нотариусом свидетельства о
праве на наследство (ст. 1162 ГК РФ).
Кроме того, наследником
может быть признано лицо, фактически принявшее наследство. Под совершением
наследником действий, свидетельствующих о фактическом принятии наследства,
следует понимать совершение предусмотренных п. 2 ст. 1153 ГК РФ действий, в
частности: вступление во владение или в управление наследственным имуществом;
принятие мер по сохранению наследственного имущества, защите его от
посягательства или притязаний третьих лиц; осуществление за свой счет расходов
на содержание наследственного имущества; уплата за свой счет долгов
наследодателя или получение от третьих лиц причитавшихся наследодателю денежных
средств.
В качестве таких
действий, в частности, могут выступать вселение наследника в принадлежавшее
наследодателю жилое помещение или проживание в нем на день открытия наследства
(в том числе без регистрации наследника по месту жительства или по месту
пребывания), обработка наследником земельного участка, подача в суд заявления о
защите своих наследственных прав, обращение с требованием о проведении описи
имущества наследодателя, осуществление оплаты коммунальных услуг, страховых
платежей, возмещение за счет наследственного имущества расходов,
предусмотренных ст. 1174 ГК РФ, иные действия по владению, пользованию и
распоряжению наследственным имуществом. При этом такие действия могут быть
совершены как самим наследником, так и по его поручению другими лицами. Оплата
похорон, уплата долгов наследодателя могут рассматриваться как фактическое
принятие наследства, предоставляющее такому лицу право на дачу согласия на
обработку персональных данных наследодателя (Апелляционное определение
Верховного суда Республики Башкортостан от 18 мая 2017 г. по делу N
33-10180/2017).
7.3. Вместе с тем не
исключены ситуации, при которых дача согласия на обработку данных умершего
требуется до формального завершения процедур оформления наследства, в связи с
чем в качестве подтверждения статуса наследника для цели ч. 7 ст. 9 Закона о
персональных данных может быть достаточно предоставления подтверждения наличия
такой родственной связи между таким лицом и умершим, которая характеризует его
как наследника первой очереди, к которым относятся дети, супруг, родители
умершего (ст. 1142 ГК РФ). Данный подход поддерживается судебной практикой
(Апелляционное определение Верховного суда Республики Карелия от 25 декабря
2015 г. по делу N 33-4373/2015).
7.4. В литературе
справедливо поднимается вопрос, как быть в случаях, когда наследников несколько
<1>. Представляется, что использование в ч. 7 ст. 9 Закона о персональных
данных слова "наследники" во множественном числе предполагает, что
при наличии нескольких наследников требуется их совместное волеизъявление по
вопросу дачи согласия на обработку персональных данных наследодателя.
--------------------------------
<1> См.: Архипов
В.В. Проблема квалификации персональных данных как нематериальных благ в условиях
цифровой экономики, или Нет ничего более практичного, чем хорошая теория //
Закон. 2018. N 2.
7.5. Если информация составляет
врачебную тайну, в отношении нее применяется специальный правовой режим с
особыми основаниями предоставления такой информации третьим лицам, в связи с
чем наследники лица не могут со ссылкой на ч. 7 ст. 9 Закона о персональных
данных получить к ней доступ, лишь сославшись на свой статус наследника. Для
получения такой информации необходимо привлечение органов государственной
власти, обладающих правом запрашивать такую информацию в установленном порядке.
Основой для данного подхода является правовая позиция, высказанная
Конституционным Судом РФ в Определении от 23 июня 2005 г. N 300-О. В нем
указано, что предусмотренный законодательством "особый порядок
предоставления сведений, содержащих врачебную тайну, исключающий возможность ее
получения по требованию третьих лиц и защищающий тем самым право каждого на
тайну частной жизни (статья 24 часть 1 Конституции Российской Федерации), не
препятствует участникам как уголовного, так и гражданского судопроизводства в
соответствии с конституционным принципом состязательности и равноправия сторон
реализовать свое право на защиту всеми способами, не запрещенными законом, в
том числе путем заявления ходатайств об истребовании этой информации органами
дознания и следствия, прокурором или судом". Данная позиция находит свое
отражение в судебной практике (Апелляционное определение Московского городского
суда от 30 января 2019 г. по делу N 33а-1238/2019) <1>.
--------------------------------
<1> Подробный
анализ судебной практики по данному вопросу и критику указанного подхода см.:
Блохин П.Д. Врачебная тайна при жизни и после смерти (комментарий на полях
Определения Конституционного Суда РФ) // Медицинское право. 2018. N 5.
Вместе с тем если согласие на обработку
персональных данных определенным образом после смерти субъекта было получено от
самого субъекта еще при его жизни, то последующего волеизъявления наследников
не требуется, даже если речь идет о врачебной тайне (Апелляционное определение
Суда Ханты-Мансийского автономного округа - Югры от 3 апреля 2018 г. по делу N
33-2438/2018).
8. Положение ч. 8
комментируемой статьи предусматривает возможность оператора получить
персональные данные субъекта не от него самого, а от третьего лица. Однако при
этом оператор обязан убедиться, что персональные данные были получены и
предоставлены оператору таким третьим лицом на законном основании (п. 2 - 11 ч.
1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных). Тем самым Закон
пытается поставить барьер в цепочке незаконной обработки персональных данных.
Данное положение не распространяется на случаи получения персональных данных от
представителя субъекта персональных данных, поскольку действия представителя,
совершенные в пределах полномочий, являются действиями самого субъекта
персональных данных.
9. Согласие субъекта на
обработку персональных данных, разрешенных им для распространения, подчиняется
особым требованиям. Требования к содержанию такого согласия утверждены в
централизованном порядке Роскомнадзором в Приказе от 24 февраля 2021 г. N 18
"Об утверждении требований к содержанию согласия на обработку персональных
данных, разрешенных субъектом персональных данных для распространения"
<1>. При этом оператор не может по своему усмотрению изменять такие
требования при создании формы согласия. Подробнее о согласии субъекта на обработку
персональных данных, разрешенных им для распространения, см. комментарий к ст.
10.1 Закона.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
Статья 10. Специальные
категории персональных данных
1.1. Комментируемая статья
регламентирует условия обработки особой разновидности персональных данных -
"специальных категорий", которые нередко именуются также
"чувствительными" данными. В соответствии с ч. 1 комментируемой
статьи в таким данным относятся сведения, касающиеся "расовой,
национальной принадлежности, политических взглядов, религиозных или философских
убеждений, состояния здоровья, интимной жизни". Выделение такого рода
данных в отдельную категорию имеет глубокие исторические корни в европейской
традиции и во многом обусловлено преступлениями нацистов в отношении лиц
еврейской и иных национальностей, в основе которых лежала обработка данных о
расовой и национальной принадлежности лиц <1>. Соответственно, положения
о специальных категориях данных нашли свое отражение в ст. 6 Конвенции N 108 и
в несколько расширенном виде - в GDPR (ст. 9 и др.) и Модернизированной конвенции
N 108, в которых к "чувствительным" данным прямо отнесены также
биометрические и генетические данные.
--------------------------------
<1> См.: The EU
General Data Protection Regulation (GDPR): A Commentary / ed. by Christopher
Kuner, Lee Bygrave and Christopher Docksey. P. 369.
Особое регулирование таких данных
обусловлено презумпцией возможного наступления особо негативных последствий для
субъекта при их разглашении или ином несанкционированном использовании. Такие
последствия могут выражаться не только в рисках для жизни и здоровья лица, но и
в дискриминации, невозможности реализации базовых конституционных прав на труд,
образование, свободу совести, передвижение и пр.
1.2. Перечень типов
персональных данных, отнесенных к категории специальных, является закрытым.
Однако отнесение той или иной информации к данной категории может быть
сопряжено с рядом сложностей. Например, фотография индивида может выявлять его
расовую или этническую принадлежность, а в некоторых случаях - и политические
убеждения при наличии соответствующего контекста. Должна ли обработка такой
фотографии подчиняться требованиям, применимым к обработке обычных данных или
же специальных категорий данных? Российское законодательство и
правоприменительная практика пока не дают ответа на данный вопрос, в связи с
чем имеет смысл обратиться к GDPR. Согласно п. 51 Преамбулы фотография будет
являться "чувствительной" категорией персональных данных, если она
используется для целей идентификации лица, то есть в качестве биометрических
данных. Таким образом, можно предположить, что если подобного рода фотографии
используются для определения лица с целью последующего привлечения его к
административной, уголовной или иной ответственности за действия, обусловленные
его политическими убеждениями, расовой или национальной принадлежностью, то это
вполне будет охватываться понятием обработки специальных категорий данных. В
конечном счете такого рода ситуации и являются "чувствительными" и
послужившими основанием для выделения отдельной категории персональных данных с
более жесткими требованиями к их обработке. Если же подобного рода фотографии
обрабатываются в обычном контексте, то они будут являться обычными
персональными данными.
1.3. Если в результате
обработки обычных категорий персональных данных, например, сведений о покупках,
геолокации и пр., появляются данные, которые относятся к одному из видов,
подпадающих под понятие специальных категорий, например, о состоянии здоровья
лица, то такие "производные" данные должны обрабатываться по правилам
специальных категорий. Закон не устанавливает никаких ограничений или изъятий в
применимости такого режима в зависимости от происхождения или метода получения
таких данных, каким бы высокотехнологичным он ни был.
1.4. Специальные
категории персональных данных, так же как и обычные персональные данные, могут
обрабатываться лишь при наличии на то конкретного правового основания. Однако
перечень и количество таких оснований отличаются от тех, которые указаны в ч. 1
ст. 6 Закона о персональных данных (14 оснований для специальных категорий
персональных данных, 11 - для обычных). Данный перечень является закрытым и
пополняется все новыми основаниями, многие из которых стали следствием
лоббирования со стороны операторов, осуществляющих деятельность в
соответствующей сфере, что все более превращает его в "лоскутное
одеяло". При этом, по общему правилу, обработка специальных категорий
данных должна быть незамедлительно прекращена при отпадении обстоятельств,
которые выступали в качестве ее легитимирующего основания. Иное может быть
установлено только федеральным законом, но не иным нормативным правовым актом (ч.
4 комментируемой статьи).
1.5. Несмотря на
формально большее количество оснований для обработки в отсутствие согласия
субъекта применительно к специальным категориям, по существу, сфера их
применения , чем в
случае с обычными персональными данными, за счет:
а) отсутствия ряда
специальных оснований (в связи с заключением/исполнением договора; для
осуществления прав и законных интересов оператора; для осуществления
деятельности СМИ, а также литературной и творческой деятельности; для
статистических и иных исследовательских целей);
б) более детальной
конкретизации статуса операторов и целей обработки специальных категорий данных
(международные договоры сведены только к реадмиссии; осуществление обработки
для целей исполнения закона конкретизировано определенными сферами
деятельности);
в) для всех остальных
целей обработки должно быть получено согласие субъекта, которое может быть
только письменным.
Подробное сопоставление
оснований для обработки обычных и персональных данных специальных категорий см.
в таблице ниже.
N |
Обычные персональные данные |
Специальные категории персональных данных |
1 |
С согласия субъекта (п. 1 ч. 1 ст. 6) |
С согласия субъекта в письменной форме (п. 1 ч. 2 ст. 10) |
2 |
Обработка персональных данных необходима для достижения
целей международного договора (п. 2 ч. 1 ст. 6) |
В связи с реализацией международных договоров
Российской Федерации о реадмиссии (п. 2.1 ч. 2 ст. 10) |
3 |
Обработка персональных данных необходима для достижения
целей, предусмотренных законом (п. 2 ч. 1 ст. 6) |
Обработка персональных данных осуществляется в
соответствии с ФЗ "О Всероссийской переписи населения" <1> (п.
2.2 ч. 2 ст. 10); обработка персональных данных осуществляется в
соответствии с законодательством о государственной социальной помощи,
трудовым законодательством, пенсионным законодательством РФ (п. 2.3 ч. 2 ст.
10); обработка персональных данных осуществляется в
соответствии с законодательством РФ об обороне, о безопасности, о
противодействии терроризму, о транспортной безопасности, о противодействии
коррупции, об оперативно-разыскной деятельности, об исполнительном
производстве, уголовно-исполнительным законодательством РФ (п. 7 ч. 2 ст. 10); обработка персональных данных осуществляется в
соответствии с законодательством об обязательных видах страхования, со
страховым законодательством (п. 8 ч. 2 ст. 10); обработка персональных данных
осуществляется в соответствии с законодательством РФ о гражданстве (п. 10 ч.
2 ст. 10) |
4 |
Для осуществления и выполнения возложенных
законодательством РФ на оператора функций, полномочий и обязанностей (п. 2 ч.
1 ст. 6) + (как частный случай данного основания) - "для исполнения
полномочий федеральных органов исполнительной власти, органов государственных
внебюджетных фондов, исполнительных органов государственной власти субъектов
Российской Федерации, органов местного самоуправления и функций организаций,
участвующих в предоставлении соответственно государственных и муниципальных
услуг" (п. 4 ч. 1 ст. 6) |
Обработка персональных данных осуществляется в
медико-профилактических целях, в целях установления медицинского диагноза,
оказания медицинских и медико-социальных услуг при условии, что обработка
персональных данных осуществляется лицом, профессионально занимающимся
медицинской деятельностью и обязанным в
соответствии с законодательством РФ сохранять врачебную тайну (п. 4 ч. 2
ст. 10); обработка персональных данных членов (участников)
общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими
в соответствии с законодательством РФ, для достижения законных целей,
предусмотренных их учредительными документами, при условии что персональные
данные не будут распространяться без согласия в письменной форме субъектов
персональных данных (п. 5 ч. 2 ст. 10); обработка полученных в установленных законодательством
РФ случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского
надзора (п. 7.1 ч. 2 ст. 10); обработка персональных данных осуществляется в случаях,
предусмотренных законодательством РФ, государственными
органами, муниципальными органами или организациями в целях устройства детей,
оставшихся без попечения родителей, на воспитание в семьи граждан (п. 9
ч. 2 ст. 10) |
5 |
Обработка персональных данных осуществляется в связи с
участием лица в конституционном, гражданском, административном, уголовном
судопроизводстве, судопроизводстве в арбитражных судах (п. 3 ч. 1 ст. 6) |
Обработка персональных данных необходима для
установления или осуществления прав субъекта персональных данных или третьих
лиц, а равно и в связи с осуществлением правосудия (п. 6 ч. 2 ст. 10) |
6 |
Обработка персональных данных необходима для исполнения
судебного акта, акта другого органа или должностного лица, подлежащих
исполнению в соответствии с законодательством РФ об исполнительном производстве
(п. 3.1 ч. 1 ст. 6) |
Обработка персональных данных осуществляется в
соответствии с законодательством РФ об исполнительном производстве;
уголовно-исполнительным законодательством РФ (п. 7 ч. 2 ст. 10) |
7 |
Обработка персональных данных необходима для исполнения
договора, стороной которого либо выгодоприобретателем или поручителем по
которому является субъект персональных данных, в том числе в случае
реализации оператором своего права на уступку прав (требований) по такому
договору, а также для заключения договора по инициативе субъекта персональных
данных или договора, по которому субъект персональных данных будет являться
выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6) |
Нет аналогов |
Обработка персональных данных необходима для защиты
жизни, здоровья или иных жизненно важных интересов субъекта персональных
данных, если получение согласия субъекта персональных данных невозможно (п. 6
ч. 1 ст. 6) |
Обработка персональных данных необходима для защиты
жизни, здоровья или иных жизненно важных интересов субъекта персональных
данных либо жизни, здоровья или иных
жизненно важных интересов других лиц и получение согласия субъекта
персональных данных невозможно (п. 3 ч. 2 ст. 10) |
|
9 |
Обработка персональных данных необходима для
осуществления прав и законных интересов оператора или третьих лиц либо для
достижения общественно значимых целей при условии, что при этом не нарушаются
права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6) |
Нет аналогов |
10 |
Обработка персональных данных необходима для
осуществления профессиональной деятельности журналиста и (или) законной
деятельности средства массовой информации либо научной, литературной или иной
творческой деятельности при условии, что при этом не нарушаются права и
законные интересы субъекта персональных данных (п. 8 ч. 1 ст. 6) |
Нет аналогов |
11 |
Обработка персональных данных осуществляется в
статистических или иных исследовательских целях, за исключением целей,
указанных в ст. 15 настоящего Федерального закона, при условии обязательного
обезличивания персональных данных (п. 9 ч. 1 ст. 6) |
Нет аналогов |
12 |
С 1 марта 2021 г. формально отсутствует как
самостоятельное основание для обработки без согласия в ст. 6. Однако, по
сути, для обработки обычных и специальных категорий персональных данных,
разрешенных субъектом для распространения, применимы аналогичные положения |
Обработка персональных данных, разрешенных субъектом
персональных данных для распространения, осуществляется с соблюдением
запретов и условий, предусмотренных ст. 10.1 настоящего Федерального закона (п.
2 ч. 2 ст. 10) |
13 |
Осуществляется обработка персональных данных,
подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным
законом (п. 11 ч. 1 ст. 6) |
Нет аналогов |
14 |
Обработка персональных данных, полученных в результате
обезличивания персональных данных, осуществляется в целях повышения
эффективности государственного или муниципального управления, а также в иных
целях, предусмотренных Федеральным законом "О проведении эксперимента по
установлению специального регулирования в целях создания необходимых условий
для разработки и внедрения технологий искусственного интеллекта в субъекте
Российской Федерации - городе федерального значения Москве и внесении
изменений в статьи 6 и 10 Федерального закона "О персональных
данных" и Федеральным законом от 31 июля 2020 г. N 258-ФЗ "Об
экспериментальных правовых режимах в сфере цифровых инноваций в Российской
Федерации", в порядке и на условиях, которые предусмотрены указанными
федеральными законами (п. 9.1 ч. 1 ст. 6) |
Обработка персональных данных, касающихся состояния
здоровья, полученных в результате обезличивания персональных данных,
допускается в целях повышения эффективности государственного или
муниципального управления, а также в иных целях, предусмотренных Федеральным законом
"О проведении эксперимента по установлению специального регулирования в
целях создания необходимых условий для разработки и внедрения технологий
искусственного интеллекта в субъекте Российской Федерации - городе
федерального значения Москве и внесении изменений в статьи 6 и 10
Федерального закона "О персональных данных" и Федеральным законом
от 31 июля 2020 г. N 258-ФЗ "Об экспериментальных правовых режимах в
сфере цифровых инноваций в Российской Федерации", в порядке и на
условиях, которые предусмотрены указанными федеральными законами (ч. 2.1 ст.
10) |
--------------------------------
<1> См.:
Федеральный закон от 25 января 2002 г. N 8-ФЗ "О Всероссийской переписи
населения" // СПС "КонсультантПлюс".
2.1. Согласие субъекта персональных
данных может легитимировать обработку любых видов специальных категорий таких
данных любым способом при условии: а) соответствия такого согласия требованиям ст.
9 и б) письменной формы такого согласия, к которой приравнивается согласие,
подписанное электронной подписью. Последнее требование отличает согласие на
обработку специальных категорий данных от согласия на обработку обычных
персональных данных, которое может быть дано и в иных формах (в частности, в
устной или посредством проставления галочки в веб-форме).
2.2. Как отмечалось
ранее, право на предоставление информированного согласия на медицинское
вмешательство, а следовательно, и на дачу согласия на обработку необходимых для
этого персональных данных специальных категорий, по общему правилу, возникает у
лица с 15 лет (ч. 2 ст. 54 Закона об охране здоровья). В остальных случаях
согласие на обработку соответствующих данных дает его законный представитель.
2.3. В практике
Роскомнадзора можно встретить разъяснения, которые демонстрируют отступление от
жесткого требования о необходимости получения согласия на обработку персональных
данных специальных категорий исключительно в письменной форме. Как разъяснил
Роскомнадзор применительно к практике измерения температуры в рамках борьбы с
распространением коронавирусной инфекции, "посетители, не имеющие с
организацией трудовых отношений, будут выражать свое согласие на сбор сведений
о температуре тела (без идентификации) посредством конклюдентных действий,
выражающихся в намерении посетить организацию" <1>. Данное разъяснение,
по всей видимости, следует рассматривать в общем контексте ситуации, при
которой на фоне чрезвычайной ситуации выявилась несогласованность между
требованиями законодательства о персональных данных и мерами, которые
предпринимались региональными и федеральными властями в рамках борьбы с
инфекцией. В этой связи не стоит генерализировать данное разъяснение и
использовать его в качестве основания для несоблюдения формальных требований
законодательства в иных случаях, кроме тех, которых оно напрямую касается.
--------------------------------
<1> См.: Разъяснения
Роскомнадзора "Особенности использования тепловизоров работодателями -
операторами персональных данных - с целью предотвращения распространения
коронавируса", 10 марта 2020 г. URL:
https://rkn.gov.ru/news/rsoc/news72206.htm.
3. Об обработке персональных данных
специальных категорий, разрешенных субъектом для распространения, см. комментарий
к ст. 10.1 Закона.
4. Обработка
персональных данных специальных категорий допустима для целей реализации
соглашений о реадмиссии, под которой понимается передача компетентными органами
одного государства и прием компетентными органами другого государства в
порядке, на условиях и в целях, которые предусмотрены соглашением о реадмиссии,
лиц, въехавших или находящихся на территории государства в нарушение законодательства
этого государства по вопросам въезда, выезда и пребывания иностранных граждан и
лиц без гражданства. Реадмиссия не является видом наказания (в отличие от
административного выдворения) и реализуется во внесудебном порядке: решения о
ней принимаются и исполняются ФМС России. В Российской Федерации данная
процедура получила правовое развитие в 2003 г., с момента подписания
межправительственного Соглашения с Литовской Республикой о реадмиссии. В
настоящее время Российская Федерация участвует в 17 подобного рода
международных соглашениях. Например, заключены международные соглашения о
реадмиссии с такими странами, как Вьетнам (2008 г.), Швейцария (2009 г.),
Армения (2010 г.), Турция (2011 г.), Украина (2012 г.), Казахстан (2012 г.),
Беларусь (2013 г.), Монголия (2014 г.), Сербия (2014 г.), Босния и Герцеговина (2015
г.) и др. <1>.
--------------------------------
<1> См.: Семенова
А.В. Административно-правовое регулирование реадмиссии в Российской Федерации
// Административное право и процесс. 2016. N 3. С. 44 - 46.
5. Обработка персональных данных
специальных категорий допускается во исполнение положений Федерального закона
от 25 января 2002 г. N 8-ФЗ "О Всероссийской переписи населения",
которая осуществляется в целях формирования официальной статистической
информации о демографических, экономических и социальных процессах.
Исчерпывающий перечень персональных данных, которые могут собираться и
обрабатываться в этой связи, содержится в п. 1 ст. 6 данного Закона. Помимо
стандартных персональных данных (пол, возраст, состояние в браке, сведения об
образовании, владение языками, количество детей, место рождения и место
жительства и пр.) они включают в себя указание национальной принадлежности,
которая в соответствии с ч. 1 ст. 10 Закона о персональных данных относится к специальной
категории персональных данных. Данные сведения предоставляются на добровольной
основе, так как в соответствии с ч. 1 ст. 26 Конституции РФ "каждый вправе
определять и указывать свою национальную принадлежность. Никто не может быть
принужден к определению и указанию своей национальной принадлежности".
6.1. Специальные
категории персональных данных могут обрабатываться в соответствии с трудовым
законодательством. При этом необходимо учитывать, что п. 4 ст. 86 ТК РФ
устанавливает общий запрет на обработку таких данных работодателем, за
исключением случаев, предусмотренных федеральным законом. Так, например,
информация о состоянии здоровья работника может быть, по общему правилу,
запрошена только в той части, в которой она относится к вопросу о возможности
выполнения работником трудовой функции (ст. 88 ТК РФ). Как разъяснил
Роскомнадзор применительно к практике измерения температуры в рамках борьбы с
распространением коронавирусной инфекции, "поскольку меры по выявлению
заболевания связаны с определением возможности выполнения трудовых функций,
согласия работника на измерение температуры не требуется" <1>.
--------------------------------
<1> Разъяснения
Роскомнадзора "Особенности использования тепловизоров работодателями -
операторами персональных данных - с целью предотвращения распространения
коронавируса".
6.2. В принципе, не исключена
обработка работодателем персональных данных специальных категорий посредством
передачи их третьим лицам при наличии оснований, указанных в ч. 2 ст. 10 Закона
персональных данных, например, при осуществлении обработки для целей защиты
жизненно важных интересов работника или третьих лиц. Однако это касается только
тех ситуаций, когда работодатель уже на законных основаниях получил такие
данные от работника или третьих лиц. Понуждение работника к предоставлению
своих персональных данных в ситуациях, когда они могут быть получены только на
основании его согласия, противоречит принципу добровольности согласия и
требованиям ст. 9 Закона о персональных данных. Это же касается и разглашения
его данных работодателем в сети Интернет. Например, размещение организацией на
своем официальном сайте списка работников, уволенных по виновным основаниям
(утрата доверия, совершение хищения, неоднократное неисполнение трудовых
обязанностей) будет противоречить трудовому законодательству (Письмо Минтруда
России от 8 октября 2018 г. N 14-2/В-803).
6.3. Трудовое
законодательство устанавливает дополнительные гарантии защиты прав работников
от несправедливых условий трудового договора, в частности, устанавливая
недопустимость отказа работников от своего права на сохранение и защиту тайны (п.
9 ст. 86 ТК РФ). При этом в соответствии со ст. 9 ТК РФ коллективные договоры,
соглашения, трудовые договоры не могут содержать условий, ограничивающих права
или снижающих уровень гарантий работников по сравнению с установленными
трудовым законодательством и иными нормативными правовыми актами, содержащими
нормы трудового права. Если такие условия включены в коллективный договор, соглашение
или трудовой договор, то они не подлежат применению.
6.4. Указание в п. 2.3
ч. 2 комментируемой статьи возможности обработки специальных категорий
персональных данных без согласия субъекта для целей, предусмотренных
законодательством о государственной социальной помощи, а также для целей
пенсионного законодательства связано с тем, что назначение такой социальной
помощи и некоторых видов пенсии (например, по инвалидности) связано с
необходимостью получения и обработки данных о состоянии здоровья гражданина,
претендующего на их получение. Кроме того, данное основание обеспечивает
возможность межведомственного обмена такими данными. Так, в соответствии со ст.
6.4 Федерального закона от 17 июля 1999 г. N 178-ФЗ "О государственной
социальной помощи" <1> создается Федеральный регистр лиц, имеющих
право на получение государственной социальной помощи. Органы исполнительной
власти субъектов РФ в установленном порядке передают персональные данные,
необходимые для ведения Федерального регистра лиц, имеющих право на получение
государственной социальной помощи, в орган, уполномоченный осуществлять ведение
указанного Федерального регистра, которые, в свою очередь, предоставляются
органам исполнительной власти субъектов РФ безвозмездно.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
7. Обработка специальных категорий
персональных данных может осуществляться без согласия субъекта, если она
необходима для защиты жизни, здоровья или иных жизненно важных интересов
субъекта персональных данных либо жизни, здоровья или иных жизненно важных
интересов других лиц и получение согласия субъекта персональных данных
невозможно. В отличие от схожего положения, применяющегося к обработке обычных
персональных данных (п. 6 ч. 1 ст. 6), рассматриваемая норма допускает
обработку также в тех случаях, когда речь идет о необходимости защиты жизненно
важных интересов других лиц. Такая ситуация может возникнуть, в частности, при
необходимости обработки данных о группе крови и определенных заболеваниях
родителей для спасения жизни ребенка, который вместе с родителями попал в
аварию, в связи с чем последние не могут дать согласия на такую обработку.
8.1. В соответствии с п.
4 ч. 2 комментируемой статьи обработка специальных категорий персональных
данных может осуществляться без согласия субъекта лицом, обязанным соблюдать
врачебную тайну, в медико-профилактических целях, в целях установления
медицинского диагноза, оказания медицинских и медико-социальных услуг. К лицам,
обязанным соблюдать врачебную тайну, в соответствии со ст. 73 Закона об охране
здоровья относятся медицинские работники, в том числе лечащий врач, а также
фармацевты. Перечень целей обработки таких данных указанными лицами
исчерпывающий и сопряжен с медицинским вмешательством в отношении пациента:
1) под медико-профилактическими целями могут
пониматься действия, направленные на сохранение и укрепление здоровья и
включающие в себя формирование здорового образа жизни, предупреждение
возникновения и (или) распространения заболеваний, их раннее выявление,
выявление причин и условий их возникновения и развития, а также направленные на
устранение вредного влияния на здоровье человека факторов среды его обитания (п.
6 ст. 2 Закона об охране здоровья);
2) под диагнозом понимается заключение о
сущности болезни и состоянии пациента, выраженное в принятой медицинской
терминологии и основанное на всестороннем, систематическом изучении пациента.
Процесс установления медицинского диагноза именуется диагностикой и
представляет собой комплекс медицинских вмешательств, направленных на
распознавание состояний или установление факта наличия либо отсутствия
заболеваний, осуществляемых посредством сбора и анализа жалоб пациента, данных
его анамнеза и осмотра, проведения лабораторных, инструментальных, патолого-анатомических
и иных исследований в целях определения диагноза, выбора мероприятий по лечению
пациента и (или) контроля за осуществлением этих мероприятий (п. 7 ст. 2 Закона
об охране здоровья);
3) под медицинской услугой понимается
медицинское вмешательство или комплекс медицинских вмешательств, направленных
на профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию и
имеющих самостоятельное законченное значение. Такая услуга может
предоставляться на основании гражданско-правового договора, в таком случае
данное основание будет фактически являться частным случаем обработки
персональных данных для целей заключения и (или) исполнения договора. Такие
платные медицинские услуги могут предоставляться как в рамках добровольного
медицинского страхования, так и в качестве разовой медицинской услуги. Вне
зависимости от этого к ним применяются положения Правил предоставления
медицинскими организациями платных медицинских услуг <1>. Медицинская
услуга может предоставляться и в рамках обязательного медицинского страхования.
Однако в таком случае более корректным основанием для обработки персональных
данных о здоровье лица будет п. 8 ч. 2 ст. 10 Закона о персональных данных:
"обработка персональных данных осуществляется в соответствии с
законодательством об обязательных видах страхования". Это связано с тем,
что в соответствии с Федеральным законом от 29 ноября 2010 г. N 326-ФЗ "Об
обязательном медицинском страховании в Российской Федерации" <2>
обязательное медицинское страхование - вид
обязательного социального страхования, представляющий собой систему
создаваемых государством правовых, экономических и организационных мер,
направленных на обеспечение при наступлении страхового случая гарантий
бесплатного оказания застрахованному лицу медицинской помощи за счет средств
обязательного медицинского страхования в пределах территориальной программы
обязательного медицинского страхования и в установленных настоящим Федеральным законом
случаях в пределах базовой программы обязательного медицинского страхования (п.
1 ст. 3);
4) медицинское
законодательство не содержит понятия медико-социальной услуги. По всей
видимости, под ней следует понимать действия, связанные с проведением
медико-социальной экспертизы - комплекса мер, направленных на определение
потребностей освидетельствуемого лица в мерах социальной защиты, включая
реабилитацию, федеральными учреждениями медико-социальной экспертизы на основе
оценки ограничений жизнедеятельности, вызванных стойким расстройством функций
организма (ст. 60 Закона об охране здоровья).
--------------------------------
<1> См.: Постановление
Правительства РФ от 4 октября 2012 г. N 1006 "Об утверждении Правил
предоставления медицинскими организациями платных медицинских услуг".
<2> См.: СПС
"КонсультантПлюс".
В связи с вышеизложенным
представляется, что предварительное подписание субъектом формы согласия на
обработку его персональных данных не является необходимым условием для оказания
медицинских услуг (платных или в рамках ОМС) - соответствующие основания уже
прописаны в законе. Обусловливание предоставления медицинских услуг
предварительным подписанием такой формы, которая обычно предусматривает
избыточную обработку персональных данных, не основано на законе и может повлечь
установленную ответственность в рамках как законодательства о защите прав
потребителей <1>, так и законодательства о персональных данных.
--------------------------------
<1> См.: п. 9
Постановления Пленума Верховного Суда РФ от 28 июня 2012 г. N 17 "О
рассмотрении судами гражданских дел по спорам о защите прав потребителей":
"К отношениям по предоставлению гражданам медицинских услуг, оказываемых
медицинскими организациями в рамках добровольного и обязательного медицинского
страхования, применяется законодательство о защите прав потребителей".
8.2. Запрос страховыми организациями
сведений о состоянии здоровья граждан в медицинских учреждениях и у иных лиц
для целей проверки достоверности предоставленных при заключении договора
личного страхования данных возможен только с предварительного письменного
согласия субъекта персональных данных (Постановление Девятого арбитражного
апелляционного суда от 24 июня 2016 г. N 09АП-20107/2016 по делу N
А40-201601/15).
8.3. Сведения о факте
обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и
диагнозе, иные сведения, полученные при его медицинском обследовании и лечении,
составляют врачебную тайну (ст. 13 Закона об охране здоровья). В связи с этим
врач или иное лицо, обязанное соблюдать врачебную тайну, помимо
законодательства о персональных данных должно также соблюдать положения о
врачебной тайне, в частности, о допустимых случаях ее разглашения, которые
перечислены в вышеуказанной статье Закона об охране здоровья.
9.1.
Обработка специальных категорий персональных данных допускается специальным
субъектом - общественным объединением или религиозной организацией при
одновременном соблюдении следующих условий:
- указанные лица
действуют в соответствии с законодательством Российской Федерации.
Применительно к общественным объединениям это означает соблюдение положений
Федерального закона от 19 мая 1995 г. N 82-ФЗ "Об общественных
объединениях" <1>; в случае религиозных организаций - Федерального закона
от 26 сентября 1997 г. N 125-ФЗ "О свободе совести и о религиозных
объединениях" <2>;
- указанные лица
осуществляют обработку персональных данных своих членов (участников);
- обработка
осуществляется для достижения законных целей, предусмотренных учредительными
документами;
- обработка может
охватывать любые виды действий с персональными данными, кроме распространения, которое требует письменного согласия
субъекта персональных данных.
--------------------------------
<1> См.: СПС "КонсультантПлюс".
<2> См.: Там же.
В качестве примера ситуации,
подпадающей под действие данного основания, можно привести обработку
политической партией (разновидность общественного объединения) персональных
данных своих членов, которые в силу их статуса включают в себя данные об их
членстве в такой партии, то есть об их политических убеждениях, которые
относятся к категории персональных данных специальной категории. Однако
размещение таких данных в сети Интернет будет требовать письменного согласия субъекта,
так как охватывается понятием "распространение персональных данных",
за исключением случаев, когда у оператора есть иные основания, легитимирующие
такой способ обработки (например, при обработке персональных данных в
соответствии с требованиями трудового законодательства).
9.2. Прекращение
членства (участия) субъекта персональных данных в соответствующем общественном
объединении или религиозной организации формально влечет прекращение права
обрабатывать его персональные данные специальных категорий на основании
комментируемого пункта.
9.3. Сведение всех
ограничений по способам обработки персональных данных специальных категорий в
указанном пункте лишь к невозможности распространения таких данных без согласия
субъекта следует считать упущением законодателя, поскольку формально оно не
охватывает передачу таких данных заранее определенному кругу лиц, в том числе
которые не являются членами соответствующей организации. Такой подход
потенциально нарушает не только право на неприкосновенность частной жизни, но
и, в случае с религиозной организацией, право на свободу совести и свободу
вероисповедания. Представляется, что такая ситуация сложилась вследствие
неудачного перевода положений ст. 8(2)(d) Директивы 1995 г., которая, предусматривая
аналогичное основание для обработки персональных данных, указывала в качестве
условия недопустимость раскрытия таких данных третьим лицам без согласия
субъекта (the data are not disclosed to a third party without the consent of
the data subjects) <1>. В терминологии Закона о персональных данных это
означало бы не только недопустимость распространения, но и недопустимость
предоставления таких данных без согласия субъекта.
--------------------------------
<1> В настоящее
время аналогичные положения предусмотрены в ст. 9(2)(d) GDPR.
10. Обработка специальных категорий
персональных данных допустима для "установления или осуществления прав
субъекта персональных данных или третьих лиц, а равно и в связи с
осуществлением правосудия". При этом по какой-то причине термин
"правосудие" не был заменен на виды судопроизводства, подобно тому, как
это было сделано в отношении схожего основания, указанного в п. 3 ч. 1 ст. 6
Закона о персональных данных применительно к обычным персональным данным.
В целом основание для
обработки персональных данных специальных категорий, предусмотренное п. 6 ч. 2
ст. 10 Закона о персональных данных, сформулировано крайне неудачно еще и по
той причине, что если понятие "установление права" предполагает
определенную формализованную юридическую процедуру, то понятие
"осуществление права", тем более права третьего лица, является
достаточно широким. Под осуществлением права можно понимать реализацию
управомоченным лицом возможностей (правомочий), заключенных в содержании
данного права, как юридическими, так и фактическими действиями <1>.
Получается, что под данное основание могут подпадать сбор и обработка данных о
состоянии здоровья застрахованного лица специально привлеченным агентом,
действующим в интересах третьего лица - страховщика, чтобы оно могло
осуществить свое право на расторжение договора страхования или отказ в страховой
выплате по основаниям, предусмотренным в ГК РФ или договоре. Очевидно, что
понятие "осуществление права" должно пониматься в гораздо более узком
смысле.
--------------------------------
<1> См.: Ем В.С. Российское
гражданское право: в 2 т. Т. I / отв. ред. Е.А. Суханов. М.: Статут, 2011.
Причина появления подобных формулировок
в Законе о персональных данных становится понятнее при обращении к
первоисточнику данного положения - ст. 8(2)(e) Директивы 1995 г., согласно
которой обработка специальных категорий персональных данных допустима в той
мере, в какой она "необходима для установления, исполнения или защиты
правовых требований" (the processing relates to data which... is necessary
for the establishment, exercise or defence of legal claims). В комментариях к
данному положению указывается, что оно касается ситуаций инициирования и
поддержания исков и иных юридических требований, легитимируя тем самым обработку
стороной спора и ее представителем персональных данных ответчика, иных
возможных участников процесса и третьих лиц в той мере, в какой это оправданно
вышеуказанной целью <1>. Иными словами, вне определенной правовой
процедуры установления и реализации правового требования данное основание для
обработки персональных данных не применяется.
--------------------------------
<1> См.: Carey P.
Data Protection: A Practical Guide to UK and EU Law. Oxford University Press,
2016. P. 108 - 109.
11. Пункт 7 ч. 2 комментируемой статьи
содержит целый "склад" оснований публично-правового характера,
легитимирующих обработку персональных данных специальных категорий без согласия
субъекта. Они сформулированы бланкетным образом, отсылая к положениям
специального законодательства и тем самым отдавая их наполнение на усмотрение
конкретным ведомствам, чем они активно пользуются, учитывая значительный объем
подзаконных актов в указанных сферах. Причем суды, сталкиваясь с применением
данного основания, фактически никогда не подвергают его критическому анализу в
конкретном случае. Напротив, оно рассматривается как чуть ли не выводящее
соответствующие отношения за рамки законодательства о персональных данных, в
том числе его принципов. Так, суд, сославшись на комментируемое основание,
указал, что наличие фотографических материалов и материалов дактилоскопирования
в электронной базе ИС ОРИ ЦОРИ ГУ МВД России по Московской области "не
затрагивает его права, свободы и обязанности человека и гражданина"
(Апелляционное определение Московского городского суда от 30 июня 2016 г. по
делу N 33а-15958/2016). В другом деле суд пришел к выводу, что наличие в
информационной базе учета административных правонарушений информации о том, что
в отношении субъекта было возбуждено административное производство по факту
отказа от прохождения медицинского освидетельствования, несмотря на то, что
событие данного правонарушения отсутствовало и протокол об административном
правонарушении был составлен необоснованно, "не затрагивает его права,
честь и достоинство, свободы и обязанности человека и гражданина"
(Апелляционное определение Верховного суда Республики Башкортостан от 2 июля
2015 г. по делу N 33-10943/2015; Апелляционное определение Красноярского
краевого суда от 12 ноября 2014 г. N 33-10781/2014).
Рассматриваемое
основание в совокупности с практикой его применения создает значительные
изъятия из сферы действия законодательства о персональных данных применительно
к обработке персональных данных правоохранительными органами, ставя под
сомнение универсальный характер данного законодательства и применимость его как
к частному, так и к публичному сектору. В определенной степени это сыграло свою
роль в непризнании Европейским союзом России как страны, обеспечивающей
адекватный уровень защиты персональных данных <1> (см. подробнее комментарий
к ст. 12 Закона).
--------------------------------
<1> См.: Bygrave
A. Data Privacy Law: An International Perspective. P. 102.
12. Обработка специальных категорий
персональных данных может осуществляться без согласия субъекта органами
прокуратуры в связи с осуществлением ими прокурорского надзора. Данное
основание появилось в связи с решением ЕСПЧ от 6 июня 2013 г. по делу
"Авилкина и другие против Российской Федерации". В данном деле
заявители оспаривали действия медицинского учреждения по передаче их
медицинских данных (информации о переливании крови и методе лечения пациента) в
прокуратуру. Заявители являлись последователями вероучения, практикуемого и
защищаемого "Свидетелями Иеговы" <1>, которое предусматривает
отказ от переливания крови. По мнению властей РФ, такая передача была
необходима, чтобы избежать угрозы смерти или серьезного вреда здоровью
пациента, особенно в случаях с участием несовершеннолетних. Существовавшие на
тот момент основания для передачи сведений, составляющих врачебную тайну, были
сформулированы таким образом, что не охватывали возможность передачи таких
сведений в процессе осуществления прокурорского надзора, а только передачу
"по запросу органов дознания и следствия, суда в связи с проведением
расследования или судебным разбирательством". Тем самым прокуратура, по
мнению заявителей, требуя передачи медицинских документов в отношении пациентов,
являвшихся членами "Свидетелей Иеговы", чрезмерно и произвольно
расширила значение относимых положений законодательства, действовавшего в
период, относящийся к обстоятельствам дела. ЕСПЧ согласился с данным
аргументом, указав, что "сбор прокуратурой информации, составляющей
врачебную тайну, относительно заявительниц не сопровождался достаточными
гарантиями, препятствующими раскрытию, несовместимому с соблюдением права
заявительниц на уважение личной жизни, предусмотренного статьей 8
Конвенции".
--------------------------------
<1> Деятельность
организации запрещена на территории Российской Федерации.
Проблемы правового регулирования,
обозначенные в Постановлении ЕСПЧ по делу "Авилкина и другие против
Российской Федерации", были разрешены путем внесения изменений в
законодательство Российской Федерации, в частности Федеральным законом от 23
июля 2013 г. N 205-ФЗ "О внесении изменений в отдельные законодательные
акты Российской Федерации в связи с уточнением полномочий органов прокуратуры
Российской Федерации по вопросам обработки персональных данных", которое и
ввело соответствующее основание для обработки персональных данных специальных
категорий по запросу прокуратуры в рамках осуществления прокурорского надзора.
Невыполнение законных
требований прокурора о предоставлении персональных данных может повлечь
административную ответственность по ст. 17.7 КоАП РФ.
13. Согласно п. 8 ч. 2
комментируемой статьи обработка персональных данных специальных категорий
возможна в двух случаях, связанных со страхованием: 1) в соответствии с
законодательством об обязательных видах страхования и 2) в соответствии со
страховым законодательством. К обязательным видам страхования можно отнести, в
частности:
- страхование ОСАГО
(Федеральный закон от 25 апреля 2002 г. N 40-ФЗ "Об обязательном
страховании гражданской ответственности владельцев транспортных средств"
<1>);
- обязательное
страхование вкладов физических лиц (Федеральный закон от 23 декабря 2003 г. N
177-ФЗ "О страховании вкладов физических лиц в банках Российской
Федерации" <2>);
- обязательное
медицинское страхование (Федеральный закон от 29 ноября 2010 г. N 326-ФЗ
"Об обязательном медицинском страховании в Российской Федерации"
<3>);
- социальное страхование
от несчастных случаев на производстве (Федеральный закон от 24 июля 1998 г. N
125-ФЗ "Об обязательном социальном страховании от несчастных случаев на
производстве и профессиональных заболеваний" <4>);
- страхование на случай
временной нетрудоспособности и в связи с материнством (Федеральный закон от 29
декабря 2006 г. N 255-ФЗ "Об обязательном социальном страховании на случай
временной нетрудоспособности и в связи с материнством" <5>);
- обязательное
пенсионное страхование (Федеральный закон от 15 декабря 2001 г. N 167-ФЗ
"Об обязательном пенсионном страховании в Российской Федерации"
<6>).
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
<2> См.: СПС
"КонсультантПлюс".
<3> См.: Там же.
<4> См.: Там же.
<5> См.: Там же.
<6> См.: Там же.
Помимо обязательных видов страхования
формулировка рассматриваемого вида основания для обработки персональных данных
позволяет его использовать и для добровольного страхования. В соответствии с Законом
РФ от 27 ноября 1992 г. N 4015-1 "Об организации страхового дела в
Российской Федерации", который составляет основу страхового
законодательства РФ, под страхованием понимаются отношения по защите интересов
физических и юридических лиц Российской Федерации, субъектов Российской
Федерации и муниципальных образований при наступлении определенных страховых
случаев за счет денежных фондов, формируемых страховщиками из уплаченных
страховых премий (страховых взносов), а также за счет иных средств
страховщиков. При этом указанный Закон прямо указывает, что страхование
осуществляется в добровольной и обязательной формах.
Таким образом, обработка
специальных категорий данных, осуществляемая в соответствии со страховым
законодательством, допускается без согласия субъекта персональных данных.
Обработка иных данных (не специальных категорий) должна иметь соответствующее
основание (ч. 1 ст. 6, ст. 11 Закона о персональных данных).
14. Обработка
специальных категорий персональных данных может осуществляться в случаях,
предусмотренных законодательством Российской Федерации, государственными
органами, муниципальными органами или организациями в целях устройства детей,
оставшихся без попечения родителей, на воспитание в семьи граждан.
Так, например, в
соответствии со ст. 127 Семейного кодекса РФ органы опеки и попечительства при
определении возможности передачи ребенка на воспитание в семью должны проверить
факт соответствия потенциальных усыновителей установленным требованиям, в связи
с чем осуществляется обработка персональных данных о состоянии здоровья таких
лиц, наличии однополых связей у таких лиц и т.д.
15. Поскольку при
решении вопроса о принятии лица в гражданство Российской Федерации может
возникать необходимость обработки специальных категорий персональных данных,
например об инвалидности; о философских и религиозных убеждениях, политических
взглядах на предмет отсутствия экстремизма и т.п. (см. ст. 16 Федерального
закона от 31 мая 2002 г. N 62-ФЗ "О гражданстве Российской Федерации"
<1>), комментируемая статья включила специальное основание для обработки
таких данных при отсутствии согласия субъекта (п. 10 ч. 2 ст. 10).
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
16. Закон о проведении эксперимента в
области ИИ помимо дополнительного основания для обработки обычных персональных
данных без согласия субъекта (п. 9.1 ч. 1 ст. 6), а со 2 июля 2021 г. - также и
Федеральный закон N 258-ФЗ "Об экспериментальных правовых режимах в сфере
цифровых инноваций в Российской Федерации" предусмотрели аналогичное
основание для обработки специальных категорий данных в виде данных о состоянии
здоровья. По всей видимости, выделение данного основания в отдельную часть ст.
10, а не в качестве дополнительного пункта ч. 1 данной статьи обусловлено тем
фактом, что оно касается не всех видов персональных данных специальных
категорий, а только одной их разновидности, касающейся данных о состоянии
здоровья. Остальные виды специальных категорий данных, а именно касающихся
расовой, национальной принадлежности, политических взглядов, религиозных или
философских убеждений и интимной жизни, данное основание не затрагивает.
В остальном данное
основание ничем не отличается от п. 9.1 ч. 1 ст. 6 (см. комментарий к нему).
17.1. Часть 3
комментируемой статьи посвящена особому виду персональных данных специальных
категорий - данным о судимости гражданина. Общие положения о судимости
содержатся в ст. 86 Уголовного кодекса РФ. Судимость представляет собой особое
правовое состояние лица, обусловленное фактом осуждения его за совершение
преступления к какому-либо наказанию и характеризующееся определенными
неблагоприятными для него уголовно-правовыми, общеправовыми, социальными
последствиями. Состояние судимости начинается со дня вступления в законную силу
обвинительного приговора суда и продолжается до момента ее погашения или
снятия. Погашение означает автоматическое прекращение состояния судимости по
истечении установленного законом срока после отбытия наказания либо истечения
испытательного срока. Снятие судимости предполагает аннулирование правовых
последствий судимости до истечения срока ее погашения. К уголовно-правовым
последствиям судимости относится ее учет при рецидиве преступлений, назначении
наказания за последующие преступления и иные последствия, указанные в уголовном
законодательстве. К общеправовым последствиям относятся ограничения на
выполнение определенных трудовых функций (например, занимать должности судей,
прокуроров, следователей и т.д.), невозможность выступления лица в качестве
усыновителя ребенка и т.д. При заполнении официальных анкет лицо обязано сообщать
о наличии у него судимости. К социальным последствиям судимости можно отнести
негативный информационный фон вокруг такого человека, поскольку информация о
наличии у лица судимости негативным образом влияет на его восприятие в глазах
общественности.
17.2. Погашение или
снятие судимости аннулирует все правовые последствия, предусмотренные Уголовным
кодексом РФ, связанные с судимостью (ч. 6 ст. 86 УК РФ). Следует подчеркнуть,
что согласно новой редакции данной статьи, принятой в 2015 г., аннулируются именно
уголовно-правовые последствия судимости, но не иные правовые последствия. Тем
самым новая формулировка ч. 6 ст. 86 УК РФ фактически легитимирует
продолжающуюся обработку данных о погашенной или снятой судимости таких лиц в специализированных базах данных. Однако
снятие или погашение судимости все же имеет определенные последствия и
применительно к информационной сфере гражданина, в частности, дает основание
для предъявления требования об удалении соответствующей информации
общегражданским оператором, в том числе об удалении ссылок, выдаваемых
поисковыми сервисами, на информацию о совершении лицом соответствующего
уголовно-правового деяния в порядке, установленном ст. 10.3 Закона об
информации (см. подробнее комментарий к ст. 14 Закона).
17.3. Относительно
содержания сведений о судимости, подпадающих под действие комментируемой нормы,
следует привести мнение представителей Роскомнадзора, согласно которому
"простое сообщение о наличии (отсутствии) судимости лица без
дополнительной информации о факте осуждения и назначения субъекту персональных
данных приговором суда наказания не может характеризоваться в качестве
специальных персональных данных. Сведения о судимости представляют собой
совокупность данных, содержащих определенную или определяемую информацию о лице
в качестве осужденного, т.е. подтвержденную сведениями о вступившем в законную
силу обвинительном приговоре суда" <1>. Данный тезис подтверждается
положениями действующего законодательства, в частности, содержанием справки о
наличии (отсутствии) судимости, в которой помимо сведений о наличии снятой или
погашенной судимости указываются дата осуждения, наименование суда, вынесшего
приговор, пункт, часть, статья уголовного закона, по которым лицо было
осуждено, срок и вид наказания, сведения о переквалификации деяния, дата и
основание освобождения, дата и основание снятия судимости <2>.
--------------------------------
<1> См.:
Федеральный закон "О персональных данных": научно-практический комментарий
/ под ред. А.А. Приезжевой. С. 63.
<2> См.: п. 76.3
Административного регламента МВД РФ по предоставлению государственной услуги по
выдаче справок о наличии (отсутствии) судимости и (или) факта уголовного
преследования либо о прекращении уголовного преследования, утв. Приказом МВД
России от 27 сентября 2019 г. N 660 // СПС "КонсультантПлюс".
17.4. Признавая
"чувствительный" характер сведений о судимости лица, законодатель
установил особый порядок обработки таких данных. Такая обработка может
осуществляться:
1) государственными
органами или муниципальными органами в пределах полномочий, предоставленных им
в соответствии с законодательством Российской Федерации;
2) иными лицами в
случаях и в порядке, которые определяются в соответствии с федеральными
законами.
Государственными и муниципальными
органами обработка данных о судимости может осуществляться, в частности:
- для целей межведомственного обмена. Так, в соответствии с п. 39 ч.
1 ст. 12 Федерального закона от 7 февраля 2011 г. N 3-ФЗ "О полиции"
полиция обязана предоставлять по межведомственным запросам органов
государственной власти, органов местного самоуправления, предоставляющих
государственные или муниципальные услуги, сведения о наличии у лица
непогашенной или неснятой судимости, если для предоставления государственной
или муниципальной услуги предусмотрено предоставление таких сведений или
документа, содержащего такие сведения, в указанные государственные органы или
органы местного самоуправления;
- для целей предоставления государственных услуг. Основным
документом, регламентирующим обработку и предоставление сведений о судимости
гражданам, является Административный регламент МВД РФ по предоставлению
государственной услуги по выдаче справок о наличии (отсутствии) судимости и
(или) факта уголовного преследования либо о прекращении уголовного
преследования. В качестве заявителя могут выступать граждане Российской
Федерации, иностранные граждане, лица без гражданства либо их уполномоченные
представители. Результатом предоставления государственной услуги является
получение заявителем справки о наличии (отсутствии) судимости либо письма об
отказе в выдаче справки о наличии (отсутствии) судимости (п. 9
Административного регламента от 27 сентября 2019 г.). По мнению Верховного Суда
РФ, "наличие в справке информации об имевшейся судимости само по себе не
влечет неблагоприятных последствий. МВД России осуществляет лишь обработку
персональных данных в виде совершения действий по предоставлению имеющейся в
банке данных информации о факте судимости и не принимает решение о допуске к
выбираемой гражданином деятельности, непосредственно определяющее правовые
последствия, связанные с наличием такого факта" (Решение Верховного Суда
РФ от 23 мая 2016 г. N АКПИ16-263);
- для статистических целей. Сведения о судимости, в частности,
обрабатываются для целей учета совершенных преступлений в соответствии с Приказом
Генпрокуратуры России N 39, МВД России N 1070, МЧС России N 1021, Минюста
России N 253, ФСБ России N 780, Минэкономразвития России N 353, ФСКН России N
399 от 29 декабря 2005 г. "О едином учете преступлений". В
соответствии с п. 40 указанного документа учету подлежат все лица, в отношении
которых вынесено постановление об отказе в возбуждении уголовного дела по
нереабилитирующим основаниям, о прекращении уголовного дела или уголовного
преследования по нереабилитирующим основаниям, уголовное дело направлено
прокурором в суд с обвинительным заключением (актом) либо вынесен обвинительный
приговор по уголовному делу частного обвинения.
17.5. К иным лицам, имеющим право на обработку
данных о судимости, может относиться, в частности, работодатель, правда, лишь в
ограниченных случаях: когда ТК РФ или иной федеральный закон устанавливает
ограничения на выполнение определенной трудовой функции лицом, имеющим или
имевшим судимость. Так, согласно ст. 331 ТК РФ не допускаются к осуществлению
педагогической деятельности лица, имеющие или имевшие судимость, в частности,
за преступления против жизни и здоровья, свободы, чести и достоинства личности,
половой неприкосновенности и половой свободы личности, против семьи и
несовершеннолетних, здоровья населения и общественной нравственности, основ
конституционного строя и безопасности государства, мира и безопасности
человечества, а также против общественной безопасности, а также имеющие
неснятую или непогашенную судимость за иные умышленные тяжкие и особо тяжкие
преступления. В связи с данным положением у работодателя возникает обязанность
по обеспечению соответствия работников указанному требованию закона и проверке
достоверности указанных им сведений, что предполагает и предоставление данным
законом прав на обработку соответствующих сведений.
В остальных случаях,
прямо не предусмотренных законодательством РФ, работодатель не вправе
осуществлять сбор и обработку данных о судимости работников и кандидатов на
работу. В этой связи разного рода проверки, осуществляемые службами
безопасности и иными подразделениями организаций, являются незаконными и могут
являться основанием для привлечения организации и соответствующих должностных
лиц к ответственности по ч. 1 ст. 13.11 КоАП РФ. Еще менее укладывается в рамки
законодательства сбор работодателем сведений о судимости родственников
работника, что квалифицируется как нарушение судебной практикой (Постановление
Одиннадцатого апелляционного арбитражного суда от 11 декабря 2018 г. по делу N
А55-21355/2018).
18. Европейское
законодательство во многом схоже с российским в части определения оснований для
обработки персональных данных специальных категорий, однако с принятием GDPR
количество таких оснований значительно расширилось. Тем самым европейский
законодатель идет по пути последовательного включения таких данных в
информационный обмен, особенно если речь идет о достижении общественно полезных
целей. Например, в соответствии со ст. 9(2)(g) обработка таких данных допустима
для целей, представляющих "существенный публичный интерес", при
условии имплементации оператором конкретных и подходящих мер, направленных на
защиту фундаментальных прав субъекта персональных данных. Статья 9(2)(i)
содержит частный случай указанного положения, допуская обработку для
общественно полезных целей в сфере здравоохранения, в частности для
предотвращения трансграничных угроз здоровью граждан, обеспечения безопасности
медицинских препаратов и пр. Крайне важным является распространение такого
основания для обработки обычных данных, как достижение научных, исторических,
исследовательских, статистических целей, на специальные категории персональных
данных (ст. 9(2)(j)). Предполагается, что это будет способствовать более
эффективному использованию современных информационных технологий, в том числе
"больших данных", для общественно полезных целей.
Статья 10.1. Особенности
обработки персональных данных, разрешенных субъектом персональных данных для
распространения
1. Комментируемая
статья предусматривает новый правовой режим обработки персональных данных,
которые ранее обычно именовались общедоступными, а в новой терминологии -
"персональными данными, разрешенными субъектом персональных данных для
распространения". Данный термин уже был предметом детального рассмотрения
ранее (см. комментарий к ст. 3 Закона). Оценивая в целом закрепленный в ст.
10.1 правовой режим таких данных, нельзя не отметить, что он является
достаточно "сырым" и противоречивым, что является неизбежным
следствием кулуарности процесса разработки данного Закона и крайней спешки его
принятия. Как следствие, положения ст. 10.1 плохо вписываются в существующую
терминологию и структуру Закона о персональных данных и еще хуже - в реалии
функционирования сети Интернет. Вместе с тем по мере появления разъяснений
Роскомнадзора, правоприменительной практики и корректировок текста отдельных
положений ст. 10.1 у него есть потенциал стать еще одной "фишкой"
российского особого пути регулирования персональных данных наряду с требованием
локализации отдельных процессов обработки персональных данных.
Ядром нового правового
режима является согласие субъекта, которое должно отвечать особым требованиям. Часть
1 комментируемой статьи устанавливает два специальных требования к такому
согласию.
Во-первых, оно должно
быть оформлено отдельно от иных согласий на обработку его данных. По-видимому,
данное требование имело источником вдохновения положения ст. 7(2) GDPR, которые
предусматривают необходимость выделения согласия на обработку на фоне всех иных
положений документов, предоставляемых или подписываемых субъектом, под страхом
недействительности такого согласия. Данное требование GDPR заимствовано из
судебной практики Верховного суда Германии и направлено на противодействие
практике сокрытия условий обработки персональных данных, с которыми формально
соглашается субъект, в многостраничном тексте <1>. Представляется, что
схожие соображения лежат в основе схожего по сути требования ч. 1 ст. 10.1
Закона о персональных данных. Таким образом, практика получения от субъекта
персональных данных (работника, клиента, пользователя и т.п.) бланкетных
согласий "оптом" на все возможные способы обработки, в том числе на
последующее распространение его данных, не будет соответствовать указанному
требованию. Согласие на обработку персональных данных, разрешенных субъектом
для распространения, должно быть оформлено в виде отдельного документа и
отдельно от всех иных согласий, например, на обработку специальных категорий
персональных данных, биометрических данных, трансграничную передачу данных в
страны, не обеспечивающие адекватного уровня защиты прав субъектов, и т.д.
Невыполнение этого требования, по всей видимости, будет трактоваться
Роскомнадзором как влекущее отсутствие юридической силы согласия, требуемого в
рамках ст. 10.1 Закона о персональных данных, и незаконность основанной на
таком согласии обработки.
--------------------------------
<1> См.: The EU
General Data Protection Regulation (GDPR): A Commentary / ed. by Christopher Kuner,
Lee Bygrave and Christopher Docksey. P. 350.
На фоне данного требования являются
излишними положения ч. 8 комментируемой статьи, согласно которым молчание или
бездействие субъекта персональных данных ни при каких обстоятельствах не может
рассматриваться как согласие. С одной стороны, в условиях, когда согласие
должно быть выражено в явной форме и отдельно от других согласий, уже подразумевается
невозможность существования "подразумеваемого согласия". К тому же
данные уточнения ч. 8 ст. 10.1 являются не чем иным, как конкретизацией
требований "сознательности" и "конкретности", предъявляемых
в соответствии со ст. 9 Закона о персональных данных к любому согласию субъекта
на обработку его данных, а следовательно, не несут в себе ничего нового.
Во-вторых, Требования к
содержанию согласия на обработку персональных данных, разрешенных субъектом для
распространения, утверждены Роскомнадзором и не могут изменяться оператором
<1>.
--------------------------------
<1> См.: Приказ
Роскомнадзора от 24 февраля 2021 г. N 18 "Об утверждении требований к
содержанию согласия на обработку персональных данных, разрешенных субъектом
персональных данных для распространения", который вступает в силу с 1
сентября 2021 г. (СПС "КонсультантПлюс").
Согласно положениям Приказа N 18 в
таком согласии должны быть указаны:
1) Ф.И.О. субъекта;
2) контактные данные
субъекта (номер телефона, адрес электронной почты или почтовый адрес субъекта
персональных данных);
3) сведения об операторе
(наименование организации или Ф.И.О. индивидуального предпринимателя, адрес
организации по ЕГРЮЛ, ИНН, ОГРН);
4) сведения об
информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www),
домена, имени каталога на сервере и имени файла веб-страницы), посредством
которых будут осуществляться предоставление доступа неограниченному кругу лиц и
иные действия с персональными данными субъекта персональных данных;
5) цель (цели) обработки
персональных данных;
6) категории и перечень
персональных данных, на обработку которых дается согласие субъекта персональных
данных (под категориями персональных данных понимаются в указанном случае
специальные категории данных, биометрические данные и все остальные, именуемые
в данном Приказе просто как "персональные данные");
7) категории и перечень
персональных данных, для обработки которых субъект персональных данных
устанавливает условия и запреты, а также перечень устанавливаемых условий и
запретов. Данное поле заполняется по желанию субъекта персональных данных;
8) условия, при которых
полученные персональные данные могут передаваться оператором, осуществляющим
обработку персональных данных, только по его внутренней сети, обеспечивающей
доступ к информации лишь для строго определенных сотрудников, либо с
использованием информационно-телекоммуникационных сетей, либо без передачи
полученных персональных данных. Данное поле также заполняется по желанию субъекта
персональных данных;
9) срок действия
согласия.
Как видно, требования к
согласию, предоставляемому в рамках ст. 10.1, в некоторых аспектах более
либеральны, чем требования к письменному согласию субъекта по ч. 4 ст. 9 Закона
о персональных данных. В частности, не требуется указания паспортных данных,
допускается вариативность в указании контактной информации о субъекте,
учитывающей интернет-реалии; допускается указание нескольких целей обработки в
одном согласии. В то же время п. 7 и 8 представляют существенную сложность для
операторов, поскольку предполагают формулирование соответствующих положений
самим субъектом. В условиях, когда у оператора могут быть тысячи пользователей,
которые размещают свои данные на общедоступных ресурсах оператора,
администрирование таких запретов и ограничений становится практически
невозможным.
Роскомнадзором
реализован функционал, позволяющий оператору подготовить шаблон формы согласия
на обработку персональных данных, разрешенных субъектом персональных данных для
распространения с учетом профессиональной специфики деятельности оператора.
Сформированный шаблон формы согласия оператор по желанию может направить в
Роскомнадзор для получения рекомендаций по формированию такого согласия.
Для направления шаблона
согласия в Роскомнадзор необходимо заполнить форму запроса по ссылке:
https://pd.rkn.gov.ru/soglasiya/. Для подачи запроса на согласование заявителю
необходимо авторизоваться через ЕСИА.
Напротив каждого вида
персональных данных в составе соответствующей категории должны содержаться поля
или отметки, позволяющие субъекту установить запреты и ограничения на
распространение таких данных. Если текст согласия сформулирован оператором
недостаточно определенно и не позволяет сделать однозначный вывод о том, что
такого рода условия и запреты отсутствуют в
результате сознательного выбора субъекта, а равно если в таком тексте
согласия в принципе не содержится достаточной детализации в виде указания
категорий и перечня обрабатываемых персональных данных, то оператор лишается
возможности дальнейшего распространения таких данных и совершения иных
действий, связанных с получением доступа к ним неограниченного круга лиц (ч. 8
комментируемой статьи). Данное правило имеет своей целью стимулировать
операторов к максимально прозрачной манере изложения формулировок согласий, а
также к избежанию попыток чрезмерных обобщений в них, например, в виде
выражения согласия пользователем на распространение "любых иных
персональных данных, предоставляемых пользователем". Данное правило
является логичным, учитывая, что последующие операторы также вынуждены
ориентироваться на текст согласия, которое дал субъект первоначальному
оператору, и чем яснее и понятнее сформулировано такое согласие, тем меньше
рисков для них.
2. Часть 2 устанавливает
достаточно любопытное правило, которое может рассматриваться как одно из неявно
выраженных исключений из требования об обязательности получения оператором
специального согласия на распространение персональных данных, сделанных
доступными неопределенному кругу лиц самим субъектом. Она предусматривает
возможность обработки таких данных оператором и в отсутствие такого согласия,
но при одновременном выполнении двух условий: 1) такие данные должны быть
сделаны доступными неопределенному кругу лиц непосредственно самим субъектом и
2) у оператора есть какое-либо законное основание из числа указанных в ст. 6
или 10 Закона о персональных данных для их обработки, например, если они
обрабатываются в рамках исполнения договора, стороной которого является такой
субъект. Данное положение находится в некотором противоречии с общей идеологией
ст. 10.1, но может выступать своего рода переходным положением, легитимирующим
обработку персональных данных, формально подпадающих с 1 марта 2021 г. под
требование о получении специального согласия, до 1 сентября 2021 г. (вступление
в силу Приказа Роскомнадзора N 18).
3. Часть 3
комментируемой статьи предусматривает последствия, аналогичные предыдущему
положению, но только уже в отношении персональных данных, которые
"оказались раскрытыми неопределенному кругу лиц вследствие правонарушения,
преступления или обстоятельств непреодолимой силы". В принципе, ничто не
мешало бы объединить положения ч. 2 и 3 в одно положение, учитывая идентичность
последствий, которые наступают при обстоятельствах, указанных в данных частях.
Вместе с тем не могут не вызывать некоторые сомнения сам принципиальный подход
законодателя в уравнивании последствий ситуации, когда сам субъект своей волей
делает данные доступными неопределенному кругу лиц без оформления требуемого
специального согласия, и ситуации, когда такие данные стали доступными
неопределенному кругу лиц в результате утечки или иных чрезвычайных
обстоятельств. Представляется, что более правильным вариантом была бы
констатация факта незаконности обработки таких данных любым последующим
оператором с возникновением безусловной обязанности их незамедлительно удалить,
как только такой оператор узнал или должен был узнать об обработке им
персональных данных, ставших доступными неопределенному кругу лиц в результате
утечки или иных чрезвычайных обстоятельств. Иными словами, персональные данные,
полученные в результате утечек и тем более преступных действий, должны
объявляться недопустимыми к обработке, как некий аналог "объекта, изъятого
из оборота". В отсутствие специальных положений в ст. 10.1 Закона о
персональных данных этот вывод мог бы следовать из ч. 1 ст. 5 указанного
Закона, закрепляющей общий принцип законности и справедливости при обработке
персональных данных. Если оператор берет данные из источников, которые носят
заведомо незаконный характер, вроде баз данных, ставших предметом утечки, либо
по результатам услуг "пробива", то независимо от ссылки оператора на
наличие формального основания для обработки таких данных без согласия субъекта,
например в силу п. 8 или 9 ч. 1 ст. 6 Закона о персональных данных, такая
обработка должна считаться незаконной.
4. Часть 4
комментируемой статьи предусматривает достаточно странное правило, согласно
которому, если из предоставленного субъектом согласия на обработку персональных
данных, разрешенных для распространения, не следует, что он согласился с
распространением таких персональных данных, оператор может их обрабатывать без
права распространения. В данном случае имеет место явное противоречие между тем
фактом, что комментируемая норма относится к правовому режиму особой категории
персональных данных, "разрешенных
для распространения", и тем, что такие данные являются не подлежащими
распространению. По всей видимости, в данном случае корректнее было бы говорить
о наличии обычного согласия на обработку персональных данных и об отсутствии
тем самым специального согласия на обработку персональных данных,
"разрешенных для распространения". В противном случае непонятно, в
чем смысл квалификации волеизъявления субъекта именно как согласия на обработку
персональных данных, разрешенных для
распространения, если по факту оператору такие данные распространять
нельзя.
5. Часть 5 ст. 10.1
Закона о персональных данных предусматривает особое правило толкования
положений данного субъектом согласия на обработку персональных данных,
разрешенных для распространения: все сомнения относительно установления
субъектом ограничений или запретов в отношении дальнейшего распространения
таких данных толкуются в пользу отсутствия такого согласия и вытекающей из
этого невозможности оператора передавать, распространять или иным образом
делать доступными такие персональные данные неограниченному кругу лиц. В
определенной степени данное правило можно рассматривать как проявление
известного принципа толкования условий договора contra proferentem, согласно которому "толкование условий
договора судом должно осуществляться в пользу контрагента стороны, которая
подготовила проект договора либо предложила формулировку соответствующего
условия" (п. 11 Постановления Пленума Высшего Арбитражного Суда РФ от 14
марта 2014 г. N 16 "О свободе договора и ее пределах"; п. 45
Постановления Пленума Верховного Суда РФ от 25 декабря 2018 г. N 49 "О
некоторых вопросах применения общих положений Гражданского кодекса Российской
Федерации о заключении и толковании договора"), с той лишь разницей, что в
данном случае речь идет о толковании составленного оператором текста документа,
который призван выражать одностороннее волеизъявление (согласие) субъекта.
Аналогичные последствия
наступают и в ситуации, когда текст согласия субъекта на обработку персональных
данных, разрешенных для распространения, не является достаточно
детализированным и в нем не указаны категории и конкретные виды персональных
данных, в отношении которых субъект может установить ограничения и запреты на
обработку его данных третьими лицами. Иными словами, речь идет о ситуациях,
когда субъекту не была предоставлена реальная возможность выразить свое
волеизъявление по данным вопросам. Как следствие, такое волеизъявление нельзя
рассматривать как подразумеваемое и выводить из совокупности каких-либо иных
положений. В силу прямого указания Закона оно считается несделанным. В конечном
счете это должно служить демотивирующим фактором для использования оператором
неоднозначных формулировок и "оптовых" согласий на максимально
возможный перечень действий по дальнейшей обработке персональных данных
неограниченным кругом третьих лиц.
Вместе с тем положения
данной статьи формально не запрещают передачу персональных данных конкретным третьим лицам. В таких
случаях, поскольку нет распространения персональных данных неограниченному
кругу лиц, положения ст. 10.1 не применяются, а применяются общие положения об
обработке персональных данных, в том числе указанные в ст. 6 Закона о
персональных данных. Таким образом, в рамках существующих договорных отношений
пользователя с онлайн-сервисом субъекты по-прежнему могут давать согласие на
передачу их персональных данных партнерам такого сервиса, рекламным
организациям и другим лицам. Аналогичным образом работодатель по-прежнему может
передавать персональные данные работников третьим лицам с соблюдением
существующих правил ТК РФ и ст. 6, 10, 11 Закона об основаниях такой обработки.
Однако в случае, если он, например, размещает фотографию и иные персональные
данные своих работников на корпоративном веб-сайте, доступном неограниченному
кругу лиц, то на такие действия необходимо получать согласие в порядке ст. 10.1
Закона о персональных данных.
6. Закон допускает две
основные формы получения согласия субъекта на обработку персональных данных,
разрешенные для распространения: непосредственно или с использованием
информационной системы Роскомнадзора. При этом независимо от формы дачи
согласия требования к такому согласию, установленные ранее упоминавшимся Приказом
Роскомнадзора N 18, применяются в полном объеме.
Норма о возможности
получения такого согласия через Роскомнадзор вступает в силу с 1 июля 2021 г.
Правила использования такой информационной системы, согласно ч. 7 комментируемой
статьи, подлежат утверждению Роскомнадзором. Соответствующий приказ на момент
подготовки данного издания комментария существовал лишь в качестве проекта
<1>.
--------------------------------
<1>
https://regulation.gov.ru/projects#npa=114371
Исходя из положений данного проекта,
предполагается наличие следующего функционала у данной информационной системы:
а) возможность подачи и
отзыва согласия субъектом персональных данных;
б) возможность приема и
получения согласия оператором;
в) формирование реестра
записей о поданных, полученных и отозванных согласиях, в том числе в личных
кабинетах участников взаимодействия;
г) формирование и
направление участникам взаимодействия уведомлений о подаче, приеме, отзыве
согласий;
д) возможность обмена
информацией о результатах взаимодействия между участниками взаимодействия;
е) регистрация действий
должностных лиц Роскомнадзора при осуществлении возложенных законодательством
РФ полномочий в области персональных данных;
ж) возможность
направления должностными лицами Роскомнадзора запросов или требований об
устранении выявленных нарушений в области персональных данных участникам
взаимодействия;
з) формирование
Роскомнадзором реестра записей о результатах рассмотрения запросов и исполнения
требований об устранении выявленных нарушений в области персональных данных
участниками взаимодействия;
и) получение уведомлений
от участников взаимодействия об устранении нарушений в области персональных
данных, направленных в электронном виде.
Субъект персональных
данных сможет осуществлять управление данными согласиями после прохождения
процедуры регистрации в электронной форме, в рамках которой он должен будет
предоставить сведения о себе: Ф.И.О., дату рождения, реквизиты документа,
удостоверяющего личность, адрес места жительства, номер телефона и адрес
электронной почты.
Оператор, в свою
очередь, сможет получать согласие от субъектов через информационную систему
Роскомнадзора также лишь после регистрации в информационной системе
Роскомнадзора, в рамках которой он указывает полное и сокращенное (при наличии)
наименование оператора, основной государственный регистрационный номер
юридического лица или индивидуального предпринимателя (ОГРН или ОГРНИП), ИНН, а
также ссылки на код(-ы) классификаторов (общероссийский классификатор видов
экономической деятельности - ОКВЭД, общероссийский классификатор предприятий и
организаций - ОКПО, общероссийский классификатор органов государственной власти
и управления - ОКОГУ, общероссийский классификатор форм собственности - ОКФС)
по направлениям деятельности.
Достоверность
предоставляемых субъектами и операторами сведений проверяется Роскомнадзором с
использованием системы ЕСИА, что означает обязательность наличия учетной записи
в данной информационной системе, для того чтобы можно было использовать информационную
систему Роскомнадзора. Соответственно при отсутствии у субъекта или оператора
такой учетной записи предоставление согласия на обработку персональных данных,
разрешенных для распространения, возможно лишь в ходе их непосредственного
взаимодействия.
7. Часть 9
комментируемой статьи в значительной степени развивает положения ряда
предыдущих частей ст. 10.1, предусматривая в качестве одного из существенных
требований к порядку получения согласия на обработку персональных данных,
разрешенных субъектом персональных данных для распространения, возможность
установления субъектом:
- запрета передачи
(кроме предоставления доступа) персональных данных оператором неограниченному
кругу лиц;
- запрета обработки
(кроме получения доступа) персональных данных неограниченным кругом лиц;
- условий обработки
(кроме получения доступа) персональных данных неограниченным кругом лиц.
В отличие от положений ч.
4 и 5 комментируемой статьи, где в категоричной форме говорится о невозможности
совершения оператором любых действий по передаче (распространению,
предоставлению, доступу) и
осуществления иных действий с персональными данными неограниченному кругу лиц в
случае, если есть сомнения в том, что субъект целенаправленно не установил
соответствующих ограничений и запретов, а равно если форма согласия не
предусматривала категорий и видов персональных данных, комментируемая норма
устанавливает, что некоторые операции оператор и третьи лица все же могут
совершать, несмотря на наличие установленных субъектом запретов и условий.
Систематическое толкование положений ч. 4, 5 и 9 позволяет сделать следующие
выводы по поводу их соотношения:
1) если текст согласия имеет дефекты, в результате которых из
него нельзя сделать однозначного вывода о том, что субъект целенаправленно не
установил ограничений и запретов, а равно что он не мог этого сделать из-за
отсутствия выделения в таком тексте категорий и видов персональных данных, то в
качестве последствия наступает невозможность предоставления, распространения
или предоставления доступа к таким данным неопределенному кругу лиц. Они могут
использоваться оператором, получившим такое дефектное согласие, только для
внутренних нужд или для предоставления конкретным лицам (при наличии законного
основания для этого);
2) если текст согласия
не содержит вышеуказанных дефектов и соответствует иным предъявляемым к нему
требованиям, при этом субъект установил запреты и ограничения на передачу таких
данных неограниченному кругу лиц, то такие ограничения не затрагивают
возможность оператора предоставлять доступ к таким персональным данным
неограниченному кругу лиц (т.е. размещать их на своем веб-сайте). В равной
степени они не затрагивают возможности третьих лиц осуществлять обработку таких
персональных данных посредством получения доступа к таким сведениям без их
последующего копирования, "перепоста" и совершения иных действий,
которые могут быть квалифицированы как передача (распространение,
предоставление, доступ).
Таким образом, изучение
третьими лицами размещенной в сети Интернет информации не может быть ограничено
волеизъявлением субъекта, который выразил свое согласие на размещение такой
информации в сети Интернет на ресурсе, доступном неограниченному кругу лиц.
Если же субъект
ограничил возможность дальнейшей передачи таких персональных данных
неопределенному кругу лиц, то первоначальный оператор, получивший
соответствующее согласие, не вправе осуществлять передачу таких данных
неопределенному кругу лиц, а третьи лица не должны копировать и иным образом
обрабатывать такие данные, кроме изучения таких данных посредством получения
доступа к ним.
В связи с тем, что
работа в сети Интернет неразрывно связана с постоянным перемещением информации
с серверов, на которых размещены страницы в Интернете, на устройство
пользователя (ноутбук, телефон, планшет и т.п.), тот факт, что в процессе
такого доступа осуществляется кратковременное
копирование информации в оперативную память устройства пользователя, не
должен влечь квалификацию такого процесса обработки в качестве записи или
хранения как самостоятельных процессов обработки персональных данных, поскольку
в данном случае речь идет о промежуточной технической операции, которая не
позволяет осуществить накопление данных и их долгосрочную демонстрацию
пользователям, а равно создание и последующее использование экземпляров с такой
информацией. Представляется, что в данном случае в силу идентичности
технической стороны процесса можно по аналогии использовать ту же логику и
аргументацию суда, что и в отношении вопросов наличия факта использования
произведения в авторско-правовом контексте (подп. 1 п. 2 ст. 1270 ГК РФ).
Однако если третье лицо не ограничилось одним лишь просмотром персональных
данных на интернет-ресурсе, где они были размещены с согласия установившего
ограничения на последующую передачу их неопределенному кругу лиц субъекта, а
скопировало их себе в постоянную память компьютерного устройства, то оно будет
являться нарушителем соответствующего запрета и осуществлять тем самым
неправомерную обработку таких персональных данных.
Следует также отметить,
что согласно существующей судебной практике оператор поисковой системы "не
осуществляет распространение информации, а предоставляет пользователям услуги
поиска информации, размещенной третьими лицами в сети Интернет, что исключает
возложение на него ответственности за содержание информации, размещенной
третьими лицами" (Апелляционное определение Московского городского суда от
10 июля 2017 г. по делу N 33-23174/2017). Если персональные данные попадают в
индекс поисковой системы (таблицу ключевых слов с метаданными (словоформами)),
это не будет являться нарушением поисковым сервисом запретов и условий
обработки персональных данных, установленных в порядке ст. 10.1 Закона о
персональных данных. Как известно, индексирование является неотъемлемой частью
работы любой поисковой системы и представляет собой техническую операцию,
обеспечивающую скорость работы поисковой системы. Содержание индекса поисковой
системы не видно пользователям сети Интернет.
8. Согласно ч. 8
комментируемой статьи на оператора возлагается обязанность по публикации
информации об условиях обработки и о наличии запретов и условий на обработку
неограниченным кругом лиц персональных данных, разрешенных субъектом
персональных данных для распространения. Такая информация должна быть
опубликована в срок не позднее трех рабочих дней с момента получения
соответствующего согласия субъекта персональных данных. Данная обязанность
необходима для того, чтобы третьи лица, которые хотят осуществлять дальнейшее
распространение персональных данных, убедились в наличии у них такого права,
учитывая, что бремя доказывания законности такого дальнейшего распространения
возлагается в рамках ст. 10.1 Закона именно на них. В отличие от ранее
действовавшего регулирования, допускавшего возможность обработки персональных
данных, сделанных субъектом общедоступными, без его согласия (п. 10 ч. 1 ст. 6,
п. 2 ч. 2 ст. 10 Закона о персональных данных в редакции, действовавшей до 1
марта 2021 г.) и тем самым возлагавшего бремя доказывания незаконности такой
обработки на сам субъект, ст. 10.1 изменила подход на прямо противоположный.
В этой связи, учитывая,
что между фактом дачи субъектом согласия и публикацией его условий оператором
может пройти как минимум три рабочих дня с момента его дачи, третьи лица,
которые начинают дальнейшее распространение персональных данных, не дождавшись
такой публикации и не убедившись в наличии необходимого разрешения на дальнейшее
распространение, действуют на свой риск и могут быть подвергнуты
ответственности по ч. 1 ст. 13.11 КоАП РФ с потенциальной возможностью
блокировки интернет-ресурса.
Закон не требует от
оператора публиковать сам текст согласия со всеми реквизитами, относящимися к
субъекту персональных данных, речь идет лишь о публикации той части данного
согласия, которая касается условий обработки и установленных субъектом запретов
и условий обработки неограниченным кругом лиц.
9. В ч. 11 ст. 10.1
содержится еще одно ограничение абсолютного характера устанавливаемых субъектом
запретов и условий обработки персональных данных, разрешенных для
распространения, помимо недопустимости ограничения доступа к таким данным. Речь
идет о случаях, когда обработка персональных данных осуществляется в
государственных, общественных и иных публичных интересах, определенных
законодательством Российской Федерации. К сожалению, никаких критериев того,
что может быть отнесено к публичному или общественному интересу, в тексте
данного положения не дается, тем самым предоставляя толкование данного понятия
на откуп Роскомнадзора и судов. Однако в качестве определенного ориентира может
выступать разъяснение ВС РФ, согласно которому "к общественным интересам
следует относить не любой интерес, проявляемый аудиторией, а, например,
потребность общества в обнаружении и раскрытии угрозы демократическому
правовому государству и гражданскому обществу, общественной безопасности,
окружающей среде. Судам необходимо проводить разграничение между сообщением о
фактах (даже весьма спорных), способным оказать положительное влияние на
обсуждение в обществе вопросов, касающихся, например, исполнения своих функций
должностными лицами и общественными деятелями, и сообщением подробностей
частной жизни лица, не занимающегося какой-либо публичной деятельностью. В то
время как в первом случае средства массовой информации выполняют общественный
долг в деле информирования граждан по вопросам, представляющим общественный
интерес, во втором случае такой роли они не играют" (п. 25 Постановления
Пленума ВС РФ от 15 июня 2010 г. N 16 "О практике применения судами Закона
Российской Федерации "О средствах массовой информации").
Достаточно странным
является и решение об указании "государственных, общественных и публичных
интересов" вместо ссылок на уже существующие положения ст. 6, 10 или 11,
которые содержат ряд более конкретных оснований для обработки персональных
данных без согласия субъекта, потенциально релевантных в данном случае. Так или
иначе, констатация факта наличия у оператора государственного, общественного
или иного публичного интереса в обработке ранее размещенных субъектом в сети
Интернет персональных данных дает возможность такому оператору, например
государственным СМИ, осуществлять дальнейшее распространение и обработку таких
данных без особых ограничений. По факту в отношении такой обработки применяется
подход, схожий с ранее действовавшим положением п. 10 ч. 1 ст. 6 Закона о
персональных данных, о возможности обработки персональных данных субъекта,
которые он ранее сделал общедоступными, без его последующего согласия. В данном
случае ранее данное им согласие на обработку персональных данных, разрешенных
для дальнейшего распространения, осуществляет функцию легитимации субъекта, то
есть своего рода гарантии того, что они были сделаны общедоступными именно им,
а не каким-то посторонним лицом.
Вместе с тем буквальный
текст ч. 11 ст. 10.1 Закона о персональных данных не дает оснований говорить о
том, что факт наличия публичного или общественного интереса при обработке
персональных данных, разрешенных для распространения, полностью выводит такую
обработку из-под действия данной статьи. Во-первых, на это намекает ч. 15 ст.
10.1 Закона о персональных данных, где говорится о частном случае ч. 11 -
обработке персональных данных "в целях выполнения возложенных
законодательством Российской Федерации на федеральные органы исполнительной
власти, органы исполнительной власти субъектов Российской Федерации, органы
местного самоуправления функций, полномочий и обязанностей" и прямо
указывается, что к данным случаям не применяются требования ст. 10.1.
Во-вторых, сама формулировка ч. 11 говорит лишь о недействительности установленных
субъектом запретов и условий обработки персональных данных неопределенным
кругом лиц. Следовательно, все остальные положения ст. 10.1, в частности: ее ч.
5, посвященная последствиям определенных дефектов формулировок текста согласия;
ч. 2 и 3, касающиеся последствий отсутствия факта дачи согласия на обработку
данных, разрешенных для распространения; ч. 12 - о последствиях отзыва согласия
субъектов; ч. 14 - о правах субъекта требовать прекращения распространения
своих персональных данных неопределенному кругу лиц, если были нарушены
требования ст. 10.1 Закона о персональных данных, - применяются и к
распространению персональных данных в публичном интересе.
Таким образом, из
буквального и систематического толкования положений ст. 10.1 следует, что
субъект вполне может обойти положения ч. 11, ограничивающие действие его
волеизъявления в отношении допустимости дальнейшего распространения его
персональных данных, отозвав первоначальное согласие и предъявив требование
оператору, распространяющему его данные в рамках публичного интереса, о
прекращении такой обработки. В этой связи не исключено, что суды и Роскомнадзор
будут действовать contra legem и
блокировать применение данных норм к оператору, у которого есть публичный
интерес в обработке данных, особенно если этот оператор является
государственным органом.
10. Положения ч. 12
регламентируют порядок отзыва субъектом ранее данного согласия на обработку
персональных данных, разрешенных для распространения. Формой реализации такого
отзыва является предъявление субъектом требования о прекращении обработки его
персональных данных посредством передачи (распространения, предоставления,
доступа), которое должно включать в себя три элемента: 1) фамилию, имя,
отчество (при наличии), 2) контактную информацию (номер телефона, адрес
электронной почты или почтовый адрес) субъекта персональных данных, 3) перечень
персональных данных, обработка которых подлежит прекращению. Данный перечень
сведений сформулирован как исчерпывающий, и оператор не вправе устанавливать
дополнительных требований к содержанию предъявляемого субъектом требования, а
равно требовать предоставления дополнительных документов. Это может создать
условия для совершения мошеннических действий и "фейковых" запросов в
адрес оператора, которые можно минимизировать посредством направления запроса
на подтверждение поступившего отзыва на используемое во взаимоотношениях между
субъектом и оператором средство коммуникации (адрес электронной почты, номер
телефона и т.д.). При этом целесообразно предусмотреть отдельную процедуру
рассмотрения запросов от субъектов на прекращение обработки персональных
данных, поступивших в рамках ст. 10.1.
Предусмотренная в ч. 12
процедура реагирования оператором на поступившее требование субъекта является
специальной по отношению к общему порядку действий оператора по получении
отзыва согласия субъекта, предусмотренному ч. 5 ст. 21 Закона о персональных
данных (обязанность удалить персональные данные в течение 30 дней с момента
получения отзыва согласия, если у оператора отсутствуют иные основания для
обработки таких данных).
Согласно ч. 12
комментируемой статьи передача (распространение, предоставление, доступ)
персональных данных, разрешенных субъектом персональных данных для распространения,
должна быть прекращена оператором в любое время по требованию субъекта
персональных данных. Использованная в данном положении формулировка "в
любое время", мягко говоря, является весьма неудачной. Во-первых, она не
отличается определенностью, допуская буквальное толкование, при котором время
прекращения обработки по поступлении требования определяется любым удобным для
самого оператора временем, что вряд ли предполагалось целями данной нормы.
Во-вторых, если исходить из телеологического толкования указанной фразы, то в
данном случае предполагается незамедлительное реагирование оператора на
требование субъекта. Указанные специальные положения продиктованы спецификой
распространения информации в сети Интернет, которая характеризуется крайне
высокой скоростью. 30-дневный срок реагирования является явно чрезмерным для
таких ситуаций. Однако предусмотренный в комментируемом положении
незамедлительный срок реагирования на поступившее требование является не менее
неадекватным, учитывая, что он предполагает такое реагирование и в выходные
дни, и в праздничные дни, и в ночное время, что не может не накладывать
существенных издержек на оператора. Срок в два - три рабочих дня был бы куда
более адекватным существу возникающих отношений. Тем более что именно такой
срок устанавливается в отношении рассмотрения аналогичного по существу
требования субъекта, но адресованного не первоначальному оператору, а любому
иному лицу, которое обрабатывает его персональные данные, которые ранее были
разрешены им для распространения.
По всей видимости,
принимая во внимание положения ч. 13 и 14 ст. 10.1 Закона о персональных
данных, требование, о котором говорится в ч. 12, адресовано первоначальному оператору,
который инициировал распространение персональных данных на основании
специального согласия. В случае если речь идет о предъявлении субъектом
требования иным лицам, осуществляющим обработку таких персональных данных, оно,
по идее, должно регламентироваться правилами ч. 14 ст. 10.1 Закона о
персональных данных. По крайней мере только при таком подходе можно развести
положения ч. 12 и 14 ст. 10.1 и придать им хоть какое-то самостоятельное
значение. Хотя нельзя не отметить, что они в значительной степени дублируют
друг друга, и в перспективе целесообразно их объединение с созданием
унифицированной процедуры реагирования на поступившее требование субъекта о
прекращении обработки персональных данных, которые ранее он разрешил для
распространения. А до указанного момента, исходя из принципа равенства, -
применять правило о трех рабочих днях по аналогии для целей толкования понятия
"незамедлительно" и в отношении требования субъекта о прекращении
обработки персональных данных, направленного в адрес первоначального оператора,
которому было дано соответствующее согласие.
По получении требования
от субъекта оператор не имеет возможности отказать в его удовлетворении,
сославшись на наличие иных оснований для обработки, за исключением случаев,
которые могут охватываться ч. 15 ст. 10.1 Закона о персональных данных.
11. Согласно ч. 13 ст.
10.1 требование субъекта о прекращении обработки его персональных данных
посредством передачи (распространения, предоставления, доступа) влечет
прекращение ранее данного согласия с момента поступления к оператору, которому
оно первоначально было предоставлено.
Поскольку такое
требование субъекта влечет юридические последствия и Закон о персональных
данных не регламентирует особым образом процедуру передачи и получения такого
требования, момент поступления такого требования к оператору следует определять
в соответствии с положениями ст. 165.1 ГК РФ о юридически значимых сообщениях.
Согласно разъяснениям, содержащимся в п. 63 Постановления Пленума Верховного
Суда РФ от 23 июня 2015 г. N 25 "О применении судами некоторых положений
раздела I части первой Гражданского кодекса Российской Федерации",
юридически значимое сообщение, адресованное индивидуальному предпринимателю или
юридическому лицу, направляется по адресу, указанному соответственно в Едином
государственном реестре индивидуальных предпринимателей или в Едином
государственном реестре юридических лиц либо по адресу, указанному самим
индивидуальным предпринимателем или юридическим лицом. Например, такой адрес
может быть указан в разделе "Контакты" интернет-ресурса оператора.
Операторы несут риск
последствий неполучения юридически значимых сообщений, доставленных по адресам,
перечисленным выше, а также риск отсутствия по указанным адресам своего
представителя. Юридически значимое сообщение считается доставленным и в тех
случаях, когда оно поступило лицу, которому оно направлено, но по
обстоятельствам, зависящим от него, не было ему вручено или адресат не
ознакомился с ним (п. 1 ст. 165.1 ГК РФ). В частности, если такое сообщение
было отфильтровано спам-фильтрами оператора или не было получено им в
результате сбоя в работе его информационных систем.
Положения п. 1 ст. 165.1
ГК РФ, согласно которым юридически значимые последствия возникают с момента
доставки юридически значимых сообщений либо с момента, когда они считаются
доставленными, означают, что именно с указанных моментов возникает обязанность
оператора по реагированию на поступившее требование субъекта.
12.
Требование субъекта о прекращении передачи (распространения, предоставления,
доступа) персональных данных, которые ранее были им разрешены для
распространения, может быть предъявлено не только к первоначальному оператору,
который инициировал их дальнейшее распространение (в данном случае применяются
положения ч. 12 комментируемой статьи), но и к любому иному лицу, которое
осуществляет обработку таких данных. Причем, исходя из буквального толкования
данного положения, такое лицо необязательно должно быть оператором, оно может
иметь и статус лица, осуществляющего обработку персональных данных по поручению
оператора (ч. 3 ст. 6).
Норма ч. 14, в отличие
от схожих положений ч. 12, не конкретизирует, каким условиям должно
соответствовать предъявляемое субъектом требование. В такой ситуации есть два
варианта: либо применение положений ч. 12 о содержании такого требования в
субсидиарном порядке, либо применение положений ч. 3 ст. 14 о содержании
требований к запросам субъектов к операторам в рамках реализации своих прав.
Представляется, что в данном случае целесообразно именно применение положений ч.
12, согласно которым требование должно включать в себя три элемента: 1)
фамилию, имя, отчество (при наличии), 2) контактную информацию (номер телефона,
адрес электронной почты или почтовый адрес) субъекта персональных данных, 3)
перечень персональных данных, обработка которых подлежит прекращению. Это обусловлено
не только однородностью возникающих отношений, но и позволит обеспечить
единообразие при формировании практики по ст. 10.1.
Согласно ч. 14 лицо,
получившее требование от субъекта, обязано прекратить передачу
(распространение, предоставление, доступ) персональных данных в течение трех
рабочих дней с момента его получения. При этом, если такое лицо не исполнило
указанное требование, субъект имеет право обратиться в суд, и тогда срок для
исполнения такого требования либо будет указан непосредственно в самом судебном
решении, либо составит три рабочих дня с момента его вступления в силу.
Часть 14 ст. 10.1 не
говорит напрямую о возможности обращения в Роскомнадзор в качестве возможной
альтернативы судебному порядку. Однако, принимая во внимание, что такая
возможность по умолчанию предусмотрена ч. 1 ст. 17 Закона о персональных
данных, а также наличие у Роскомнадзора права на выдачу предписаний об
устранении выявленных нарушений, представляется, что административный порядок
обжалования бездействия лица, не отреагировавшего на требование субъекта,
является не только возможным, но и более эффективным с точки зрения сроков и
затрат.
13. Заключительное
положение ч. 15 ст. 10.1 посвящено исключениям из сферы действия данной статьи
и является одним из самых неудачных и проблемных во всем правовом режиме
порядка обработки персональных данных, разрешенных субъектом для
распространения. Оно предусматривает только одно исключение - обработку
персональных данных в целях выполнения возложенных законодательством РФ на
федеральные органы исполнительной власти, органы исполнительной власти
субъектов РФ, органы местного самоуправления функций, полномочий и обязанностей.
Как видно, в данном случае законодатель решил не идти по пути ссылок на
положения ст. 6 и 10, содержащих основания для обработки персональных данных
без согласия субъекта, которые содержат ситуации, описанные в ч. 15.
Основная проблема
комментируемого положения заключается в том, что оно сформулировано как
единственное и исключительное, не предполагая тем самым каких-либо иных
исключений из общей обязанности оператора по сбору специальных согласий от
субъектов для размещения их данных в сети Интернет, доступных неограниченному
кругу лиц. Вместе с тем такие ситуации могут возникать при выполнении
оператором, не являющимся государственным или муниципальным органом,
обязанностей, возложенных на него законодательством, по размещению персональных
данных третьих лиц в сети Интернет. Такие случаи ранее приводились в качестве
примеров ситуаций, охватываемых п. 11 ч. 1 ст. 6 Закона о персональных данных,
допускающего обработку персональных данных без согласия субъекта, если они
подлежат опубликованию или обязательному раскрытию в соответствии с федеральным
законом. В этой связи непонятно, как должны медицинские организации выполнять
обязанность по размещению в сети Интернет сведений о своих медицинских
работниках, образовательные учреждения - о своем руководстве и педагогических
работниках, государственные служащие - сведения о своих доходах и т.д.
Указанные положения законодательства играют важную роль в обеспечении
прозрачности деятельности соответствующих лиц, которая необходима в силу
высокой общественной значимости таких сфер деятельности.
Как отмечалось ранее в
рамках комментария к п. 11 ч. 1 ст. 6 Закона о персональных данных, до внесения
изменений в ч. 15 ст. 10.1 Закона о персональных данных несоблюдение лицом,
обязанным публиковать персональные данные в сети Интернет во исполнение
возложенных на него требований, положений ст. 10.1 не может квалифицироваться
как нарушение в силу отсутствия вины как одного из необходимых элементов
состава административного правонарушения.
Существуют и иные
проблемные моменты в применении ч. 15 ст. 10.1, в частности, отсутствие
указания на ее неприменимость к случаям, указанным в п. 8 ч. 1 ст. 6 Закона о
персональных данных: в рамках осуществления профессиональной деятельности
журналиста и (или) законной деятельности средства массовой информации либо научной,
литературной или иной творческой деятельности при условии, что при этом не
нарушаются права и законные интересы субъекта персональных данных.
В некоторых случаях это
может быть скомпенсировано положениями ч. 11 ст. 10.1 Закона о персональных
данных, предусматривающей, что установленные субъектом персональных данных
запреты на передачу (кроме предоставления доступа), а также на обработку или
условия обработки (кроме получения доступа) персональных данных, разрешенных
субъектом персональных данных для распространения, не распространяются на
случаи обработки персональных данных в государственных, общественных и иных
публичных интересах, определенных законодательством РФ. Однако, как отмечалось
ранее, данная норма касается неприменимости лишь установленных субъектом в
своем согласии запретов и условий дальнейшего распространения данных, но не
всех иных положений ст. 10.1, в частности, касающихся обязанности прекратить
такую обработку по требованию субъекта. Подобное положение вещей является
чрезмерным и непропорциональным ущемлением конституционных прав на свободу
слова, поиск и распространение информации и деятельность СМИ, установленных ст.
29 Конституции РФ, а также на свободу творчества, предусмотренную ст. 44
Конституции РФ. В этой связи положения ч. 15 ст. 10.1 являются потенциальным
кандидатом на их проверку Конституционным Судом РФ. До этого момента подлежит
применению позиция Конституционного Суда РФ в Постановлении от 25 мая 2021 г. N
22-П, согласно которой была подтверждена допустимость размещения на сайте в
сети Интернет средством массовой информации, действующим в форме сетевого
издания, персональных данных медицинского работника, ранее размещенных на
основании федерального закона на официальном сайте соответствующей медицинской
организации, вне зависимости от наличия на то его согласия. Данное Постановление
было принято Конституционным Судом РФ уже после формального вступления в силу
положений ст. 10.1 Закона о персональных данных и демонстрирует более широкий
подход Суда к основаниям для обработки персональных данных посредством их
публикации в сети Интернет без согласия субъекта, нежели перечень исключений,
указанных в ч. 11 ст. 10.1. Представляется, что в свете данной правовой позиции
Конституционного Суда РФ ограничительный подход к толкованию исключений,
указанных в ч. 11 ст. 10.1, является более недопустимым.
14. Достаточно
интересным является вопрос о сфере действия ст. 10.1 во времени. Она вступила в
силу с 1 марта 2021 г. и согласно разъяснениям Роскомнадзора, данным на
публичном семинаре для операторов 28 января 2021 г. <1>, не
распространяется на обработку персональных данных, полученных на законных
основаниях, до 1 марта 2021 г. Таким образом, дополнительно получать согласие
на обработку персональных данных в порядке ст. 10.1 в отношении таких
персональных данных не требуется. Однако, как отметил Роскомнадзор в вышеуказанных
разъяснениях, это не относится к возникновению права у субъекта требовать
прекращения обработки его персональных данных посредством их распространения и
предоставления доступа неограниченному кругу лиц. Такое право у субъекта
формально возникает с 1 марта 2021 г. независимо от того, что соответствующая
обработка была начата оператором до указанной даты.
--------------------------------
<1>
https://www.youtube.com/watch?v=jUfF06S1_Yk
Любопытно, что Роскомнадзор ставит
применимость ст. 10.1 в зависимость не столько от времени размещения
соответствующего контента (до или после 1 марта 2021 г.), сколько от времени
регистрации субъекта, размещающего такой контент. Если такая регистрация была
осуществлена на интернет-сервисе оператора до 1 марта 2021 г., то требования ст.
10.1 не применимы к обработке его персональных данных посредством
распространения, даже если они были размещены им уже после 1 марта 2021 г.
Иными словами, ст. 10.1 применяется только к новым пользователям (субъектам персональных
данных), которые зарегистрировались уже после 1 марта 2021 г. На мой взгляд,
данное разъяснение не следует из текста Федерального закона от 30 декабря 2020
г. N 519-ФЗ "О внесении изменений в Федеральный закон "О персональных
данных", в связи с чем не исключены изменение или существенная
конкретизация данной позиции в дальнейшем.
Наконец, необходимо
отметить, что Приказ Роскомнадзора N 18, которым утверждены требования к
согласию, вступает в силу только 1 сентября 2021 г., что порождает достаточно
интересный вопрос о том, какими требованиями к согласию следует
руководствоваться операторам в период с 1 марта по 1 сентября 2021 г.
Представляется, что в отсутствие каких-либо специальных положений к согласию
субъекта на обработку персональных данных, разрешенных для распространения,
следует руководствоваться общими положениями, предусмотренными в отношении
согласия на обработку персональных данных, указанных в ст. 9 Закона о
персональных данных, и с учетом положений ч. 2 ст. 10.1 Закона о персональных
данных, о которых говорилось выше.
Статья 11. Биометрические
персональные данные
1. Комментируемая статья
регламентирует два основных вопроса: понятие биометрических данных как особой
разновидности персональных данных и специальные основания для их обработки.
Дефиниция биометрических
данных содержится в ч. 1 комментируемой статьи. К ним относятся персональные
данные, характеризующиеся наличием следующих признаков:
1) особое содержание таких данных: они характеризуют биологические или
физиологические признаки лица, которые, по общему правилу, являются неизменными
на протяжении всей жизни человека;
2) особая цель обработки таких данных
оператором: установление личности субъекта.
В связи с указанными
признаками следует указать ряд моментов.
Во-первых, указанные
признаки должны присутствовать в
совокупности, поскольку, к примеру, данные о состоянии здоровья лица также
характеризуют его биологические признаки, но сами по себе не являются
биометрическими данными. Аналогичным образом для установления личности субъекта
могут использоваться иные данные, никак не характеризующие биологические или
физиологические особенности человека, например электронная подпись.
Во-вторых,
биометрические данные, как следует из признака 2, предполагают исключительно
целевую направленность - установление личности субъекта. В этой связи
осуществление городскими камерами видеозаписи прохожих в потоковом режиме с
расстояния не является, по общему правилу, обработкой биометрических данных со
стороны оператора информационной системы видеонаблюдения, если при этом не
устанавливаются их личности. Если впоследствии полученные оператором такой
системы изображения будут переданы другому оператору, например
правоохранительным органам для проведения ими идентификации изображенного лица,
то именно получатель такого изображения, осуществляющий идентификацию, и будет
осуществлять обработку биометрических данных. В этой связи можно признать
обоснованным резонансное решение Савеловского районного суда г. Москвы от 6
ноября 2019 г. по делу N 2а-577/19, оставленное без изменений Апелляционным определением
Московского городского суда от 30 января 2020 г. и Кассационным определением
Второго кассационного суда общей юрисдикции от 31 июля 2020 г. N
88а-17020/2020, в котором суд не признал факта осуществления Департаментом
информационных технологий г. Москвы и ГУ МВД по г. Москве незаконной обработки
биометрических персональных данных при использовании данных городских систем
видеонаблюдения. Как установил суд, сам Департамент информационных технологий
г. Москвы не проводил мероприятий, направленных на установление личности
конкретного гражданина на основе материалов видеонаблюдения. Такие действия
осуществлялись органами полиции, которые были вправе это делать без согласия
субъекта на основании ч. 2 ст. 11 Закона о персональных данных.
2. Существует и еще один
признак биометрических данных, который в явной форме не отражен в дефиниции, но
находит свое практическое отражение при использовании операторами
биометрических средств идентификации. Речь идет о таком признаке, как
использование оператором специальных
технических средств для получения эталонных образцов биометрических данных
субъекта и последующего сопоставления вводимых данных с ними.
Данный признак находит
свое отражение в GDPR и модернизированной Конвенции N 108, а также в
комментариях Роскомнадзора. Так, согласно п. 51 Преамбулы GDPR говорить о
биометрических данных можно только при их обработке с использованием
специальных технических средств. Об этом говорит и дефиниция биометрических
данных, под которыми понимаются "персональные данные, полученные в рамках
обработки специальными техническими средствами и относящиеся к физическим,
физиологическим или поведенческим характеристикам индивида, позволяющие
осуществить уникальную идентификацию такого лица" (ст. 4(14) GDPR).
Аналогичный подход применительно к понятию биометрических данных отражен и в
Пояснительном меморандуме к модернизированной Конвенции N 108 <1>. В комментарии
представителей Роскомнадзора также отмечается, что "законодательное
понятие биометрических данных предполагает не только наличие определенных
сведений, содержащих информацию о физиологических и биологических особенностях
человека, но также использование биометрических методов идентификации
личности" <2>.
--------------------------------
<1> См.:
Explanatory Report to the Protocol amending the Convention for the Protection
of Individuals with regard to Automatic Processing of Personal Data.
Strasbourg, 2018, § 58.
<2> См.:
Федеральный закон "О персональных данных": научно-практический комментарий
/ под ред. А.А. Приезжевой. С. 67.
Особое значение данный признак имеет в
контексте возможности квалификации изображений гражданина в качестве
биометрических данных. Если идентификация субъекта происходит без использования
специальных технических средств, например при визуальной оценке представителем
оператора соответствующих физиологических признаков лица посредством сличения
фотографии в документе с лицом, его предъявившим, квалифицировать такие
действия как обработку биометрических данных нельзя.
Правоприменительная
практика в части применения данного признака для квалификации изображений в
качестве биометрических данных противоречива. Так, в одном деле в качестве
обработки биометрических данных Роскомнадзором и судом было признано
сопоставление изображения посетителя фитнес-клуба, полученного с камеры в
режиме реального времени в момент прохода человека через турникет, с его
фотоизображением, произведенным ранее и сохраненным в системе как эталонный
образ в качестве обработки биометрических данных (решение Советского районного
суда г. Казани от 26 сентября 2019 г. по делу N 12-1526/2019, оставленное без
изменений Постановлением Шестого кассационного суда общей юрисдикции от 5 марта
2020 г. N 16-937/2020). Аналогичным образом в качестве обработки биометрических
персональных данных была квалифицирована обработка изображений лиц в рамках
проходной системы, в которой турникет оснащен двумя камерами, распознающими
лица посещающих данное учреждение (Постановление Седьмого кассационного суда
общей юрисдикции от 24 июля 2020 г. N 16-2185/2020).
В другом деле обычное
фото на пропуске в бассейн было квалифицировано в качестве биометрических
данных (Постановление Арбитражного суда Северо-Западного округа от 21 ноября
2017 г. по делу N А42-342/2017, оставленное без изменений Определением
Верховного Суда РФ от 5 марта 2018 г. по делу N А42-342/2017). При этом в
другом случае видеозапись с участием лица не была признана Роскомнадзором и
судом биометрическими данными (Постановление Четвертого кассационного суда
общей юрисдикции от 16 октября 2020 г. N 16-894/2020).
В некоторой степени
противоречивость практики обусловлена применением старых разъяснений
Роскомнадзора 2013 г., которые не отменены и тем самым рассматриваются как
текущая позиция Роскомнадзора. В них сказано, в частности, что
"фотографическое изображение и иные сведения, используемые для обеспечения
однократного и/или многократного прохода на охраняемую территорию и
установления личности гражданина, также относятся к биометрическим персональным
данным" <1>. Как отмечалось выше, данный подход не соответствует ни
современным подходам к биометрии, отраженным в европейском праве, ни более
поздним комментариям Роскомнадзора и приводит к деформации понятия и
избирательному правоприменению.
--------------------------------
<1> Разъяснения
Роскомнадзора "О вопросах отнесения фото- и видеоизображения,
дактилоскопических данных и иной информации к биометрическим персональным
данным и особенности их обработки".
В этой связи представляется, что
дефиниция биометрических данных, содержащаяся в комментируемой статье, нуждается
в дальнейшей конкретизации посредством включения использования специальных
технических средств для обработки в качестве необходимого признака
биометрических данных. Пока этого не будет сделано, не только
правоприменительная практика, но и разъяснения регуляторов будут носить
достаточно произвольный и ситуативный характер. В качестве примера можно
привести Методические рекомендации Минцифры России, согласно которым "к
биометрическим персональным данным относятся физиологические параметры
(дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и
др.) и иные физиологические или биологические характеристики человека, в том
числе его изображения (фотография и видеозапись), в частности фотографические
изображения обучающихся, сотрудников и посетителей организации, поскольку они
характеризуют физиологические и биологические особенности человека". В
этой части Минцифры России не сказало ничего нового по сравнению с
упоминавшимися ранее разъяснениями Роскомнадзора 2013 г. Интересным является
следующий пассаж из Методических рекомендаций Минцифры России, согласно
которому "не относятся к биометрическим персональным данным: 1) данные,
полученные при сканировании паспорта оператором персональных данных для
подтверждения осуществления определенных действий конкретным лицом (например,
заключение договора на оказание услуг, в том числе банковских, медицинских и
т.п.), т.е. без проведения процедур идентификации (установления личности); 2)
данные, полученные при осуществлении ксерокопирования документа,
удостоверяющего личность; 3) фотографическое изображение, содержащееся в личном
деле работника; 4) подпись лица, наличие которой в различных договорных
отношениях является обязательным требованием, и почерк, в том числе
анализируемый уполномоченными органами в рамках почерковедческой экспертизы; 5)
рентгеновские или флюорографические снимки, характеризующие физиологические и
биологические особенности человека и находящиеся в истории болезни (медицинской
карте) пациента (не имеет значения, бумажной или электронной), поскольку они не
используются оператором (медицинским учреждением) для установления личности
пациента; 6) материалы видеосъемки в публичных местах и на охраняемой
территории" <1>.
--------------------------------
<1> Письмо
Минкомсвязи России от 28 августа 2020 г. N ЛБ-С-074-24059 "О методических
рекомендациях" (вместе с Методическими рекомендациями для
общеобразовательных организаций по вопросам обработки персональных данных).
Из приведенной позиции Минцифры России
никак нельзя определить, почему те
или иные данные не являются биометрическими данными, принимая во внимание, что
они используются для идентификации лица. Равно как нельзя понять, при каких
обстоятельствах схожие по характеру данные, например изображение лица, могут
стать биометрией. Некоторый свет на данный вопрос проливают устные комментарии
представителей Роскомнадзора, согласно которым изображения индивида могут
относиться к биометрическим данным, если были применены специальные технические
средства для их получения, в частности, если они сделаны в соответствии с
требованиями ГОСТа Р ИСО/МЭК 19794-5-2013 к изображению (освещение, положение
головы, расположение камеры, разрешение изображения и т.д.). Другой пример,
приводимый Роскомнадзором, является частным случаем первого: изображения
гражданина могут относиться к биометрическим персональным данным
нормативно-правовым актом, например, при обработке в Единой биометрической
системе (семинары Роскомнадзора от 21 января 2020 г. и 26 ноября 2020 г.). Но в
данном случае также предполагается соблюдение особого порядка формирования
таких данных. Представляется, что в такого рода казуистических разъяснениях не
было бы необходимости при наличии в дефиниции биометрических данных указания на
применение оператором специальных технических средств для идентификации лица.
3. Для применения
специального режима обработки биометрических данных необходимо, чтобы их обработка в целях идентификации лица
осуществлялась именно оператором. Как отмечается в разъяснениях
Роскомнадзора, "отнесение сведений персонального характера к
биометрическим персональным данным и их последующая обработка должны
рассматриваться в рамках проводимых
оператором мероприятий, направленных на установление личности конкретного
лица" <1>. Если же биометрические данные хранятся и обрабатываются
исключительно на устройстве пользователя, а оператору сообщаются лишь сведения
о результатах идентификации, то говорить об обработке оператором биометрических
данных нельзя. Такая ситуация может иметь место, в частности, при использовании
разного рода сканеров отпечатков пальцев на смартфонах или ноутбуках. Поскольку
пользователь сам создает эталонные отпечатки, которые хранятся на таком
устройстве и впоследствии используются для сопоставления с вводимым отпечатком,
то при условии, что у оператора не создается никакой базы данных отпечатков,
говорить об обработке последним биометрических данных нельзя.
--------------------------------
<1> Разъяснения
Роскомнадзора "О вопросах отнесения фото- и видеоизображения,
дактилоскопических данных и иной информации к биометрическим персональным
данным и особенности их обработки".
4. Точность идентификации лица зависит
от характера используемой биометрической технологии, но сама по себе не влияет
на квалификацию соответствующих данных в качестве биометрических при их
соответствии признакам, указанным в законодательной дефиниции. В этой связи
нельзя согласиться с мнением, высказанным представителями Роскомнадзора, что к
биометрическим данным можно отнести только те сведения, которые безошибочно
идентифицируют конкретное лицо, а следовательно, "фотография или
видеоизображение человека, который является близнецом или чье внешнее сходство
с иным человеком очевидно, а также в случаях осуществления пластических
операций" не могут являться биометрическими персональными данными, так как
не позволяют произвести "достоверную идентификацию субъекта"
<1>. Во-первых, сам Роскомнадзор отходит от данного подхода, указывая в
качестве возможных примеров биометрических данных вес и рост субъекта, что
весьма сомнительно (см. далее).
--------------------------------
<1> См.:
Федеральный закон "О персональных данных": научно-практический комментарий
/ под ред. А.А. Приезжевой. С. 66.
Во-вторых, в законодательной дефиниции
биометрических данных нигде не указывается на достоверную идентификацию
субъекта как необходимый признак таких данных, говорится лишь об их
использовании для идентификации субъекта. С технической точки зрения все
биометрические технологии характеризуются такими параметрами, как FAR (False
Accept Rate - процент ошибочного разрешения доступа) и FRR (False Reject Rate -
процент ошибочного отказа в доступе) <1>, что уже указывает на неизбежное
наличие ошибок идентификации даже при использовании биометрических данных.
Немаловажен и тот факт, что законодательство о персональных данных направлено в
том числе на минимизацию рисков ошибок при обработке персональных данных, в
связи с чем предусматривает за субъектом право на уточнение таких данных, тем
самым оно уже предполагает возможную ошибочность персональных данных. Учитывая
высокочувствительный характер биометрических данных и обусловленные ими
повышенные риски использования таких данных для совершения мошенничества или
"кражи личности" (identity theft), дискриминации или скрытой слежки,
необходимость законодательного контроля за их обработкой является особенно очевидной.
Особенно это актуально в связи с развитием технологий искусственного
интеллекта, позволяющих определить, что на двух фотографиях изображен один и
тот же человек, безотносительно к ориентации лица и степени освещенности
<2>. Таким образом, целенаправленное сужение понятия биометрических
данных посредством включения в него дополнительного критерия однозначной
идентификации лица противоречиво не только с точки зрения буквы закона и
технологического подхода, но и с точки зрения целей законодательной политики в сфере
персональных данных.
--------------------------------
<1> См.: Opinion
3/2012 on developments in biometric technologies. Article 29 Data Protection
Working Party. 27 April 2012. P. 6.
<2> Согласно
имеющимся данным, Facebook уже разработал экспериментальную систему, которая
позволяет дать правильный ответ при решении указанной задачи в 95,25% случаев.
См.: Форд М. Роботы наступают: развитие технологий и будущее без работы. М.,
2016. С. 129.
5. Биометрические методы
аутентификации обычно разделяют <1> на две основные группы:
- статические, которые основаны на физиологической (статической)
характеристике человека, то есть на уникальном свойстве, данном ему от рождения
(отпечатки пальцев; радужная оболочка глаза, ДНК; фотография или
видеоизображение лица при их использовании системой распознавания лица (facial
recognition system));
- динамические, в основе которых лежит поведенческая характеристика
человека, например голос человека при его использовании системой распознавания
голоса).
--------------------------------
<1> См. подробнее:
Dynamic signature. National Science and Technology Council. 2006. URL:
https://www.hsdl.org/?abstract&did=463910.
Однако не всякая физическая или
биологическая характеристика может лежать в основе биометрических данных. Она
должна обладать достаточной степенью постоянства, в противном смысле ее
ценность как фактора биометрической идентификации утрачивается. В этой связи
вряд ли можно согласиться с отнесением веса и роста человека к биометрическим
данным, как это сделано в разъяснениях Роскомнадзора <1> и упоминавшихся
выше Методических рекомендациях Минцифры России, поскольку указанные параметры
изменяются в течение жизни субъекта и могут быть без особой сложности
фальсифицированы, в связи с чем они не могут иметь существенного
идентифицирующего потенциала и не используются как самодостаточные факторы в
биометрических системах идентификации личности.
--------------------------------
<1> См.: Разъяснения
Роскомнадзора "О вопросах отнесения фото- и видеоизображения,
дактилоскопических данных и иной информации к биометрическим персональным
данным и особенности их обработки".
6. Есть основания полагать, что на
развитие биометрических технологий будут оказывать существенное влияние
технологии вроде deepfake, которые позволяют с высокой степенью достоверности
накладывать на исходные изображения желаемые образы, тем самым существенно
ослабляя выполнение фотографиями и видеоизображениями идентифицирующей роли.
Данная технология применима и для клонирования голоса <1>. Так, в январе
2021 г. прокуратура г. Шанхая обвинила двух граждан Китая в мошенничестве с
системой распознавания лиц. С 2018 г. они обманывали систему проверки личности
налоговой службы и подделывали накладные. Для указанных целей мошенники
покупали фотографии других граждан в высоком качестве и поддельные личные
данные в "Даркнете", обрабатывали их в deepfake-приложениях, создавая
видео, на которых лица с "оживленных" фотографий кивали, моргали,
двигались и открывали рот. После этого мошенники использовали специальные
"перепрошитые" смартфоны, у которых фронтальная камера не включается
во время процесса распознавания лица, в связи с чем налоговая служба и любое
иное лицо, проводящее идентификацию, получают заранее подготовленное видео,
воспринимая его как изображение с камеры <2>. Получила широкий резонанс и
новость об использовании технологии deepfake для создания "фейковых"
аккаунтов сотрудников компании Amazon в социальной сети Twitter с последующим
распространением от их имени сатирических высказываний о деятельности Amazon
<3>.
--------------------------------
<1> См.: Голосовой
DeepFake, или Как работает технология клонирования голоса. 11 декабря 2019 г.
URL:
https://proglib.io/p/golosovoy-deepfake-ili-kak-rabotaet-tehnologiya-klonirovaniya-golosa-2019-12-11.
<2> См.: Borak M.
Chinese Government-run Facial Recognition System Hacked by Tax Fraudsters:
Report // South China Morning Post. 31 March 2021. URL:
https://www.scmp.com/tech/tech-trends/article/3127645/chinese-government-run-facial-recognition-system-hacked-tax.
<3> См.: Karen
Hao. Deepfake "Amazon workers" are Sowing Confusion on Twitter.
That's not the Problem // MIT Technology Review, 31 March 2021. URL:
https://www.technolo-gyreview.com/2021/03/31/1021487/deepfake-amazon-workers-are-sowing-confusion-on-twit-ter-thats-not-the-problem/?truid=324bf9530560c7f4cc68643b26f0877c&utm_source=the_download&utm_medium=email&utm_campaign=the_download.unpaid.engagement&utm_term=&utm_content=03-31-2021&mc_cid=8ab230eb82&mc_eid=33d92a29bd.
На фоне таких новостей не могут не
вызывать серьезной озабоченности сообщения о планах Минцифры России "за
два года увеличить число собранных биометрических данных россиян более чем в
400 раз - с нынешних 164 000 до 70 млн. Вопрос будут решать "административными
мерами", в том числе сделав недоступными некоторые госуслуги без сдачи
биометрии" <1>. Как известно, в России крайне часто происходят
утечки из государственных органов. Можно привести множество громких примеров из
статистики последнего года. Так, 12 марта 2020 г. стало известно, что полная
база данных, содержащая информацию по всем экспортно-импортным операциям
российских компаний за 2012 - 2019 гг. (данные по всем таможенным постам РФ),
была выставлена на продажу в Сети <2>. 15 июня 2020 г. стало известно о
появлении в продаже базы данных 115 тыс. россиян, которые застряли за границей
с началом пандемии коронавируса COVID-19 и ждали вывозных рейсов <3>. В
начале августа 2020 г. стало известно об утечке данных 1,1 млн граждан,
проголосовавших по поправкам в Конституцию в электронной форме <4>. 9
декабря 2020 г. стало известно об утечке данных 300 тыс. переболевших
коронавирусом COVID-19 москвичей <5>. И это далеко не полный перечень
всех громких случаев утечек из государственных органов, получивших огласку.
Можно лишь догадываться, сколько таких утечек происходит в реальности и не
предается огласке. Как отмечает InfoWatch, по результатам ежегодного
исследования утечек конфиденциальных данных в госсекторе их объем от всех
утечек составил в России 23,3% <6>. Если к риску утечек биометрических
данных и государственных систем добавить еще и существующий потенциал
использования мошенниками deepfake-технологий, возникает ситуация, при которой
массивный сбор биометрических данных граждан потребует предварительного
качественного изменения имеющихся подходов к регулированию обработки
биометрических данных и защиты персональных данных граждан в целом.
--------------------------------
<1> См.: Злобин А.
Минцифры решило ускорить сбор биометрических данных россиян административными
мерами. URL:
https://www.forbes.ru/newsroom/tehnologii/423025-mincifry-reshilo-uskorit-sbor-biometricheskih-dannyh-rossiyan.
<2> См.: База
данных экспортно-импортных операций компаний РФ за 8 лет утекла в сеть. URL:
https://www.interfax.ru/russia/698745.
<3> См.:
Паспортные и банковские данные более 100 тысяч россиян выставили на продажу.
URL: https://rn.lenta.ru/news/2020/06/15/rossiyane/.
<4> См.: В даркнет
утекла база данных проголосовавших по поправкам в Конституцию. URL:
https://www.rbc.ru/technology_and_media/04/08/2020/5f28ce729a7947056524fb49.
<5> См.: СМИ
сообщили, что в Сеть попали данные 300 тысяч болевших ковидом москвичей. Власти
подтвердили факт утечки. URL: https://www.bfm.ru/news/460116.
<6> См.: В мировом
госсекторе каждая третья утечка носит умышленный характер. URL:
https://www.infowatch.ru/company/presscenter/news/21088.
7. "Чувствительный" характер
биометрических данных, невозможность их замены в случае компрометации по
причине их неразрывной связи с личностью обусловливают особый порядок их
обработки. Комментируемая статья устанавливает исчерпывающий перечень оснований
для обработки таких данных, к числу которых относятся:
1) согласие субъекта
персональных данных в письменной форме;
2) реализация
международных договоров о реадмиссии;
3) осуществление
правосудия и исполнения судебного акта;
4) проведение
обязательной государственной дактилоскопической регистрации;
5) случаи,
предусмотренные публичным законодательством:
- об обороне;
- о безопасности;
- о противодействии
терроризму;
- о транспортной
безопасности;
- о противодействии
коррупции;
- об
оперативно-разыскной деятельности;
- о государственной
службе;
-
уголовно-исполнительным законодательством Российской Федерации;
- законодательством
Российской Федерации о порядке выезда из Российской Федерации и въезда в
Российскую Федерацию;
- о гражданстве
Российской Федерации;
- о нотариате <1>.
--------------------------------
<1> Данное
уточнение появилось в связи с установлением возможности нотариуса устанавливать
личность гражданина с использованием единой биометрической системы. Это
положение было включено в ст. 42 Основ законодательства о нотариате Федеральным
законом от 27 декабря 2019 г. N 480-ФЗ "О внесении изменений в Основы
законодательства Российской Федерации о нотариате и отдельные законодательные
акты Российской Федерации" и вступило в силу 29 декабря 2020 г.
Таким образом, в числе оснований для
законной обработки биометрических данных закон содержит лишь основания
публично-правового характера, применимые лишь в отношении операторов,
выполняющих публично-правовые функции, и согласие субъекта. Частные лица, в том
числе коммерческие организации, могут обрабатывать биометрические данные для
собственных нужд только с согласия субъекта персональных данных. На практике
встречается немало случаев, когда такие организации были привлечены к
ответственности за нарушение порядка сбора и обработки биометрических персональных
данных, в частности образовательными учреждениями в отношении
несовершеннолетних учащихся <1>.
--------------------------------
<1> См.:
Университет "Синергия" привлечен к административной ответственности
за нарушение законодательства в сфере персональных данных. URL:
https://rkn.gov.ru/news/rsoc/news71664.htm.
Тем самым использование коммерческими
организациями фотографий, размещенных в социальных сетях в собственных
приложениях, с применением технологий распознавания лиц на таких фотографиях и
любыми другими лицами - при использовании видеоизображения, обрабатываемого
специальным приложением в совокупности с устройствами "добавленной
реальности" (например, Google Glass) <1>, будет являться при
отсутствии письменного согласия субъекта незаконной обработкой биометрических
персональных данных, сопряженной с достаточно явным вмешательством в частную
жизнь человека.
--------------------------------
<1> См.: A
Wearable Face Recognition System on Google Glass for Assisting Social
Interactions. Computer Vision - ACCV 2014 Workshops Singapore, Singapore,
November 1 - 2, 2014, Revised Selected Papers, Part III. P. 419 - 433.
8. Достаточно спорным является вопрос
о возможности дачи согласия на обработку биометрических персональных данных
законным представителем несовершеннолетнего. По мнению Минцифры России,
"обработка биометрических персональных данных несовершеннолетних в силу их
недееспособности, в том числе с согласия в письменной форме законного
представителя субъекта персональных данных на обработку его биометрических
персональных данных, не допускается, за исключением случаев, предусмотренных ч.
2 ст. 11 Закона о персональных данных" <1>. Такой подход означает
возможность обработки биометрических данных несовершеннолетних исключительно на
основании закона. По всей видимости, это продиктовано стремлением защитить
несовершеннолетних от необдуманных действий в отношении их биометрических
данных. Формальным основанием для данного подхода является то обстоятельство,
что в ч. 1 ст. 11 Закона о персональных данных говорится о согласии в
письменной форме субъекта персональных данных без упоминания возможности дачи
такого согласия его представителем. Однако данный аргумент не представляется
убедительным в силу необходимости системного толкования закона в единстве с
положениями ст. 9, которые посвящены регулированию согласия субъекта и прямо
указывают на возможность дачи такого согласия уполномоченным представителем
субъекта. В этой связи более правильной видится позиция судов, которые
допускают возможность дачи согласия на обработку биометрических персональных
данных несовершеннолетнего его законными представителями: "в совокупности
положений частей 1, 6 статьи 9 и части 1 статьи 11 Закона о персональных данных
не исключается возможность получения согласия на обработку биометрических
персональных данных несовершеннолетних от их законных представителей" (Постановление
Седьмого кассационного суда общей юрисдикции от 24 июля 2020 г. N
16-2185/2020). Аналогичной позиции придерживается и Центральный банк РФ в
вопросе о допустимости выдачи несовершеннолетним в возрасте от 14 до 18 лет
банковских карт и обработки их биометрических персональных данных (Письмо Банка
России от 9 апреля 2020 г. N 31-4-4/1216).
--------------------------------
<1> Письмо
Минкомсвязи России от 28 августа 2020 г. N ЛБ-С-074-24059 "О методических
рекомендациях" (вместе с Методическими рекомендациями для
общеобразовательных организаций по вопросам обработки персональных данных).
9. Комментируемая статья не
предусматривает возможности субсидиарного применения положений ГК РФ в части
регулирования порядка использования изображения гражданина, в частности
положений ст. 152.1 ГК РФ о случаях допустимости использования такого
изображения без согласия гражданина. Положения ГК РФ в данном случае регулируют
иные по своей природе отношения - отношения гражданско-правового характера,
связанные с защитой нематериальных благ как особого объекта гражданских прав (ст.
128 ГК РФ). В этой связи вряд ли можно согласиться с позицией, изложенной в разъяснениях
Роскомнадзора, о применимости данных положений к отношениям, связанным с
получением согласия на обработку биометрических данных <1>. Нормы
законодательства о персональных данных в рассматриваемом контексте носят
самостоятельный и самодостаточный характер, хотя в перспективе им бы не
помешала дополнительная гибкость с учетом развивающихся технологий и масштабов
использования данных, которые могут быть квалифицированы как биометрические.
--------------------------------
<1> См.: Разъяснения
Роскомнадзора "О вопросах отнесения фото- и видеоизображения,
дактилоскопических данных и иной информации к биометрическим персональным
данным и особенности их обработки".
Статья 12. Трансграничная
передача персональных данных
1. Положения о трансграничной передаче
данных являются одним из конститутивных элементов правового режима обработки
персональных данных и стали появляться в Европе в 70 - 80-е гг. XX в. Основной
целью введения указанных положений выступало стремление избежать обхода закона
операторами вследствие выведения процессов обработки персональных данных в
страны с отсутствующим или более благоприятным регулированием. Кроме того,
принимались во внимание и трудности, связанные с реализацией субъектом
персональных данных своих прав за рубежом, в том числе в условиях отсутствия
налаженного сотрудничества между органами по защите прав субъектов персональных
данных таких стран. Наконец, озабоченность вызывали и риски, связанные с
получением доступа к персональным данным своих граждан иностранными
государственными органами. В этой связи предполагалось, что ограничения и
запреты на трансграничную передачу данных будут способствовать минимизации
подобного рода рисков, не накладывая при этом неоправданных ограничений на
развитие экономических связей между странами <1>.
--------------------------------
<1> Подробный
анализ указанных мотивов см.: Kuner Christopher. Transborder Data Flows and
Data Privacy Law. Oxford University Press, 2013. P. 101 - 120.
Правила трансграничной передачи данных
появились в тот момент, когда основной объем таких операций приходился на
государственный и корпоративный секторы, а также характеризовался линейностью и
предсказуемостью с точки зрения отправителя и адресата таких данных. С тех пор
они практически не претерпели изменений, несмотря на качественное изменение
масштабов и характера информационных потоков: появление и повсеместное
использование сети Интернет с подчинением процессов передачи и распространения
информации ее архитектуре, безразличной к географическим границам, появление
трансграничных онлайн-сервисов, активное участие физических лиц в инициировании
процессов передачи данных, развитие "облачных" сервисов, глобализация
экономики. Все это существенно осложнило применение положений о трансграничной
передаче персональных данных, которые по-прежнему ориентированы на
географические границы.
2. О понятии
трансграничной передачи данных см. комментарий к ст. 3 Закона. О соотношении
положений о трансграничной передаче данных и требований локализации отдельных
процессов их обработки см. комментарий к ч. 5 ст. 18 Закона.
3. В соответствии с
комментируемой статьей, логика и основные положения которой во многом
заимствованы в свое время из Директивы 1995 г., а сейчас содержатся в GDPR,
трансграничная передача персональных данных по общему правилу запрещена, за
исключением случаев, когда: 1) осуществляется передача на территорию страны,
обеспечивающей адекватный уровень защиты, или 2) имеется одно из специальных
легитимирующих такую передачу оснований, указанных в ч. 4 комментируемой статьи.
К странам,
обеспечивающим адекватный уровень защиты, относятся:
1) все страны, которые
являются сторонами Конвенции 1981 г. Всего таких стран по состоянию на 1 марта
2021 г. - 57. К ним относятся 47 стран - членов Совета Европы (Австрия,
Азербайджан, Албания, Андорра, Армения, Бельгия, Болгария, Босния и
Герцеговина, Великобритания, Венгрия, Германия, Греция, Грузия, Дания,
Ирландия, Исландия, Испания, Италия, Кипр, Латвия, Литва, Лихтенштейн,
Люксембург, Мальта, Монако, Нидерланды, Норвегия, Польша, Португалия,
Республика Молдова, Россия, Румыния, Сан-Марино, Северная Македония, Сербия,
Словакия, Словения, Турция, Украина, Финляндия, Франция, Хорватия, Черногория,
Чешская Республика, Швейцария, Швеция, Эстония) и 10 стран, не являющихся
членами Совета Европы (Аргентина, Буркина-Фасо, Кабо-Верде, Марокко, Мексика,
Остров Маврикий, Сенегал, Тунис, Уругвай) <1>;
2) страны, указанные в
специальном перечне Роскомнадзора <2>. В их числе: Австралия, Аргентина,
Габон, Израиль, Катар, Канада, Марокко, Малайзия, Монголия, Новая Зеландия,
Ангола, Бенин, Казахстан, Коста-Рика, Корея, Мали, Перу, Сингапур, Тунис, Чили,
ЮАР, Япония. В процессе подготовки настоящего комментария Роскомнадзор
осуществлял пересмотр данного перечня. Частично это связано с тем, что
некоторые страны, входящие в него, стали сторонами Конвенции (Кабо-Верде,
Марокко, Тунис). Однако изменения могут затронуть и статус иных стран.
--------------------------------
<1> См.: Таблица
подписей и ратификации договора 108. URL:
https://www.coe.int/ru/web/conventions/full-list/-/conventions/treaty/108/signatures?p_auth=cziDtlfp.
<2> См.: Приказ
Роскомнадзора от 15 марта 2013 г. N 274 (в ред. от 14 января 2019 г.) "Об
утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета
Европы о защите физических лиц при автоматизированной обработке персональных
данных и обеспечивающих адекватную защиту прав субъектов персональных
данных" // СПС "КонсультантПлюс".
Такие страны, как США, Индия и Китай,
не относятся к странам, обеспечивающим, по мнению российских регуляторов,
адекватный уровень защиты. Равным образом к ним не относятся и некоторые
страны, входящие в Евразийский экономический союз: Беларусь и Киргизия.
4. Часть 1
комментируемой статьи допускает возможность введения запретов и ограничений на
трансграничную передачу в страны, обеспечивающие адекватный уровень защиты прав
субъектов персональных данных, если это необходимо "в целях защиты основ
конституционного строя Российской Федерации, нравственности, здоровья, прав и
законных интересов граждан, обеспечения обороны страны и безопасности
государства". Формально подобного рода запреты и ограничения не
противоречат международным обязательствам РФ. Конвенция 1981 г. не допускает
запреты и ограничения трансграничной передачи данных на территорию государства
- члена Конвенции с единственной целью защиты частной жизни. Таким образом,
запреты и ограничения, обусловленные публично-правовыми соображениями, ею не
регламентируются. По состоянию на 1 марта 2021 г. прецедентов реализации
Российской Федерацией возможности введения запретов и ограничений на
трансграничную передачу данных в государства, являющиеся сторонами Конвенции
1981 г., не было.
5. Положения,
регламентирующие основания для трансграничной передачи данных, являются
дополнительными по отношению к общим основаниям для обработки персональных
данных, указанным в ст. ст. 6, 10 и 11 Закона о персональных данных. Таким
образом, процесс легитимации трансграничной передачи персональных данных
предполагает два этапа: 1) законное основание для сбора и обработки таких
данных и 2) законное основание для трансграничной передачи таких данных.
В последнем случае это
означает обязанность оператора убедиться до начала осуществления трансграничной
передачи персональных данных в том, что иностранным государством, на территорию
которого осуществляется передача персональных данных, обеспечивается адекватная
защита прав субъектов персональных данных (ч. 3 комментируемой статьи). На
практике это означает проверку оператором принадлежности страны - получателя
данных к членам Конвенции 1981 г. или ее наличия в актуальном на момент
передачи перечне Роскомнадзора <1>. Если страна - получатель данных
находится в соответствующем перечне, то никаких дополнительных формальностей
оператору совершать не требуется. Если же такая страна не относится к членам Конвенции
1981 г. и отсутствует в перечне Роскомнадзора, то необходимо соблюдение одного
из специальных оснований, указанных в ч. 4 комментируемой статьи. Оператору не
дано права самостоятельно оценивать адекватность уровня защиты прав субъектов
персональных данных на основе соответствия законодательства соответствующей
страны положениям Конвенции 1981 г. и применяемых мер безопасности персональных
данных. Исключительная компетенция по установлению факта обеспечения
иностранным государством адекватной защиты прав субъектов персональных данных
принадлежит Роскомнадзору.
--------------------------------
<1> См.:
Федеральный закон "О персональных данных": научно-практический комментарий
/ под ред. А.А. Приезжевой. С. 77.
6. Комментируемая статья в ч. 4
устанавливает исчерпывающий перечень оснований для трансграничной передачи
персональных данных в страны, не обеспечивающие адекватный уровень защиты:
1) согласие субъекта в
письменной форме. Такое согласие должно отвечать требованиям ст. 9 Закона о
персональных данных, то есть должно быть конкретным, сознательным и
информированным. Соблюдение данных требований предполагает как минимум
уведомление субъекта о конкретных странах, на территорию которых осуществляется
передача его данных <1>. Указанное согласие может быть предоставлено и в
форме документа, подписанного электронной подписью с соблюдением положений Закона
об электронной подписи, но не может быть дано посредством проставления обычной
галочки в веб-форме. Отсутствие необходимых реквизитов в форме согласия на
трансграничную передачу персональных данных является одним из частных видов
нарушений, фиксируемых Роскомнадзором в ходе проверок (Постановление Девятого
арбитражного апелляционного суда от 16 августа 2016 г. по делу N А40-17595/16;
Апелляционное определение Московского городского суда от 4 июня 2018 г. по делу
N 33а-3957/2018);
2) в случаях,
предусмотренных международными договорами;
3) в случаях,
предусмотренных федеральными законами и оправданных конкретными публичными
целями: защиты основ конституционного строя РФ, обеспечения обороны страны и
безопасности государства, а также обеспечения безопасности на объектах
транспортной инфраструктуры;
4) исполнение договора,
стороной которого является субъект персональных данных. Здесь следует отметить,
что в отличие от положений п. 5 ч. 1 ст. 6 Закона о персональных данных данное
положение сформулировано значительно уже и в нем не предусмотрена возможность
передачи персональных данных в связи с заключением договора, а также если
субъект персональных данных является выгодоприобретателем или поручителем по
такому договору. Для применения рассматриваемого исключения необходимо, чтобы
трансграничная передача персональных данных вытекала из предмета заключенного
договора. Например, трансграничная передача данных о клиенте туристическим
агентством в зарубежный отель для целей бронирования неразрывно связана с
предметом туристических услуг. Аналогичным образом исполнение договора на
предоставление трансграничных "облачных" сервисов может быть сопряжено
с циркулированием данных через различные дата-центры, находящиеся в разных
странах. В этой связи принимаемое посредством галочки пользовательское
соглашение на предоставление сервисов, оказание которых невозможно без
осуществления обработки данных в зарубежных дата-центрах, может являться
легитимирующим основанием для трансграничной передачи персональных данных в
страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных
данных, например в США, Китай, Индию или Беларусь. При этом принятие условий
такого пользовательского соглашения не следует путать с выражением согласия с
политикой конфиденциальности посредством проставления галочки, что, по сути,
эквивалентно даче согласия на обработку персональных данных на условиях такой
политики. В последнем случае, поскольку такое согласие должно быть
предоставлено обязательно в письменной форме с соблюдением положений ч. 4 ст. 9
Закона о персональных данных, проставления галочки недостаточно. В этой связи
надо достаточно четко разграничивать обработку персональных данных на основе
пользовательского соглашения и согласия, особенно в случаях, когда и то и
другое предполагает проставление галочки субъектом;
5) защита жизни,
здоровья, иных жизненно важных интересов субъекта персональных данных или
других лиц при невозможности получения согласия в письменной форме субъекта
персональных данных. Данное основание аналогично положениям п. 3 ч. 2 ст. 10
Закона о персональных данных, см. комментарий к нему.
--------------------------------
<1> См.: Постановление
Девятого арбитражного апелляционного суда от 16 августа 2016 г. N
09АП-30182/2016-АК по делу N А40-17595/16: "Для устранения выявленного
нарушения Обществу необходимо разработать и использовать типовую форму
письменного согласия субъекта ПДН на осуществление трансграничной передачи
персональных данных на территорию США".
7. После того как трансграничная
передача данных состоялась, оператор - импортер данных осуществляет обработку
персональных данных в соответствии с законодательством о персональных данных
страны своего пребывания. Законодательство о персональных данных "не
следует" за данными. Российское законодательство не регулирует последующую
трансграничную передачу данных, осуществляемую оператором-импортером. Как следствие,
если персональные данные попадут в страну, не обеспечивающую адекватный уровень
защиты прав субъектов персональных данных, транзитом через адекватную страну,
это не будет являться нарушением положений ст. 12 Закона о персональных данных.
Такого рода транзитная передача может являться выходом в условиях, когда
необходимо обеспечить передачу из России персональных данных в страны, не
обеспечивающие адекватного уровня защиты прав субъектов персональных данных, и
сбор письменных согласий от субъектов является практически невозможным при
неприменимости всех остальных исключений.
8. Оператор персональных
данных, осуществляющий трансграничную деятельность и имеющий присутствие на
территории различных стран, может подпадать под действие различных законов о
персональных данных, конфликтующих между собой, что является прямым следствием
отсутствия их унификации на международном уровне <1>. В таком случае
компании мало что остается, разве что выбор "меньшего из двух зол" по
результатам анализа всех возможных рисков, связанных с несоблюдением
соответствующего требования законодательства (размеров штрафов и иных
последствий, репутационных и медийных рисков и пр.). Например, необходимость
передачи персональных данных за рубеж в связи с запросом иностранного
государственного органа, исходящего из страны, не обеспечивающей адекватный
уровень защиты, даже если такой запрос основан на законе указанной страны, не
является основанием, легитимирующим такую передачу в соответствии с
требованиями Закона о персональных данных. В этой связи законная передача таких
данных по российскому праву возможна лишь с согласия субъекта. Аналогичный
подход справедлив и применительно к передаче персональных данных из Европы в
Россию по запросу российских государственных органов.
--------------------------------
<1> См.: ICC
policy statement on cross-border law enforcement access to company data -
current issues under data protection and privacy law, 7 February 2012.
9. Следует отметить, что в странах
Европейского союза установлены существенные ограничения на трансграничную
передачу данных, при этом, несмотря на то что все страны, входящие в состав ЕС,
являются сторонами Конвенции 1981 г., приоритет для них имеют правила,
установленные именно в законодательстве Европейского союза, как закрепляющие
более высокий уровень защиты прав субъектов персональных данных. Возможность
отхода от принципа недопустимости ограничений на трансграничные потоки
персональных данных между странами - участницами Конвенции и существования
специальных правил регулирования трансграничной передачи персональных данных
прямо допускается и самой Конвенцией в той степени, в какой внутреннее
законодательство соответствующей страны включает "специальные правила в
отношении определенных категорий персональных данных или автоматизированных
файлов персональных данных в силу характера этих данных или этих файлов, за
исключением случаев, когда правила другой Стороны предусматривают такую же
защиту" (ст. 12(3)(a)).
Согласно положениям
законодательства Европейского союза в перечень стран, обеспечивающих адекватный
уровень защиты прав субъектов персональных данных, входят страны - члены ЕС и
Европейского экономического сообщества (Норвегия, Лихтенштейн и Исландия), а
также третьи страны, признанные таковыми Европейской Комиссией. По состоянию на
1 февраля 2017 г. к таким странам относились: Андорра, Аргентина, Канада (в
части передачи данных в адрес коммерческих операторов), Швейцария, Фарерские
острова, остров Гернси, Израиль, остров Мэн, остров Джерси, Новая Зеландия,
Япония, Уругвай. В настоящее время рассматривается вопрос о включении в данный
список Южной Кореи <1>.
--------------------------------
<1> См.: Adequacy
decisions. How the EU determines if a non-EU country has an adequate level of
data protection. URL: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.
10. Российская Федерация, являясь
третьей страной, не рассматривается, с точки зрения законодательства
Европейского союза о персональных данных, в качестве страны, обеспечивающей адекватный
уровень защиты персональных данных, несмотря на факт ратификации Россией Конвенции
1981 г. В этой связи вызывает интерес вопрос о соответствии уровня развития
российского законодательства о персональных данных, включая его
правоприменительную практику, европейским стандартам.
Для ответа на него
необходимо обратиться к критериям оценки, которые принимаются во внимание
Европейской Комиссией при оценке адекватности страны и указаны в ст. 45(2)
GDPR. К ним относятся: общий уровень законности и защиты фундаментальных прав и
свобод человека и гражданина; уровень развития правоприменительной практики и
эффективность судебных средств защиты прав субъектов персональных данных;
степень доступа государственных органов страны-импортера к переданным
персональным данным; существование и эффективность функционирования органа по
защите персональных данных; международные обязательства страны-импортера в
отношении защиты персональных данных. В самом общем виде эти критерии можно
свести к следующему выводу: законодательство о персональных данных является
эффективным, то есть предоставляющим адекватный уровень защиты, когда: 1) его
требования понятны и исполнимы; 2) несоблюдение норм экономически невыгодно и
чревато для нарушителя последствиями, перекрывающими выгоду от их несоблюдения;
3) существует эффективная система контроля и надзора, а также судебной защиты
нарушенных прав.
Оценивая степень
соответствия Российской Федерации приведенным европейским критериям, неизбежно
приходишь к пессимистическим выводам. Вряд ли европейские чиновники
положительно оценят уровень развития законности и степени защиты
фундаментальных прав и свобод в России, принимая во внимание нынешний вектор
развития регулирования сети Интернет, а также существующую геополитическую
ситуацию. Уровень развития правоприменительной практики и доктрины в области
персональных данных существенно отстает от европейского уровня. Для того чтобы
в этом убедиться, достаточно посмотреть глубину проработки соответствующих
вопросов Рабочей группой ст. 29 и ее преемницей - EDPB, состоящей из
представителей контрольно-надзорных органов стран - членов ЕС, а также уровень
аргументации, используемый в тех же английских или немецких судебных решениях
по вопросам персональных данных.
Отечественные суды
демонстрируют в целом пренебрежительное отношение к защите прав субъектов
персональных данных (особенно суды общей юрисдикции в Московском регионе) и в
ряде случаев ограничиваются лишь копированием статей Закона о персональных
данных и подзаконных актов, не сопровождая их каким-либо анализом. Разъяснения
Роскомнадзора скудны и нередко противоречивы. Уровень штрафов за нарушение
законодательства о персональных данных, даже с учетом недавно происшедшего
повышения их размера, а также существующие подходы судов к взысканию морального
вреда также не позволяют говорить ни об их достаточном превентивном эффекте, ни
о компенсаторной функции. Обилие ведомственных актов, санкционирующих обработку
персональных данных государственными органами, также вряд ли можно
рассматривать в качестве сильной стороны российского подхода к защите
персональных данных. Особенно это касается актов об обязательном хранении
метаданных и текстов сообщений пользователей ("Закон Яровой"),
которые находятся в явном противоречии с практикой Европейского Суда
Справедливости <1>, а также регулирования тайной прослушки
("СОРМ"), которая была признана не соответствующей положениям Конвенции
1950 г. решением ЕСПЧ по делу "Захаров против Российской Федерации".
Кроме того, может вызвать определенные вопросы и статус Роскомнадзора как
органа, находящегося в подчинении Минцифры России и не являющегося тем самым
организационно самостоятельным, как того требуют европейские стандарты
<2>. В совокупности приведенные факторы дают основания полагать, что в
отсутствие весомых политических соображений Европейская Комиссия вряд ли
признает Российскую Федерацию страной, обеспечивающей адекватный уровень защиты
персональных данных.
--------------------------------
<1> См.: Tele2
Sverige v. Post-och telestyrelsen and Secretary of State for the Home
Department v. Watson, ECJ, Joined Cases C-203/15 and C-698/15, 21 December
2016; Digital Rights Ireland Ltd v. Minister for Communications, Marine and
Natural Resources, ECJ, Joined Cases C-293/12 and C-594/12, 8 April 2014.
<2> Согласно ст.
52 GDPR уполномоченный орган по защите персональных данных должен действовать
при реализации своих полномочий без прямого или косвенного влияния извне, а
также не должен получать или запрашивать инструкций от кого бы то ни было, а
также иметь независимый бюджет, сведения о котором публично доступны.
Соответствует ли Роскомнадзор указанным требованиям, каждый может определить
сам. При этом абсолютно неважно, что данные стандарты являются европейскими и
формально неприменимы к России, на что ссылаются представители Роскомнадзора
(см.: Федеральный закон "О персональных данных": научно-практический комментарий
/ под ред. А.А. Приезжевой. С. 139). Важно лишь то, что уполномоченные
европейские органы принимают во внимание именно свои стандарты при оценке
степени адекватности уровня защиты прав субъектов персональных данных,
предоставляемой третьими странами.
С практической точки зрения все это
означает, что европейские компании, в том числе входящие в одну группу лиц с
российскими компаниями, при передаче данных в Россию должны использовать одно
из специальных оснований для трансграничной передачи, которое предусмотрено в GDPR.
11. В соответствии со ст.
49 GDPR трансграничная передача персональных данных в страны, не обеспечивающие
адекватный уровень защиты персональных данных, возможна при наличии следующих
оснований (derogations):
1) согласие субъекта
персональных данных в явной форме при наличии факта предварительного
информирования субъекта о рисках, связанных с такой трансграничной передачей (ст.
49(1)(а));
2) передача персональных
данных необходима для исполнения договора, сторонами которого являются оператор
и субъект персональных данных, или для заключения такого договора по инициативе
субъекта персональных данных (ст. 49(1)(b));
3) передача персональных
данных необходима для заключения или исполнения договора, заключенного
оператором с третьим лицом в интересах субъекта персональных данных (ст.
49(1)(c));
4) передача персональных
данных обусловлена соображениями существенного публичного интереса (ст.
49(1)(d));
5) передача персональных
данных необходима для установления, реализации или защиты правовых требований (ст.
49(1)(e));
6) передача персональных
данных необходима для защиты жизненно важных интересов субъекта персональных
данных или других лиц в случаях физической или юридической невозможности
получения согласия от субъекта персональных данных (ст. 49(1)(f));
7) передаваемые
персональные данные содержались в общедоступном реестре при условии соблюдения
порядка использования такого реестра (ст. 49(1)(g)).
Помимо вышеуказанных
оснований GDPR допускает осуществление трансграничной передачи данных в случаях,
когда имеют место адекватные гарантии (adequate safeguards). К таким гарантиям
относятся:
1) соглашение между
государственными органами страны-экспортера и страны - импортера персональных
данных. В качестве примера можно привести существовавшее ранее и признанное
недействительным Европейским Судом Справедливости соглашение EU-US Privacy
Shield, которое, в свою очередь, пришло на смену также признанному ранее
недействительным соглашению Safe Harbor <1> (ст. 46(2)(a));
2) использование так
называемых обязательных корпоративных правил (binding corporate rules, BCR),
представляющих собой свод правил обработки данных, принятых в рамках компании
или группы компаний и порождающих соответствующие права для субъектов
персональных данных. При использовании таких правил все компании, охватываемые
ими, превращаются в единое информационное пространство, в рамках которого
обеспечивается общий уровень защиты прав субъектов персональных данных
безотносительно к географическому местонахождению таких компаний. В случае
нарушения прав субъекта персональных данных иностранным оператором, подпадающим
под действие BCR, ответственность за его действия будет нести оператор,
находящийся в стране местонахождения субъекта персональных данных. BCR подлежат
предварительному утверждению уполномоченным органом по защите персональных
данных с участием EDPB <2> (ст. 46(2)(b), ст. 47 GDPR);
3) использование
стандартных договорных условий (standard contract clauses), одобренных
Европейской комиссией. 4 июня 2021 г. Европейская комиссия утвердила новый
набор стандартных условий для трансграничной передачи персональных данных в
третьи страны <3> (ст. 46(2)(c));
4) использование
договорных условий, разработанных национальными уполномоченными органами по
защите персональных данных и одобренных Европейской комиссией (ст. 46(2)(d));
5) использование
кастомизированных стандартных договорных условий, которые были выработаны
оператором, при условии их предварительного согласования с уполномоченным
национальным органом по защите прав субъектов персональных данных (ст. 46(3));
6) наличие кодексов
поведения (code of conduct), подготовленных ассоциациями и иными объединениями
операторов в соответствующих индустриях и одобренных уполномоченным органом по
защите субъектов персональных данных (ст. 40 GDPR). Оператор должен признать
юридическую силу такого кодекса посредством включения отсылки к нему в договор
или посредством иного юридически значимого действия. В отличие от BCR,
рассчитанных на крупные компании, данный вариант предназначен преимущественно
для организаций малого и среднего бизнеса (ст. 46(2)(e));
7) прохождение
оператором-импортером, на которого не распространяются требования GDPR,
процедуры сертификации, регламентированной в ст. 42 GDPR и подтверждающей факт
принятия им достаточных и необходимых гарантий (ст. 46(2)(f)).
--------------------------------
<1> О
неэффективности защиты персональных данных в рамках соглашения Safe Harbor
эксперты говорили еще более 10 лет назад. Как отмечается, "и Европейская
Комиссия, и Департамент Торговли США хотели создать видимость защиты
неприкосновенности частной жизни по европейским стандартам, однако то,
насколько она была на самом деле защищена, было безразлично обоим ведомствам.
Главной целью данного соглашения было сохранение возможности обмена данными
между двумя ключевыми экономическими регионами, и она была достигнута".
См.: Heisenberg D. Negotiating Privacy: The European Union, The United States,
and Personal Data Protection. Lynne Rienner Publishers, 2005. P. 160.
<2> С перечнем
утвержденных BCR можно ознакомиться по ссылке:
https://edpb.europa.eu/our-work-tools/accountability-tools/bcr_en.
<3> Commission
Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual
clauses for the transfer of personal data to third countries pursuant to
Regulation (EU) 2016/679 of the European Parliament and of the Council.
Достаточно прогрессивным является
положение GDPR, разрешающее в качестве исключения трансграничную передачу
персональных данных в отсутствие какого-либо из вышеперечисленных оснований,
если такая передача не носит повторяющегося характера, затрагивает ограниченный
круг субъектов персональных данных и необходима для реализации оператором
существенных и законных целей, при условии принятия им мер защиты переданных
персональных данных (ст. 49(1)).
12. Следует отметить,
что Европейский Суд Справедливости в своем решении по делу Schrems II <1>
существенно ужесточил условия трансграничной передачи персональных данных в страны,
не обеспечивающие адекватный уровень защиты прав субъектов персональных данных.
Можно выделить следующие ключевые выводы Суда, которые имеют значение для
трансграничной передачи персональных данных из стран ЕС:
1)
Суд, подтвердив валидность использования стандартных договорных условий как
адекватной гарантии защиты прав субъекта при передаче его данных в страны, не
обеспечивающие адекватного уровня защиты их прав, отметил, что
оператор-экспортер должен убедиться в том, что этих договорных условий будет
достаточно для защиты прав субъектов. Для этого оператор-экспортер должен
оценить состояние законодательства и правоприменительной практики в стране, где
находится импортер данных, то есть сделать своего рода мини-оценку адекватности
защиты прав субъектов персональных данных в такой стране (оценив возможность
импортера данных соблюдать стандартные договорные условия в рамках применимого
к нему законодательства), и при необходимости принять дополнительные меры
(supplementary measures) по защите данных, не обозначая, правда, в чем именно
они могут выражаться (§ 133, 134, 142);
2) Суд
указал, что национальные уполномоченные органы по защите персональных данных
обязаны приостановить или запретить передачу персональных данных в страны, не
обеспечивающие адекватный уровень защиты, если с учетом всех особенностей этой
передачи стандартные договорные условия не могут соблюдаться в стране, на
территорию которой передаются персональные данные, и необходимая защита
переданных персональных данных не может быть обеспечена другими способами (§
113). Тем самым роль и значимость таких органов в контроле над процессами
трансграничной передачи данных в третьи страны возросла;
3) межгосударственное
соглашение EU-US Privacy Shield было признано Судом недействительным, как в
свое время и EU-US Safe Harbor Agreement, и не может служить основанием для
трансграничной передачи данных из ЕС в США. Суд указал, что этот инструмент не
обеспечивает достаточной защиты прав субъектов персональных данных в условиях,
когда: 1) законодательство США, регламентирующее доступ правоохранительных
органов США к таким данным, имеет приоритет перед условиями EU-US Privacy
Shield и договорными условиями (§ 164); 2) отсутствуют ограничения в отношении
аппетитов государственных органов США по получению доступа к данным на основе
принципа пропорциональности, как того требует европейское законодательство (§
168 - 185); 3) отсутствуют реальные способы защиты прав европейских субъектов
персональных данных по отношению к американским организациям и государственным
органам, выступающим операторами их данных (§ 191, 192); 4) неэффективность
механизма омбудсмена, предусмотренного EU-US Privacy Shield (§ 193 - 197).
--------------------------------
<1> См.: Data
Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems, ECJ,
Case C-311/18, 16 July 2020.
Выводы 1 и 2 могут существенным
образом осложнить трансграничную передачу персональных данных из Европы в
Россию. Это не только осложнит переговоры по договорным условиям,
регламентирующим порядок осуществления такой передачи, так как европейские
организации будут выставлять более жесткие стандартные условия, "с
запасом" дополнительных мер защиты для российских компаний, но и может
повлечь сложности вследствие вмешательства европейских уполномоченных органов
по защите данных в процессы трансграничной передачи. Примеры активной позиции
таких органов уже появляются. Так, берлинский уполномоченный орган по защите
прав субъектов персональных данных (Berliner Beauftragte den Datenschutz und die Informationsfreiheit)
указал экспортерам данных, что они не могут передавать персональные данные в
иные юрисдикции при наличии у иностранного государства и иных лиц прав доступа
к данным резидентов ЕС в большем объеме, чем это предусмотрено
законодательством ЕС. Надзорный орган также попросил всех операторов прекратить
использовать "облачные" сервисы обработки данных (в частности, SaaS),
провайдеры которых расположены в США. Вместо этого операторы должны отдать предпочтение
"облачным" сервисам, провайдеры которых расположены в ЕС или иных
странах, обеспечивающих адекватный уровень защиты прав субъектов <1>. На
фоне сложной геополитической ситуации нельзя исключать появления подобных
рекомендаций и в отношении трансграничной передачи персональных данных в
Россию. Особенно на фоне максимально высоких штрафов за нарушение правил
трансграничной передачи данных, установленных GDPR: до 20 млн евро или до 4% от
выручки организации в мировом масштабе за предыдущий финансовый год, в
зависимости от того, что выше (ст. 83(5)(c) GDPR). Не исключено, что ряд
практических рекомендаций по соблюдению решения суда по делу Schrems II будут
предоставлены в скором времени со стороны EDPB <2>.
--------------------------------
<1> См.: Nach
"Schrems II": Europa braucht digitale . URL:
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf.
<2> См.: Strategy
for Union institutions, offices, bodies and agencies to comply with the
'Schrems II' Ruling. European Data Protection Supervisor, 29 October 2020. P.
9.
Статья 13. Особенности
обработки персональных данных в государственных или муниципальных
информационных системах персональных данных
Комментарий к статье 13
1. Рассматриваемая статья
устанавливает дополнительные положения для легитимации особенностей
регулирования процессов обработки персональных данных субъектами публичного
сектора. Государственные и муниципальные органы являются одними из основных
операторов, организующих и (или) осуществляющих обработку персональных данных в
установленных Законом целях. Нет ни одного государственного и муниципального
органа, который не осуществлял бы обработку персональных данных. Согласно ч. 1
комментируемой статьи государственные и муниципальные органы могут создавать
информационные системы персональных данных для целей реализации своих
полномочий, установленных в соответствии с федеральными законами. Поскольку
полномочия государственных и муниципальных органов могут формулироваться
достаточно широко, особенно учитывая обилие делегированного правотворчества в
административной сфере, фактически каких-либо жестких рамок на создание
информационных систем персональных данных ч. 1 комментируемой статьи не
устанавливает.
Информационные системы
персональных данных являются разновидностью государственных информационных
систем, которые в соответствии со ст. 13 Закона об информации подразделяются:
- на федеральные
информационные системы, созданные на основании федеральных законов или правовых
актов федеральных органов государственной власти. В качестве примера можно
привести реестры государственных служащих, создаваемые в соответствии со ст. 43
Федерального закона от 27 июля 2004 г. N 79-ФЗ "О государственной
гражданской службе Российской Федерации" <1>, которые включают в
себя сведения обо всех гражданских служащих, замещающих должности гражданской
службы в соответствующем государственном органе;
- региональные
информационные системы, созданные на основании законов субъектов РФ или на
основании правовых актов государственных органов субъектов РФ;
- муниципальные
информационные системы, созданные на основании решения органа местного
самоуправления.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
2. Особенности учета персональных
данных в государственных и муниципальных информационных системах персональных
данных могут устанавливаться федеральными законами. Так, например, Федеральный закон
от 18 июля 2006 г. N 109-ФЗ "О миграционном учете иностранных граждан и
лиц без гражданства в Российской Федерации" <1> предусматривает
создание государственной информационной системы миграционного учета на основе
перечня персональных данных об иностранных гражданах, собираемых и
обрабатываемых в объеме, указанном в ст. 9 данного Закона. При этом указанный Закон
предусматривает, что порядок и срок хранения и порядок защиты сведений,
фиксируемых при миграционном учете и содержащихся в государственной
информационной системе миграционного учета, устанавливаются Правительством
Российской Федерации <2>.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
<2> См.: Постановление
Правительства РФ от 14 февраля 2007 г. N 94 "О государственной
информационной системе миграционного учета".
Часть 2 комментируемой статьи
допускает использование различных способов обозначения принадлежности
персональных данных, содержащихся в соответствующей государственной или
муниципальной информационной системе персональных данных, конкретному субъекту
персональных данных, например введение разного рода идентификаторов, например
идентификационного номера налогоплательщика, используемого для целей
осуществления налогового контроля (п. 7 ст. 84 Налогового кодекса РФ).
3. Часть 3
комментируемой статьи содержит положение, согласно которому не допускается
использование оскорбляющих чувства граждан или унижающих человеческое
достоинство способов обозначения принадлежности персональных данных,
содержащихся в государственных или муниципальных информационных системах
персональных данных, конкретному субъекту персональных данных. Данное положение
приобрело особую актуальность в связи с потоком дел, связанных с использованием
штрихкодов и заявлениями отдельных граждан об оскорблении их чувств верующих по
причине наличия в таком штрихкоде "числа дьявола". С позицией РПЦ по
данному вопросу можно ознакомиться по ссылке <1>. Юридический анализ
ситуации содержится в Определении Верховного Суда РФ от 1 марта 2006 г. по делу
N 13В05-13, согласно которому идентификационный номер налогоплательщика по
своему предназначению, определенному на уровне федерального закона, подлежит
использованию наряду с другими сведениями о налогоплательщике исключительно в
целях налогового учета и не заменяет имя человека; наличие в нем некоего числа,
могущего затрагивать религиозные чувства налогоплательщика, может носить
случайный характер. В тех случаях, когда в идентификационном номере,
присвоенном налогоплательщику, окажется некое число, затрагивающее его
религиозные чувства, налогоплательщик не лишен возможности поставить перед
налоговым органом вопрос об изменении идентификационного номера, чему нормы
Налогового кодекса РФ не препятствуют.
--------------------------------
<1> См.: Проект
документа "О позиции Церкви в связи с появлением и перспективами развития
новых технологий идентификации личности". URL:
http://www.patriarchia.ru/db/text/2255365.html.
4. Часть 4 комментируемой статьи
легитимирует потенциальную возможность создания всеобщего государственного
регистра населения. Как отмечается, первоначальные версии проекта закона о
персональных данных содержали положения о присвоении населению федеральными и
региональными властями персональных идентификаторов и создании единого
государственного регистра населения. Были подготовлены и определенные правовые
акты, направленные на создание государственного регистра населения. Так, в свое
время распоряжением Правительства РФ от 9 июня 2005 г. N 748-р была одобрена Концепция
создания системы персонального учета населения Российской Федерации. Она
предусматривала проведение следующих мероприятий:
- введение единого
идентификатора персональных данных, обеспечивающего возможность однозначного
установления соответствия персональных данных, размещаемых в различных
автоматизированных системах учета, конкретному физическому лицу;
- создание
государственного регистра населения, содержащего актуальные первичные
идентификационные данные граждан и соответствующие им идентификаторы
персональных данных;
- интеграция и
обеспечение взаимодействия различных автоматизированных систем учета,
обеспечивающих сбор, обработку и хранение персональных данных в электронном
виде;
- обеспечение доступа к
персональным данным, размещаемым в автоматизированных системах учета,
заинтересованных органов государственной власти, органов местного
самоуправления, государственных и муниципальных организаций на межведомственном
уровне в соответствии с утверждаемыми регламентами.
Однако негативная
реакция общественного мнения и РПЦ обусловила отказ на определенное время от
данных положений <1>. Вместо них в Законе о персональных данных осталось
лишь упоминание о возможности создания регистра отдельным федеральным законом.
--------------------------------
<1> См.: Дятленко
В.В., Волчинская Е.К. Законодательство о защите персональных данных: проблемы и
решения // Информационное право. 2006. N 1. С. 11 - 16; Миндрова Е.А. Тайна в
праве на неприкосновенность частной жизни // Юридический мир. 2007. N 3. С. 60
- 66.
5. В 2020 г. идея создания
всероссийского государственного регистра населения стала реальностью вследствие
принятия Федерального закона от 8 июня 2020 г. N 168-ФЗ "О едином
федеральном информационном регистре, содержащем сведения о населении Российской
Федерации" <1>. Данный регистр администрируется ФНС и ведется в
электронном виде. Согласно ч. 2 ст. 7 вышеуказанного Закона в регистр включаются
следующие сведения:
1) сведения о физическом
лице:
а) фамилия, имя и
отчество (при наличии) и в случае их изменения иные фамилия, имя и отчество
(при наличии);
б) дата рождения;
в) дата смерти;
г) место рождения;
д) место смерти;
е) пол и в случае его
изменения иной пол;
ж) сведения о семейном
положении физического лица, в том числе о записях актов о заключении и
расторжении брака;
з) гражданство
Российской Федерации и (или) гражданство (подданство) иностранного государства
или иностранных государств;
и) сведения о наличии у
гражданина Российской Федерации документа на право постоянного проживания в
иностранном государстве (при наличии);
к) сведения об обращении
гражданина Российской Федерации в полномочный орган иностранного государства о
выходе указанного гражданина из гражданства данного государства или об отказе
от имеющегося у него документа на право постоянного проживания в иностранном
государстве (при наличии);
2) идентификаторы:
а) записи акта о
рождении;
б) записи акта о смерти;
в) документа,
удостоверяющего личность физического лица, включая вид, номер и иные сведения о
таком документе;
г) документов или
отметок в документах, удостоверяющих личность, подтверждающих право
иностранного гражданина и лица без гражданства на пребывание (проживание) в
Российской Федерации;
д) сведений о
регистрационном учете гражданина Российской Федерации и миграционном учете
иностранного гражданина и лица без гражданства в Российской Федерации;
е) сведений о принятом
решении по вопросам гражданства Российской Федерации;
ж) сведений о постановке
на учет в налоговом органе, в том числе в качестве налогоплательщика налога на
профессиональный доход;
3) сведений о
регистрации физического лица в качестве индивидуального предпринимателя;
и) сведений о постановке
на воинский учет граждан Российской Федерации, обязанных состоять на воинском
учете;
к) сведений о
регистрации в системах обязательного пенсионного, медицинского и социального
страхования;
л) сведений о постановке
на учет в органах службы занятости;
м) документа об
образовании и (или) о квалификации, документа об обучении, включая виды, номера
и иные сведения о таких документах, сведений о присуждении, лишении,
восстановлении ученой степени, присвоении, лишении, восстановлении ученого
звания;
н) учетной записи
физического лица в федеральной государственной информационной системе
"Единая система идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое взаимодействие информационных
систем, используемых для предоставления государственных и муниципальных услуг в
электронной форме" (далее - единая система идентификации и
аутентификации);
о) записей федерального
регистра сведений о населении о физических лицах, являющихся родителями
физического лица, супругом (супругой) физического лица, ребенком (детьми)
физического лица.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
Сведения об одном физическом лице,
включаемые в федеральный регистр сведений о населении, образуют одну запись
федерального регистра сведений о населении. Запись федерального регистра
сведений о населении в федеральном регистре сведений о населении идентифицируется
не повторяющимся во времени и на территории РФ номером. При внесении изменений
в запись федерального регистра сведений о населении номер указанной записи не
изменяется (ч. 8 ст. 8). Таким образом, каждый гражданин получит уникальный
номер - идентификатор в данной системе.
Закон вступил в силу с 8
июня 2020 г., за исключением некоторых положений, и предполагает наличие
определенного времени на наполнение регистра сведениями, а также выстраивание
механизмов межведомственного обмена информацией. До 1 января 2023 г.
использование федерального информационного регистра не является обязательным, а
до 31 декабря 2025 г. устанавливается переходный период.
Создание подобного
единого регистра населения, безусловно, имеет свои преимущества для целей
совершенствования государственного управления. Однако сопряженный с этим
повышенный риск утечки данных, сосредоточенных в одном месте, а также
существенно возрастающие возможности по "сортировке" людей в профайлы
за счет объединения разнородных баз данных в одну мегабазу данных не могут не
вызывать опасений. В отсутствие на данный момент каких-либо реальных механизмов
их минимизации помимо декларативных создание такого регистра можно
рассматривать исключительно как победу публично-правовых интересов над правами
и свободами граждан.
Глава 3. ПРАВА СУБЪЕКТА
ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 14. Право субъекта
персональных данных на доступ к его персональным данным
1. Комментируемая статья устанавливает
одно из ключевых прав субъекта персональных данных - право на доступ к
информации об обработке своих персональных данных. Данное право создает условия
для реализации субъектом иных своих прав: например, права на дачу согласия,
отзыв ранее данного согласия, право требовать удаления или уточнения таких
данных, право на обращение в административные и судебные органы за защитой
своих прав, поскольку все они предполагают наличие у субъекта определенной
информации, на базе которой он может принимать решения, действуя своей волей и
в своем интересе. Ввиду высокой степени латентности процессов обработки данных
в рамках государственных (муниципальных) организаций, коммерческих организаций
и иных операторов в отсутствие законодательных требований об обеспечении их
прозрачности субъект персональных данных вряд ли бы смог реализовывать
предоставляемые ему законодательством о персональных данных права. Таким
образом, комментируемая статья является важнейшим инструментом устранения
информационной асимметрии, существующей в отношениях между оператором и
субъектом персональных данных.
2. Часть 1
комментируемой статьи устанавливает следующие права субъекта персональных
данных, которым корреспондируют соответствующие обязанности оператора:
1) право на получение информации об обработке его персональных данных
конкретным оператором в объеме, определенном законодателем и указанном в ч.
7 комментируемой статьи. При этом не имеет значения, должен ли был субъект
персональных данных обладать указанными сведениями в силу заключения договора,
а равно наличие у него сведений о неправомерности обработки таких данных
оператором <1>. Оператор обязан предоставить указанную информацию в
течение 30 календарных дней с момента получения запроса от субъекта либо
представить в указанный срок мотивированный письменный отказ со ссылкой на
норму закона (ч. 1 и 2 ст. 20 Закона о персональных данных);
2) право на уточнение обрабатываемых оператором персональных данных в
тех случаях, когда такие данные имеют какой-либо дефект, а именно являются
неполными, устаревшими или неточными. Создание новых данных на основании
имеющихся, например расчет зарплаты на основании данных о выработке работника,
не является уточнением, а является использованием персональных данных. Оператор
обязан внести соответствующие изменения в срок, не превышающий семь рабочих
дней с момента получения обоснованного запроса субъекта о неполноте, неточности
или устаревшем характере обрабатываемых им персональных данных. Кроме того,
оператор обязан уведомить субъекта персональных данных о внесенных изменениях и
предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым
персональные данные этого субъекта были переданы (ч. 3 ст. 20 Закона о
персональных данных);
3) право на блокирование персональных данных.
При этом в соответствии со ст. 3 Закона о персональных данных под блокированием
понимается временное прекращение
обработки персональных данных (за исключением случаев, если обработка
необходима для уточнения персональных данных). Исходя из данной дефиниции,
данное право носит в большинстве своем комплементарный характер по отношению к
праву требовать уточнения персональных данных, минимизируя риски субъекта
персональных данных в период между предъявлением им соответствующего требования
и его фактическим исполнением оператором. Представляется, что нет особого
смысла в праве требовать блокирования обработки персональных данных, которые
были незаконно получены или не являются необходимыми для заявленной цели
обработки, хотя комментируемое положение сформулировано таким образом, что
формально не исключает возможности предъявления требования о блокировке и в связи
с указанными обстоятельствами. О корреспондирующих обязанностях оператора см. ч.
1 и 2 ст. 21 Закона о персональных данных и комментарий к ним;
4) право требовать уничтожения данных, то есть совершения оператором
действий, в результате которых становится невозможным восстановить содержание
персональных данных в информационной системе персональных данных и (или) в
результате которых уничтожаются материальные носители персональных данных.
Данное право может быть реализовано в отношении персональных данных, которые
имеют дефект в процессе сбора или обработки, то есть были незаконно получены
или не являются необходимыми для заявленной цели обработки. При этом не имеет
значения, обрабатываются ли такие данные в офлайн- или онлайн-среде. Оператор
обязан уничтожить соответствующие данные в срок, не превышающий семь рабочих
дней с момента получения обоснованного запроса от субъекта. Кроме того,
оператор обязан уведомить субъекта персональных данных о предпринятых мерах и
принять разумные меры для уведомления третьих лиц, которым персональные данные
этого субъекта были переданы (ч. 3 ст. 20 Закона о персональных данных);
5) право предпринимать предусмотренные законом меры по защите своих прав.
Так, в соответствии со ст. 17 Закона о персональных данных если субъект
персональных данных считает, что оператор осуществляет обработку его
персональных данных с нарушением требований Закона о персональных данных или
иным образом нарушает его права и свободы, то субъект персональных данных
вправе обжаловать действия или бездействие оператора в уполномоченный орган по
защите прав субъектов персональных данных или в судебном порядке. Включение
данного права в состав общего права на доступ к персональным данным вполне
логично, принимая во внимание постулат общей теории права о том, что право на
защиту не является самостоятельным субъективным правом, а является правомочием,
входящим в состав любого субъективного права <2>.
--------------------------------
<1> К сожалению,
суды нередко не утруждают себя внимательным изучением положений Закона о
персональных данных и выносят явно противоречащие содержанию ст. 14 решения.
Так, в одном из решений суд отказал субъекту в удовлетворении требования о
предоставлении информации по ст. 14 Закона о персональных данных, поскольку она
"самостоятельно предоставила ответчику свои персональные данные в целях их
обработки, ей были известны цели обработки персональных данных, наименование и
местонахождение оператора; доказательств того, что ее персональные данные были
переданы Банком иным лицам в целях их обработки, в материалах дела отсутствуют"
(Апелляционное определение Московского городского суда от 28 октября 2016 г. по
делу N 33-43555/2016. См. также Апелляционные определения Московского
областного суда от 22 августа 2016 г. по делу N 33-22712/2016 и от 24 декабря
2015 г. по делу N 33-48711/2015).
<2> См., например:
Матузов Н.И. Субъективные права граждан СССР. Саратов, 1966. С. 45 - 46.
3. Часть 2 устанавливает некоторые
требования, которым должны соответствовать сведения, предоставляемые оператором
в рамках реализации субъектом персональных данных своего права на получение
информации об обрабатываемых данных. Таких требований два:
1) информация должна
быть предоставлена в доступной форме;
2) она не должна
содержать персональных данных иных лиц, за исключением случаев, когда для их
предоставления имеются правовые основания. К примеру, поскольку сообщения
электронной почты или материалы переписки с другими лицами с использованием
иных сервисов, по общему правилу, содержат персональные данные иных лиц,
получение таких данных требует правового основания. При этом закон не
конкретизирует, что следует понимать под таким правовым основанием.
Представляется, что в качестве такового может служить согласие таких лиц, а
также какое-либо из оснований для обработки таких данных в отсутствие согласия
субъекта (ч. 1 ст. 6, ч. 2 ст. 10 Закона о персональных данных) при условии
должного обоснования запрашивающим субъектом его наличия применительно к
конкретной ситуации.
Комментируемое положение
не раскрывает, что понимается под "доступной" формой. Представляется,
что в данном случае речь идет не только о предоставлении ответа в удобной для
субъекта форме (письменной, электронной, устной), но и об отсутствии
намеренного усложнения предоставляемых сведений за счет включения в них больших
массивов информации, специализированных терминов, отсылок к другим документам.
Если информация предоставляется субъекту в электронной форме, то должен
использоваться стандартный формат файла, просмотр которого не должен требовать
специальных познаний у пользователя или использования специализированных
платных программ. Примечательно, что GDPR уточнил ранее содержавшееся в Директиве
1995 г. требование о доступности предоставляемой информации. Соответствующая
информация должна быть предоставлена в краткой, транспарентной, понятной и
легкодоступной форме, с использованием ясных и однозначных формулировок,
особенно если адресатом является ребенок (ст. 12(1), п. 39 преамбулы).
Представляется, что указанные положения вполне могут использоваться в качестве
ориентира при толковании понятия "доступная форма" в ч. 2
комментируемой статьи, тем более что на практике уже возникали такие вопросы.
Правда, их разрешение не находится в ведении Конституционного Суда РФ (Определение
Конституционного Суда РФ от 30 января 2020 г. N 53-О-Р).
Закон о персональных
данных не требует предоставления субъекту персональных данных для ознакомления
именно оригиналов документов, содержащих персональные данные такого субъекта (Определение
Московского городского суда от 19 июля 2019 г. N 4га-714/2019; Определение
Конституционного Суда РФ от 24 октября 2019 г. N 2953-О). Если их оригиналы потребуются
субъекту для защиты своих прав в рамках судебного процесса, то у него есть
возможность их затребовать через суд.
Комментируемая норма не
содержит никаких указаний относительно того, должен ли оператор предоставлять
информацию на возмездной или безвозмездной основе. Согласно ч. 3 ст. 20
оператор обязан предоставить безвозмездно
субъекту персональных данных или его представителю возможность ознакомления с
персональными данными, относящимися к этому субъекту персональных данных.
Правда, из указанной нормы не ясно, относится ли данное требование ко всем
формам предоставления ответа на запрос субъекта или нет. Формально в ней
говорится лишь о случаях "ознакомления" субъекта персональных данных,
то есть о случаях личного обращения, но не о письменных ответах на запрос.
Однако в отсутствие иных положений и принимая во внимание возможность
злоупотреблений со стороны операторов при определении цены ответа на запрос,
целесообразно рассматривать норму ч. 3 ст. 20 о безвозмездности как
распространяющуюся на любые формы ответов на запросы субъектов персональных
данных о предоставлении информации, соответствующие требованиям
законодательства.
4. Часть 3
предусматривает порядок реализации права субъекта на получение информации об
обрабатываемых оператором персональных данных. Такое право может быть
реализовано при личном обращении субъекта или его представителя, либо
посредством направления оператору письменного запроса, либо в электронной
форме.
В случае направления
письменного запроса он должен включать в себя определенные сведения:
- паспортные данные
(номер основного документа, удостоверяющего личность субъекта персональных
данных или его представителя, сведения о дате выдачи указанного документа и
выдавшем его органе);
- сведения,
подтверждающие участие субъекта персональных данных в отношениях с оператором
(номер договора, дата заключения договора, условное словесное обозначение и
(или) иные сведения), либо сведения, иным образом подтверждающие факт обработки
персональных данных оператором (например, информация об обработке, полученная
от третьих лиц);
- подпись субъекта
персональных данных или его представителя (нотариального заверения такой
подписи не требуется).
Крайне целесообразно
направлять запрос в письменной форме таким образом, чтобы впоследствии можно
было подтвердить факт его отправления оператору, например заказным письмом с
уведомлением о вручении. Почтовая квитанция и сведения с сайта Почты России
могут служить достаточными доказательствами получения оператором
соответствующего запроса (Апелляционное определение Санкт-Петербургского
городского суда от 2 февраля 2016 г. по делу N 2-6199/2015).
Любопытно, что
комментируемая норма предусматривает необходимость указания паспортных данных в
любом письменном запросе субъекта, никак не соизмеряя данное требование с тем
объемом данных, который обрабатывается оператором. В итоге может получиться
абсурдная ситуация, когда субъект, стремясь защитить свои права, предоставляет
оператору еще больше персональных данных, которые являются весьма
"чувствительными" в российских реалиях. Представляется, что если
оператору было достаточно определенных сведений о субъекте для начала обработки
(например, Ф.И.О., мобильный телефон и адрес электронной почты), то таких
сведений должно быть достаточно и для реализации таким субъектом своих прав на
доступ к обрабатываемой информации. Такого рода "зеркальный" подход в
гораздо большей степени соответствовал бы принципу минимизации обрабатываемых
данных.
GDPR более гибко
регулирует вопрос о порядке определения оператором личности заявителя. Им
предусматривается право оператора при невозможности идентификации им личности
обратившегося с запросом субъекта потребовать предоставления им дополнительной
информации. Это может быть запрос информации, которая, исходя из контекста
отношений, должна быть известна только субъекту (например, ответы на
контрольные вопросы, указанные при регистрации, номер аккаунта, номер телефона
и дата рождения и т.п.). В случае отказа предоставить такую информацию или
предоставления недостаточной информации оператор вправе отказать в
удовлетворении запроса и не обязан предпринимать дальнейшие действия по
установлению личности обратившегося лица (ст. 12(2), (6)). Таким образом, для
установления личности субъекта может использоваться идентификатор, принятый у
данного оператора, что обеспечивает необходимую гибкость в реализации положений
GDPR применительно к онлайн-сервисам.
5. В тех случаях, когда
запрашиваемые субъектом сведения об обработке его персональных данных
одновременно подпадают под информацию, составляющую иную охраняемую законом
тайну, реализация права посредством направления письменного запроса может быть
ограничена. Так, если соответствующая информация составляет банковскую тайну,
на оператора (банк) возлагаются дополнительные обязанности по обеспечению ее
конфиденциальности. Их исполнение предполагает повышенные требования к
идентификации субъекта, которые не могут быть выполнены при направлении запроса
посредством почтовой связи. В таком случае реализация права, указанного в ст.
14 Закона о персональных данных, возможна при личном обращении в банк либо иным
способом, обеспечивающим необходимый уровень идентификации, согласованный в
договоре между субъектом и банком (Апелляционное определение
Санкт-Петербургского городского суда от 9 ноября 2016 г. N 33-23605/2016 по
делу N 2-1633/2016; Апелляционное определение Верховного суда Республики
Хакасия от 7 сентября 2016 г. по делу N 33-2868/2016; Апелляционное определение
Алтайского краевого суда от 27 апреля 2016 г. по делу N 33-4571/2016;
Апелляционное определение Верховного суда Республики Татарстан от 30 ноября
2015 г. по делу N 33-18193/2015 и др.).
6. Закон допускает
направление запроса в электронной форме при условии его подписания электронной
подписью в соответствии с законодательством РФ. Допустимость использования
простой электронной подписи или усиленной неквалифицированной подписи
определяется самим оператором, поскольку в соответствии с Законом об
электронной подписи одним из условий ее действительности является наличие
соглашения между оператором информационной системы и подписантом,
предусматривающего помимо прочего порядок ее использования и верификации.
Такого рода соглашения в большинстве своем являются договором присоединения (ст.
428 ГК РФ), условия которого разрабатываются оператором. Усиленная
квалифицированная подпись при соблюдении определенных условий, указанных в ст.
11 Закона об электронной подписи, признается равнозначной собственноручной
подписи в силу закона. Поэтому она может использоваться для придания
юридической силы запросу в электронной форме без специальной авторизации со
стороны оператора, по крайней мере если электронный документооборот происходит
на территории РФ, поскольку на территории иностранного государства не всегда
будут признаваться такого рода подписи, выданные в России.
7. Закон предусматривает
определенные положения, направленные на противодействие злоупотреблениям,
которые могут совершаться как субъектами персональных данных, так и оператором.
Во-первых,
устанавливается определенный временной период, в течение которого повторное
требование субъекта персональных данных о предоставлении информации может
оставляться без рассмотрения оператором. По умолчанию он составляет 30
календарных дней с момента направления первоначального запроса и ни при каких
условиях не может быть больше. Более короткий срок может быть установлен в
законодательстве или договоре, в котором субъект выступает стороной,
выгодоприобретателем или поручителем.
Во-вторых, для того чтобы
минимизировать злоупотребления вышеуказанным положением уже самим оператором,
установлено исключение: субъект вправе требовать предоставления информации до
истечения соответствующего периода времени, если оператор не предоставил
информацию в полном объеме по результатам первоначального обращения. В таком
случае субъект должен привести в повторном запросе сведения о том, какая именно
информация ему не была предоставлена и на основании каких положений
законодательства она подлежала предоставлению.
Если повторный запрос
субъекта персональных данных не соответствует вышеуказанным требованиям, то
оператор вправе отказать в его удовлетворении. При этом он обязан указать
мотивы отказа и принимает на себя бремя доказывания обоснованности таких
мотивов в случае последующего оспаривания данного решения субъектом
персональных данных (ч. 6 комментируемой статьи).
8. Часть
7 комментируемой статьи устанавливает исчерпывающий перечень сведений, которые
должны быть предоставлены оператором в ответ на поступивший от субъекта запрос.
В большинстве своем они схожи с перечнем сведений, которые должны содержаться в
согласии субъекта персональных данных на обработку, предоставляемом в
письменной форме (ч. 4 ст. 9 Закона о персональных данных). Помимо них в ответе
на запрос должны быть указаны следующие сведения:
1) правовые основания и
цели обработки в отношении всех персональных данных, обрабатываемых оператором,
в том числе если обработка осуществляется без согласия субъекта;
2) сведения о лицах (за
исключением работников оператора), которые имеют доступ к персональным данным
или которым могут быть раскрыты персональные данные на основании договора с
оператором или на основании федерального закона. В данном случае речь идет не
об обработчиках, которым посвящен отдельный пункт (п. 9 ч. 7 ст. 14), а о
государственных органах, иных компаниях, входящих в одну группу с оператором, и
других лицах, которым могут быть раскрыты персональные данные на законном
основании;
3) порядок осуществления
субъектом персональных данных прав, предусмотренных настоящим Федеральным законом
(по-видимому, в данном случае речь идет о правах, указанных в ч. 1
комментируемой статьи, на что указывает фраза "данных прав");
4) информация об
осуществленной или о предполагаемой трансграничной передаче данных;
5) иные сведения,
предусмотренные Законом о персональных данных или другими федеральными
законами.
Качественное различие
сведений, содержащихся в форме письменного согласия на обработку данных и в
ответе на запрос о предоставлении информации об обрабатываемых данных, не
позволяет подменять одно другим, как это делают некоторые суды, и ссылаться на
факт дачи субъектом согласия на обработку своих данных оператору как на
основание для отказа в предоставлении сведений, запрошенных в порядке ст. 14
Закона о персональных данных. Не говоря уже о том, что сама ст. 14 не
предусматривает такого основания для отказа.
Следует подчеркнуть, что
Закон о персональных данных не предусматривает обязанности оператора
предоставить субъекту персональных данных копии всех документов, в которых
содержатся персональные данные такого субъекта, которые обрабатываются
оператором. В свою очередь, GDPR предусматривает обязанность оператора по
предоставлению копии обрабатываемых им персональных данных субъекта по его
запросу при определенных обстоятельствах (data portability), о которых будет
подробнее сказано далее.
9. Право субъекта
персональных данных на получение информации об обрабатываемых оператором
персональных данных не является неограниченным. Часть 8 комментируемой статьи
допускает установление оснований для отказа в предоставлении запрошенной
информации на уровне федерального закона и содержит неисчерпывающий перечень
таких оснований, большинство из которых имеют публично-правовую природу. Помимо
таких "классических" оснований, как осуществление обработки для целей
обороны страны, безопасности государства и охраны правопорядка, противодействия
легализации доходов, полученных преступным путем, обеспечения безопасности
объектов транспортной инфраструктуры, в их числе фигурирует и более общее
основание: "доступ субъекта персональных данных к его персональным данным
нарушает права и законные интересы третьих лиц". В принципе, перечень
оснований, который указан в данном положении, основан на ч. 3 ст. 55
Конституции РФ: "Права и свободы человека и гражданина могут быть
ограничены федеральным законом только в той мере, в какой это необходимо в
целях защиты основ конституционного строя, нравственности, здоровья, прав и
законных интересов других лиц, обеспечения обороны страны и безопасности
государства". Аналогичные по существу основания ограничения права субъекта
на доступ к обрабатываемым персональным данным предусмотрены и в европейском
праве (ст. 23 GDPR).
10. Следует отметить,
что нередко субъект персональных данных реализует свое право на получение
информации об обрабатываемых персональных данных оператором с целью
предъявления к нему исков или иных юридических претензий. Даже если такая цель
является очевидной для оператора, она не может являться основанием для отказа в
предоставлении соответствующей информации. Если же оператор все же
необоснованно отказывает в предоставлении информации, она может быть
истребована через суд или Роскомнадзор, который наделен правом запрашивать
соответствующую информацию у операторов (п. 1 ч. 3 ст. 23 Закона о персональных
данных).
11. Новое европейское
законодательство о персональных данных предусматривает в числе прав,
предоставленных субъекту персональных данных, так называемое право быть
забытым, или "право на забвение" (right to be forgotten), которое
представляет собой некоторый ребрендинг права субъекта требовать от оператора
удаления без промедления персональных данных при определенных обстоятельствах
(right to erasure) <1>. Согласно ст. 17 GDPR к таким обстоятельствам
относятся:
a) достижение целей
обработки таких персональных данных;
b) отзыв согласия на
обработку персональных данных в случаях, когда у оператора отсутствуют иные
основания для их обработки;
c) реализация права на
возражение в отношении обработки, осуществляемой на основаниях, указанных в ст.
6(1)(e) и (f): обработка в публичном интересе или для осуществления законных
прав оператора;
d) персональные данные
обрабатываются на незаконной основе;
e) персональные данные
подлежат удалению в соответствии с положениями законодательства страны - члена
ЕС, применимого к оператору;
f) если речь идет о персональных
данных, собранных в сети Интернет, в отношении лица, не достигшего 16 лет (ст.
8(1)).
--------------------------------
<1> Само по себе
право быть забытым не является чем-то принципиально новым и обсуждалось еще в
70-е гг. прошлого века. См., например: Westin A., Baker M. Databanks in a Free
Society: Computers, Record-keeping and Privacy. N.Y., 1972. P. 268.
"Право быть забытым" не
является абсолютным и сопровождается рядом исключений, где, по мнению
законодателя, публичный интерес и право на свободу слова перевешивают его. Речь
идет об обработке данных в научных, исследовательских, статистических целях,
при осуществлении правосудия, реализации права на свободу информации и
самовыражение, соблюдении оператором положений законодательства о хранении
соответствующих данных и в других подобных случаях.
Важным дополнением
является принятое в развитие положений ст. 12(c) Директивы 1995 г. указание на
то, что оператор обязан, принимая во внимание уровень развития технологий и
размер затрат, предпринять меры, в том числе технического характера, для
уведомления других операторов о том, что субъект потребовал удаления копий
соответствующей информации и ссылок на нее (ст. 17(2) GDPR). Предполагается,
что данное положение должно в определенной степени минимизировать степень
распространения информации в сети Интернет, учитывая, что ее обработка, как
правило, не ограничивается лишь одним оператором. Однако оно не возлагает на
первоначального оператора ответственности за удаление всеми иными лицами соответствующей
информации, оно лишь возлагает на него обязанность предпринять разумные усилия
по их информированию о волеизъявлении субъекта в той части, в которой оно может
их затронуть. Насколько данное положение эффективно, покажет время. В России
указанное положение нашло свое закрепление в ч. 3 ст. 20 Закона о персональных
данных еще в поправках 2011 г., но какой-либо практики его применения до сих
пор нет.
12. "Право быть
забытым", предусмотренное в GDPR, следует отличать от права гражданина
требовать от поисковых сервисов удаления ссылок на определенную информацию о
нем, которое было формализовано в решении Суда ЕС по делу "Google против
Марио Костеха Гонсалеса" <1>. Хотя особое отношение к поисковым
сервисам в контексте защиты персональных данных в Европе начало формироваться
задолго до этого дела. Так, в Рекомендации CM/Rec(2012)3 Комитета министров
Совета Европы <2> было указано, что, "комбинируя различные виды
информации о личности, поисковые системы могут создать образ человека, который
необязательно соответствует действительности. Сочетание результатов поиска
создает гораздо более высокий риск для этого человека, чем если бы все эти
данные, связанные с ним, оставались разделенными в сети Интернет".
--------------------------------
<1> См.: Google
Spain SL, Google Inc. v Agencia de de Datos (AEPD), ,
ECJ, C-131/12, 13 May 2014.
<2> См.: Рекомендация
CM/Rec(2012)3 Комитета министров к государствам-членам о защите прав человека
применительно к поисковым системам (принята Комитетом министров 4 апреля 2012
г. на 1139-м заседании заместителей министров) // СПС
"КонсультантПлюс".
В решении Суда ЕС по делу "Google
против Марио Костеха Гонсалеса" речь шла о требовании г-на Гонсалеса
прекратить выдачу ссылок на статью, опубликованную в газете еще в 1998 г., в
которой говорилось о признании его банкротом по причине невыплаты долга. Он
утверждал, что данная статья в 2014 г. являлась устаревшей и неточной, так как
долг был погашен, и тем самым формировала негативное впечатление о нем как о
гражданине. Европейский Суд Справедливости признал Google оператором в
отношении обрабатываемых ссылок и как следствие обязанным удовлетворить
требование об их удалении. При этом следует подчеркнуть, что сама статья с
соответствующей информацией не подлежала удалению, только ссылки на нее,
выдаваемые поисковой системой. Данное решение является попыткой дать правовой
ответ на техническую особенность распространения информации в сети Интернет,
которая "записывает все и ничего не забывает", и, как следствие,
"ты - это то, что о тебе говорит Google" <1>. Фактически оно
устанавливает право лица требовать удаления информации о его прошлом, которая
не имеет значения для формирования мнения или принятия решения в отношении него
в настоящем, тем самым оно направлено в большей степени на защиту репутации,
чем неприкосновенности частной жизни. Данные права пересекаются в случаях,
когда в качестве оператора выступает поисковый сервис, но в целом "право
быть забытым" гораздо шире по сфере своего применения.
--------------------------------
<1> См.: Ambrose
M. It's All About Time: Privacy, Information Cycles and the Right to be
Forgotten // Stanford Technology Law Review. 2013. No. 16(2). P. 373.
13. В России "право на
забвение" было введено в правовую систему посредством внесения изменений в
Закон об информации. Согласно положениям ст. 10.3, вступившей в силу 1 января
2016 г., на оператора поисковой системы, распространяющего в сети Интернет
рекламу, которая направлена на привлечение внимания потребителей, находящихся
на территории РФ, возложена обязанность по требованию гражданина (физического
лица) прекратить выдачу ссылок на страницы в сети Интернет, позволяющие
получить доступ к следующим видам информации о заявителе:
- распространяемой с
нарушением законодательства Российской Федерации;
- недостоверной;
- неактуальной или
утратившей значение для заявителя в силу последующих событий или действий
заявителя.
Не подлежат удалению в
порядке ст. 10.3 Закона об информации ссылки на информацию о событиях,
содержащих признаки уголовно наказуемых деяний, сроки привлечения к уголовной
ответственности по которым не истекли, и информацию о совершении гражданином
преступления, по которому не снята или не погашена судимость. Вместе с тем если
уголовное дело прекращено по реабилитирующим основаниям, то ссылки на материалы
в сети Интернет, которые могут послужить основанием для ложного вывода о
наличии факта уголовного преследования в отношении лица и тем самым негативно
отразиться на его репутации, подлежат удалению оператором поискового сервиса по
требованию такого лица (Определение Четвертого кассационного суда общей
юрисдикции от 13 февраля 2020 г. по делу N 88-2685/2020). Амнистирование лица
не является реабилитирующим основанием и не влечет возможности удаления ссылок
на соответствующую информацию о судимости (Апелляционное определение
Московского городского суда от 20 мая 2019 г. по делу N 33-20777/2019).
Как видно из
вышеуказанных положений, их применение сопряжено с необходимостью толкования
операторами поисковых систем и судами ряда оценочных положений. Как отметил
Конституционный Суд РФ, "использование федеральным законодателем в
оспариваемых законоположениях таких понятий, как "неактуальная
информация" и "информация, утратившая для заявителя значение в силу
последующих событий или его действий", само по себе не свидетельствует о
неопределенности их содержания и преследует цель эффективного применения нормы
к неограниченному числу конкретных правовых ситуаций. Названные понятия, как и
иные используемые федеральным законодателем оценочные понятия, предполагают,
что они будут наполняться смыслом в зависимости от фактических обстоятельств
конкретного дела и с учетом толкования этого законодательного термина в
правоприменительной практике" (Определение Конституционного Суда РФ от 26
марта 2019 г. N 849-О). Данные положения ориентируют суды на основе
установления и исследования фактических обстоятельств конкретного дела находить
баланс между конституционно защищаемыми ценностями: доступом граждан к
информации, с одной стороны, и защитой прав граждан при распространении
информации о них - с другой, и тем самым обеспечить защиту прав и интересов
граждан в сфере информации (Определение Конституционного Суда РФ от 26 ноября
2018 г. N 3087-О).
Тем самым одно лишь
указание заявителя на то, что, по его мнению, информация является неактуальной,
не является надлежащим подтверждением факта неактуальности информации (Определение
Шестого кассационного суда общей юрисдикции от 28 октября 2020 г. по делу N
88-18116/2020, 2-6229/2019). Аналогичным образом недостаточно простого указания
заявителя на то, что опубликованный материал в сети Интернет, ссылку на который
предоставляет поисковый сервис, является недостоверным (Апелляционное определение
Московского городского суда от 26 мая 2020 г. по делу N 33-13926/2020).
Оператор поисковой системы не вправе безосновательно и бездоказательно по
произвольному требованию гражданина, который может преследовать различные цели,
в том числе для сокрытия находящейся в свободном доступе в сети Интернет
достоверной и объективной информации о себе, прекращать поисковую выдачу ссылок
на такую информацию, поскольку в противном случае будут нарушены указанные
конституционные принципы, а деятельность оператора поисковой системы потеряет
всякий смысл (Апелляционное определение Московского городского суда от 6
февраля 2020 г. по делу N 33-4832/2020). Таким образом, поскольку действующим
законодательством на поисковые системы не возложена обязанность самостоятельно
устанавливать факты достоверности либо недостоверности информации, размещенной
третьими лицами на сайтах, именно заявитель должен представить оператору
поисковой системы доказательства наличия оснований для прекращения выдачи
ссылок поисковой системы, то есть надлежащее подтверждение того, что информация
на сайте является неактуальной, недостоверной. В подавляющем большинстве
судебных решений по делам, связанным с требованиями заявителей обязать
операторов поисковых систем удалить соответствующие ссылки, суды отказывали
заявителям именно по причине непредставления ими доказательств, подтверждающих
их заявления о недостоверности или неактуальности информации. Если же такие
доказательства имелись в наличии, требования заявителя с высокой степенью
вероятности были бы удовлетворены оператором поисковой системы без
необходимости проведения судебного разбирательства.
При использовании
средств защиты, предусмотренных ст. 10.3 Закона об информации, необходимо правильно
определить оператора поисковой системы, поскольку его аффилированные лица,
находящиеся на территории РФ, могут быть не признаны таковыми. Так произошло, в
частности, применительно к поисковой системе Google, где суды прямо указали,
что поисковый сервис администрируется компанией Google Inc, в связи с чем
российское юридическое лицо ООО "Гугл" не является надлежащим
ответчиком по соответствующей категории споров (Постановление Девятого
арбитражного апелляционного суда от 12 сентября 2017 г. по делу N
А40-205329/16; Апелляционное определение Судебной коллегии по гражданским делам
Верховного суда Чувашской Республики от 23 января 2017 г. по делу N
33-311/2017).
Кроме того, суды
квалифицируют обращение к оператору поисковой системы в качестве претензионного
порядка, в случае несоблюдения которого исковое заявление оставляется без
рассмотрения по абз. 1 ст. 222 ГПК РФ. В качестве несоблюдения претензионного
порядка может быть квалифицирована подача заявления в адрес оператора поисковой
системы, не соответствующего установленным требованиям (Апелляционное определение
Московского городского суда от 2 августа 2019 г. по делу N 33-34867/2019).
14. GDPR закрепил еще
одно право за субъектом персональных данных, аналогов которому нет в российском
Законе о персональных данных. Речь идет о праве на переносимость данных (data
portability), предусмотренном в ст. 20 GDPR. Данное право предоставляет
субъекту возможность получить от оператора свои персональные данные в
структурированном виде и в общераспространенном формате данных (например, pdf
или CSV). Другой вариант реализации данного права - возможность дать
распоряжение оператору передать такие данные другому оператору при наличии для
этого технической возможности. Предполагается, что данное право позволит
устранить проблему попадания в зависимость от отдельного оператора - провайдера
сервиса по причине использования им собственного проприетарного формата данных
и существенных временных затрат по воссозданию субъектом подобных данных у
другого оператора. Таким образом, реализация данного права может позволить
субъекту менять провайдеров соответствующих сервисов (например, социальных
сетей) в случае несогласия с политикой обработки персональных данных
первоначального провайдера, тем самым обеспечивая дополнительные условия для
свободы усмотрения субъекта персональных данных.
Право на переносимость
данных по GDPR предполагает наличие трех условий для его реализации:
1) такие персональные
данные должны быть предоставлены самим субъектом, тем самым оно не
распространяется на данные, составляющие цифровой след субъекта и собираемые
оператором в связи с использованием его сервисов (метаданные, служебная
информация об операционной системе, браузере, IP-адресе; времени, проведенном
на сайте, и др.). Также оно не действует на так называемые производные данные,
полученные самим оператором в результате аналитики других данных, например о
скоринговых оценках субъекта;
2) такие данные должны
быть получены на основании согласия субъекта или в связи с заключенным с ним
договором. Тем самым право на переносимость данных не распространяется на
персональные данные, обрабатываемые оператором по иным основаниям;
3) обработка таких
данных осуществляется оператором автоматизированным способом, то есть в
цифровой, а не в аналоговой "бумажной" форме.
Представляется, что
данное право представляет собой интерес и для российского законодательства,
однако оно в первую очередь направлено на обеспечение конкуренции на рынке
цифровых сервисов, а не на защиту неприкосновенности частной жизни. В этой
связи оно схоже с правом на переносимость абонентского номера и потенциально
более уместно в рамках законодательства о защите прав потребителей и о защите
конкуренции, чем в рамках законодательства о персональных данных. Если данное
право и имеет значение в контексте прав субъекта персональных данных, то только
в качестве некоторого усиления права на доступ к информации об обрабатываемых
данных (ст. 14 Закона о персональных данных).
Возможно, в перспективе
было бы целесообразно рассмотреть вопрос о внесении изменений в Закон о персональных
данных с целью наделения субъекта правом при определенных условиях требовать
копии материалов, содержащих персональные данные о нем. Тем более что
определенный фундамент для имплементации такого права заложен в Пояснительном
протоколе к модернизированной Конвенции N 108. В комментарии к ст. 10(3)
указывается, что "оператором должны быть предусмотрены удобные
инструменты, позволяющие субъектам персональных данных перемещать их данные
другому провайдеру или хранить такие данные самостоятельно (инструменты
переносимости данных)" <1>. Правда, реализация такого права сопряжена
с существенными рисками утечки данных и иных злоупотреблений, особенно в тех
случаях, когда оператор не имел продолжительных и глубоких контактов с
субъектом, позволяющих ему производить его идентификацию более надежными
способами. В этой связи должны быть обеспечены специальные механизмы по
минимизации таких рисков, в том числе посредством наделения оператора
возможностью приостановить реализацию данного права при возникновении сомнений
в личности субъекта, а также предоставления ему более широких прав по верификации
личности заявителя, чем те, которые в настоящее время предусмотрены в ст. 14
Закона о персональных данных.
--------------------------------
<1> См.:
Explanatory Report to the Additional Protocol to the Convention for the
Protection of Individuals with regard to Automatic Processing of Personal Data.
P. 25.
Статья 15. Права субъектов
персональных данных при обработке их персональных данных в целях продвижения
товаров, работ, услуг на рынке, а также в целях политической агитации
Комментарий к статье 15
1. Комментируемая статья устанавливает
специальное основание для обработки персональных данных для маркетинговых целей
и целей политической агитации, если такая обработка предполагает
непосредственный контакт с субъектом данных посредством средств связи
("прямой маркетинг"). Такая обработка будет законной, только если она
сопровождается предварительным получением согласия от субъекта, которое должно
соответствовать требованиям ст. 9 Закона о персональных данных. При этом данная
статья не устанавливает обязательной письменной формы такого согласия.
Согласие, указанное в
комментируемой статье, может быть получено оператором, к примеру, при
оформлении скидочной карты в торговой точке, в самом договоре, в личном
кабинете онлайн-магазина. Главное, чтобы оператор имел возможность впоследствии
доказать факт его предоставления, в том числе для целей соблюдения
законодательства о рекламе (см. далее). При этом безотносительно к форме его
предоставления комментируемая статья устанавливает право субъекта на
безусловный отзыв такого согласия. Тем самым право субъекта персональных
данных, предусмотренное комментируемой статьей, является абсолютным в том
смысле, что не предполагает каких-либо исключений. Положения договора об отказе
субъекта от реализации указанного права будут противоречить положениям данной статьи
и ст. 16 Закона о защите прав потребителей, в связи с чем будут являться
недействительными (Апелляционное определение Новосибирского областного суда от
20 марта 2018 г. по делу N 33-2679/2018).
Если дача такого
согласия сопровождалась получением субъектом персональных данных определенной
выгоды, например скидки на приобретение товара (услуги) или доступа к
соответствующему сервису, отзыв такого согласия может служить основанием для
встречных действий по отзыву такой выгоды оператором. В частности, соглашение о
порядке участия в программе лояльности или соглашение о порядке использования
сервиса может предусматривать в качестве основания для одностороннего его
расторжения оператором отзыв субъектом согласия на обработку своих персональных
данных определенными способами. Гражданское законодательство это допускает (п.
1 ст. 450.1 ГК РФ), а Закон о персональных данных не запрещает. Главное, чтобы
согласие было информированным, конкретным и сознательным, в том числе в части
возможных последствий его последующего отзыва.
2. Положения комментируемой
статьи о необходимости получения предварительного согласия субъекта на
обработку персональных данных в целях продвижения товаров, работ, услуг на
рынке путем осуществления прямых контактов с потенциальным потребителем с
помощью средств связи, а также в целях политической агитации являются
специальными по отношению ко всем иным основаниям для обработки, указанным в ч.
1 ст. 6 и ч. 2 ст. 10 Закона о персональных данных. На это указывают и
категоричная формулировка комментируемой статьи ("только при
условии"), не предусматривающая исключений либо отсылок к указанным
статьям, и положение ч. 2 о безусловной обязанности оператора прекратить
обработку по требованию субъекта персональных данных. Последнее лишалось бы
смысла в случаях, если бы у оператора сохранялась возможность обработки данных
в целях, указанных в данной статье, при наличии иных оснований для обработки,
указанных в ч. 1 ст. 6 или ч. 2 ст. 10 Закона о персональных данных. К
сожалению, на практике встречаются ошибочные решения, игнорирующие буквальное
содержание положений ч. 1 и 2 комментируемой статьи <1>.
--------------------------------
<1> См., например:
Апелляционное определение Московского городского суда от 30 марта 2012 г. по
делу N 11-2145: "Довод апелляционной жалобы истца о том, что суд неверно
применил общую норму о возможности обработки персональных данных, размещенных в
открытом доступе, в то время как должно применяться специальное положение ч. 1
ст. 15 ФЗ N 152-ФЗ "О персональных данных", - направлен на иное
толкование закона и не является основанием к отмене постановленного
решения".
Таким образом, для легитимации
обработки персональных данных в целях прямого маркетинга и политической
агитации неприменимы положения п. 5 ч. 1 ст. 6 о возможности обработки
персональных данных без согласия субъекта в связи с заключением или исполнением
договора, стороной которого он выступает, поскольку действия рекламного
характера не являются безусловно необходимыми для заключения или исполнения
договора. Аналогичным образом не может применяться и п. 7 ч. 1 ст. 6 о возможности
обработки персональных данных без согласия субъекта при наличии у оператора
законного интереса на такую обработку <1>. Сам факт включения в Закон о
персональных данных специальных положений, регламентирующих порядок обработки
данных в маркетинговых целях, свидетельствует об их важности для защиты прав и
свобод граждан, а следовательно, такие права и свободы будут иметь приоритет
перед законным интересом оператора.
--------------------------------
<1> К слову
сказать, в п. 47 Преамбулы GDPR отмечается, что обработка персональных данных в
целях прямого маркетинга может рассматриваться как осуществляемая в законных
интересах оператора персональных данных. Однако в GDPR нет положений, подобных ст.
15 Закона о персональных данных с соответствующими формулировками, поэтому
распространение данного подхода GDPR к российским реалиям по аналогии в данном
случае невозможно.
3. Под действие комментируемой нормы
подпадает любая обработка
персональных данных, осуществляемая для целей продвижения товаров, работ, услуг
на рынке посредством использования средств электронной почты, смс-сообщений,
телефонной связи, почтовой связи и иных средств связи, предполагающих прямой
контакт с субъектом персональных данных. Исходя из буквального толкования ч. 1,
положение об использовании средств связи для осуществления прямых контактов с
потребителем относится именно к способу продвижения товаров (работ) услуг, а не
к способу обработки персональных данных. Из этого можно сделать вывод о том,
что она распространяется не только на действия по пересылке соответствующих
сообщений, но и на все иные виды обработки, связанные с продвижением товаров,
работ, услуг, в частности на сбор, запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение, использование таких
данных. Следовательно, комментируемая норма распространяется и на случаи
обработки персональных данных потенциальных клиентов средствами аналитики
"больших данных", и на деятельность по профайлингу, если впоследствии
на основе результатов такой обработки осуществляется прямой маркетинг. В
частности, данная статья будет применима к маркетингу с использованием разного
рода технических решений семейства Next Best Action ("маркетинг следующего
наилучшего действия"), которые представляют собой инструменты предиктивной
аналитики, позволяющие с учетом множества факторов, характерных для данного
конкретного клиента, определить наиболее эффективное дальнейшее действие или
предложение для него.
Формулировка ст. 15
позволяет распространить ее действие и на случаи размещения на компьютерных
устройствах субъекта персональных данных файлов cookie (небольших текстовых
файлов, которые браузер каждый раз пересылает серверу при попытке открыть
страницу соответствующего сайта, используемых для аутентификации пользователя,
хранения его персональных предпочтений и настроек, отслеживания состояния
сессии доступа пользователя, ведения статистики о пользователях и т.п.), если
они впоследствии используются оператором для целей прямого маркетинга или
политической агитации. В этой части российский подход аналогичен европейскому,
однако в последнем случае соответствующее регулирование прописано в более явной
форме (см. п. 25 Директивы от 12 июля 2002 г. 2002/58/EC (в ред. Директивы
2009/136/EC) об обработке персональных данных и защите информации о частной
жизни в сфере электронных коммуникаций).
4. При обработке
персональных данных для целей продвижения товаров, работ и услуг,
сопровождающейся направлением субъекту информации о них, необходимо также
учитывать положения Федерального закона от 13 марта 2006 г. N 38-ФЗ "О
рекламе" <1> (далее - Закон о рекламе), поскольку такие действия
могут также подпадать под понятие рекламы. В соответствии со ст. 3 указанного
Закона под рекламой понимается "информация, распространенная любым
способом, в любой форме и с использованием любых средств, адресованная
неопределенному кругу лиц и направленная на привлечение внимания к объекту
рекламирования, формирование или поддержание интереса к нему и его продвижение
на рынке". В связи с данной дефиницией может возникнуть вопрос о том,
насколько коммуникация с конкретным субъектом персональных данных подпадает под
критерий адресованности рекламы неопределенному кругу лиц. Согласно
разъяснениям ФАС РФ "под неопределенным кругом лиц понимаются те лица,
которые не могут быть заранее определены в качестве получателя рекламной
информации и конкретной стороны правоотношения, возникающего по поводу
реализации объекта рекламирования. Таким образом, под рекламой понимается
определенная неперсонифицированная информация, направленная на продвижение
определенного объекта рекламирования, даже если она направляется по определенному
адресному списку" (разъяснения Федеральной антимонопольной службы РФ от 14
июня 2012 г. "О порядке применения статьи 18 Федерального закона "О
рекламе"). При этом и ФАС, и суды могут достаточно гибко подойти к
толкованию критерия адресованности неопределенному кругу лиц. В качестве
примера его расширительного толкования можно привести дело, в котором рекламой
было признано направление смс-сообщения в адрес бывшего клиента банка с
обращением к нему по имени, поскольку "лицо, которому направлялись
сообщения по сети электросвязи, входит в неопределенный круг лиц возможного
правоотношения, о которых заранее неизвестно, вступят ли они в конкретные
правоотношения с банком по поводу предлагаемых услуг" (Постановление
Федерального арбитражного суда Северо-Кавказского округа от 25 ноября 2015 г.
по делу N А53-9616/2015). Таким образом, даже адресные уведомления в адрес
субъекта персональных данных, сопровождающиеся продвижением товаров, работ или
услуг, могут быть признаны рекламой. Хотя это не всегда признается судами, в
частности применительно к счетам за электроэнергию с напечатанными на счете или
вложенными в него на отдельных листах материалами рекламного характера
(Апелляционное определение Московского городского суда от 14 октября 2019 г. по
делу N 33-45968/2019).
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
5. В соответствии со ст. 18 Закона о
рекламе распространение рекламы по сетям электросвязи, в том числе сети
Интернет, допускается только при условии предварительного согласия абонента или
адресата на получение рекламы. Под абонентом или адресатом надлежит понимать
лицо, на чей адрес электронной почты или телефон поступило соответствующее
рекламное сообщение (Постановление Пленума ВАС РФ от 8 октября 2012 г. N 58
"О некоторых вопросах практики применения арбитражными судами Федерального
закона "О рекламе" (п. 15)"). Таким образом, направление
сообщения рекламного характера в отсутствие предварительного согласия абонента
образует состав административного правонарушения по ст. 13.11 КоАП РФ
(нарушение законодательства о персональных данных) и ст. 14.3 КоАП РФ
(нарушение законодательства о рекламе). При этом возможность квалификации
данных отношений в контексте законодательства о персональных данных дает
возможность субъекту требовать возмещения морального вреда от лиц,
осуществлявших рассылку объявлений рекламного характера без его согласия. В
практике встречаются успешные примеры реализации данного права. В частности,
когда на домашний адрес истца по почте приходили уведомления и иные сообщения,
отправителями которых значатся различные юридические и физические лица, в
которых истец извещается о выигрыше денежных призов, а также о предложении
товаров и услуг, в которых он не нуждается (Апелляционное определение
Московского городского суда от 28 сентября 2018 г. по делу N 33-34238/2018),
либо же при получении смс-сообщений рекламного характера от отправителя, у
которого отсутствовало право на обработку персональных данных истца, включающих
номер его телефона (Апелляционное определение Алтайского краевого суда от 27
мая 2020 г. по делу N 33-2930/2020).
6. Комментируемая статья
распространяется и на обработку персональных данных для целей осуществления
политической агитации, главной разновидностью которой является предвыборная
агитация - деятельность, осуществляемая в период избирательной кампании и
имеющая целью побудить или побуждающая избирателей к голосованию за кандидата,
кандидатов, список, списки кандидатов или против него (них) (п. 4 ст. 3
Федерального закона от 12 июня 2002 г. N 67-ФЗ "Об основных гарантиях
избирательных прав и права на участие в референдуме граждан Российской
Федерации" <1>). Комментируемая статья применима к таким способам
агитации, как направление агитационных материалов по почте, агитация по
телефону. Кроме того, поскольку она касается любых способов обработки
персональных данных для указанных целей, она также применима и к таким
инновационным способам агитации, которые были использованы во время референдума
Brexit и президентских выборов США 2016 г., как создание и распространение
таргетированного контента в социальных сетях по результатам анализа
деятельности пользователей средствами аналитики "больших данных"
(преимущественно анализируются "лайки" и перепосты, а также данные,
оставляемые по результатам разного рода тестов на IQ и т.п., наводнивших
социальные сети) <2>.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
<2> См.:
Grassegger Hannes, Mikael Krogerus. The Data That Turned the World Upside Down.
28 January 2017. URL:
https://motherboard.vice.com/en_us/article/how-our-likes-helped-trump-win.
В исследованиях отмечается, что при
использовании новых технологий выборы могут быть выиграны не теми кандидатами,
у которых есть соответствующие политические аргументы, привлекающие
избирателей, а теми, кто использует наиболее эффективные технологии для
манипулирования их мнением, в том числе на эмоциональном и иррациональном
уровнях <1>. Причем именно коммерческие компании, главным образом
информационно-коммуникационные сервисы, являются либо основным поставщиком
данных, которые могут быть использованы для манипулирования политическими
взглядами граждан, либо проводником такой манипуляции.
--------------------------------
<1> См.:
Algorithms and Human Rights. Study on the Human Rights Dimensions of Automated
Data Processing Techniques and Possible Regulatory Implications. Council of
Europe Study. DGI (2017) 12. P. 31.
Однако практическая реализация
субъектом прав, предусмотренных в настоящей статье, применительно к таким видам
агитации крайне затруднительна в силу незаметности для субъекта персональных
данных. В отличие от случаев получения прямолинейных агитационных материалов
выявить факт агитации в общем массиве информации, который предоставляется
субъекту в социальных сетях, практически невозможно. Тенденциозный материал
воздействует продолжительно и постепенно, а не одномоментно, что затрудняет
вычленение соответствующей информации для последующего обращения в
уполномоченные органы за защитой прав. Особенно сложно найти конкретное лицо,
которое выступает оператором в данном случае и обязанным лицом в части
исполнения обязанностей, предусмотренных в настоящей статье. В этой связи
положения комментируемой статьи о правах субъекта применительно к политической
агитации носят в большинстве своем декларативный характер.
Статья 16. Права субъектов
персональных данных при принятии решений на основании исключительно автоматизированной
обработки их персональных данных
1. Комментируемая статья устанавливает
право субъекта персональных данных не быть подвергнутым процессу принятия в
отношении него юридически значимого решения исключительно автоматизированным
способом, если такая возможность не предусмотрена законом. Данное положение
было заимствовано из ст. 15 Директивы 1995 г., которая предусматривала
обязательство стран - членов ЕС предоставить каждому лицу в своем национальном
законодательстве право не подвергаться воздействию решения, порождающего
юридические последствия в отношении него или существенно воздействующего на
него и основанного исключительно на автоматической обработке данных,
предназначенной для оценки его личных качеств, таких как выполнение им своей
трудовой функции, кредитоспособность, надежность, поведение и т.п. В свою
очередь, при создании данных положений Директивы в качестве источника
вдохновения использовались нормы французского закона 1978 г. "Об обработке
данных, файлов и цифровых свободах" <1>, запрещающего принятие
решений в судебной, административной или частной сферах, если такие решения
были основаны исключительно на основании автоматизированной обработки данных,
определявшей личностные черты субъекта <2>.
--------------------------------
<1> См.: Loi no.
78 - 17 du 6. janvier 1978 relative a' l'informatique, aux fichiers et aux
liberte's.
<2> См.: The EU
General Data Protection Regulation (GDPR): A Commentary / ed. by Christopher
Kuner, Lee Bygrave and Christopher Docksey. P. 528.
Данные положения во многом опередили
свое время и практически не применялись на практике <1>. Однако это не
помешало им стать частью ключевых современных актов европейского и
международного права, посвященных персональным данным, найдя свое отражение в ст.
22 GDPR и ст. 9 модернизированной Конвенции N 108. Представляется, что именно
сейчас, в период развития технологий искусственного интеллекта и "больших
данных", указанные положения приобрели особую востребованность для защиты
прав субъектов персональных данных.
--------------------------------
<1> Idem. P. 527.
2. Одним из ключевых рисков, связанных
с использованием исключительно автоматизированной обработки для целей принятия
юридически значимых решений с использованием решений, основанных на аналитике
данных и алгоритмах искусственного интеллекта (далее - АПР, алгоритмическое
принятие решений), является возможная дискриминация субъекта. Дискриминация
представляет собой умаление прав физического лица, основанное на каком-либо
признаке (пол, раса, национальность, политические взгляды, проживание на
определенной территории, наличие или отсутствие профиля в сети Интернет и его
содержимое, использование устройств определенных производителей и т.п.).
Практически все системы АПР имеют в своей основе профайлинг, сортируя людей по
неким критериям <1>, и, как следствие, подвержены повышенным рискам
дискриминации. Это подчеркивается во множестве отчетов, подготовленных авторитетными
зарубежными организациями как в США, так и в Европе <2>. В Резолюции
Совета ООН по правам человека, принятой в 2017 г., выражена обеспокоенность
тем, что "автоматизированная обработка личных данных... может приводить к
дискриминации или принятию решений, которые могут иным образом негативно
повлиять на осуществление прав человека, включая экономические, социальные и
культурные права" <3>.
--------------------------------
<1> Наиболее
полное и точное определение профайлинга в настоящее время содержится в ст. 4
GDPR, где он определен как "действия по использованию персональных данных
для автоматизированной оценки определенных личных характеристик субъектов персональных
данных, в частности, для анализа или прогнозирования поведения такого лица при
исполнении им трудовых или служебных обязанностей, его экономического
положения, состояния здоровья, личных предпочтений или интересов,
платежеспособности, поведения, местонахождения или перемещений".
<2> См.: Big Data:
Seizing Opportunities, Preserving Values. Executive Office of the President.
White House, Washington, 2014. P. 45; Statement on Artificial Intelligence,
Robotics and "Autonomous" Systems. European Group on Ethics in
Science and New Technologies, 2018. P. 9 - 10.
<3> См.: UN Human
Rights Council Resolution on the Right to Privacy in the Digital Age. UN Doc.
No. A/HRC/34/7, 23 March 2017.
Дискриминационные начала могут
появиться в алгоритмах обработки данных, выступающих ядром систем АПР, в силу
двух основных причин:
1) наличия предубеждений у разработчиков алгоритма, которые они намеренно
или бессознательно перенесли в его архитектуру. Например, если разработчик
считает лицо кавказской или еврейской национальности заведомо более ущербным,
чем представителей той нации, к которой он сам относится, то это может найти
отражение в логике разрабатываемого им алгоритма. Аналогичным образом опыт
позитивного или негативного взаимодействия разработчика алгоритма с
представителями определенной социальной группы может стать причиной обобщающих
выводов, не имеющих под собой достаточной эмпирической основы, которые
сознательно или бессознательно вносятся разработчиком в архитектуру алгоритма.
В некоторых случаях дискриминация отдельных групп граждан может приобретать и
вполне намеренный характер, например, дискриминация в отношении беременных
женщин или женщин с малолетними детьми при разработке алгоритмов для отбора
кандидатов на работу;
2) некачественных или неполных входных данных. Качество аналитики
данных и ее использования в АПР сильно зависит от качества самих входных
данных. В этой связи в среде специалистов по анализу данных давно уже устоялся термин
garbage in - garbage out ("мусор на входе - мусор на выходе"). Можно
привести много примеров, когда некачественные или неполные входные данные
влекут дискриминационные по своему характеру решения. Например, при
использовании в качестве обучающих данных для системы рекрутинга исторических
сведений о работниках организации, среди которых преобладают мужчины <1>.
Как следствие, такая система начнет отдавать предпочтение кандидатам на работу
мужского пола. Иногда дискриминационные начала могут появляться уже на этапе
сбора данных. Так, недоступность или малочисленность данных об определенных
категориях лиц (например, проживающих в сельской местности, национальных
меньшинствах) приводят к тому, что такие лица игнорируются или принижаются по
сравнению с лицами, в отношении которых существует гораздо больше данных (это,
как правило, лица, которые больше пользуются гаджетами и современными
информационными сервисами и оставляют гораздо более обширный цифровой след).
Такого рода дефекты входных данных по мере принятия все большего количества
решений на их основе, которые, в свою очередь, станут входными (обучающими)
данными для будущих ситуаций, способствуют увековечиванию дискриминационных
начал и диктатуре данных большинства над меньшинством. Учитывая, что многие
операторы АПР используют данные, предоставляемые третьими лицами, вопрос о
качестве и полноте таких данных приобретает особую актуальность, равно как и
эффективность реализации предоставленных субъектам прав по уточнению и удалению
своих данных (см. комментарий к ст. 14 Закона).
--------------------------------
<1> См.: Borgesius
F. Discrimination, artificial intelligence, and algorithmic decision-making.
Counsel of Europe Report. 2018. P. 11.
3. Дискриминационные начала при использовании
АПР наиболее ярко проявляются в различного рода скоринговых системах, которые
все чаще используются для замены человеческого опыта и суждений и основаны на
создании производных данных в виде оценки субъекта, полученной по результатам
автоматизированной обработки его персональных данных. Такие скоринговые системы
используются в различных сферах: в правоохранительной сфере (прогнозирование
возможности совершения преступлений определенными лицами), трудоустройстве
(оценка степени соответствия кандидата требованиям работодателя), ценовой
дискриминации (установление различных цен на товар или услугу для лица в
зависимости от его местожительства, национальности, пола и пр. факторов),
оценки платежеспособности (кредитный рейтинг лица, все чаще определяемый не
только на основе его платежной дисциплины, но и иных факторов, вроде истории
покупок, поисковых запросов, посещенных веб-сайтов, используемого оборудования
для доступа к сети Интернет и др. подобных факторов <1>).
--------------------------------
<1> См.: Boot
Arnoud, Hoffmann Peter et al. What is Really New in Fintech? // IMFBlog, 17
December 2020. URL:
https://blogs.imf.org/2020/12/17/what-is-really-new-in-fintech/?fbclid=IwAR13HSRb4-iLWufl60wnj_nP3ji1uR0-R8AlyD_qzTjr8REFCyERfS_X-o8.
Таким образом, дискриминационные
начала, проявляющиеся при функционировании АПР, могут негативным образом влиять
на целую плеяду фундаментальных прав личности, а также стать причиной травли
гражданина по причине наличия у него определенных характеристик, выявленных по
результатам алгоритмической обработки данных (например, определенных
заболеваний, политических или религиозных убеждений и пр.). Указанный риск
особенно актуален вследствие функционирования большинства систем АПР на основе
принципа "черного ящика", усиленного его защитой от внешнего
независимого анализа законодательством об интеллектуальной собственности
<1>. Кроме того, как отмечает Европейская Комиссия в пояснительных
комментариях к положениям ст. 22 GDPR, в большинстве своем аналогичной по
содержанию ст. 16 Закона о персональных данных, "использование для
принятия решений продвинутого программного обеспечения и экспертных систем,
внешне обладающих признаками объективности и обоснованности, приводит к тому,
что люди, ответственные за принятие решений, начинают слишком полагаться на
выдаваемые ими результаты, снимая тем самым с себя ответственность"
<2>.
--------------------------------
<1> См.: Pasquale
F. The Black Box Society: The Secret Algorithms That Control Money and
Information. Harvard University Press, 2015; Krakovsky M. Finally a Peek Inside
the 'Black Box' of Machine Learning Systems. URL:
https://engineering.stanford.edu/magazine/article/finally-peek-inside-black-box-machine-learning-systems.
<2> См.:
Explanatory text for Proposal for a Council Directive concerning the protection
of individuals in relation to the processing of personal data, COM(90) 314
final - SYN 287. P. 26.
АПР может использоваться в качестве
инструмента государственного управления на основе аналитики данных. Такого рода
система имплементируется в Китае с 2014 г. в виде так называемой системы
социального рейтинга лица <1>. Каждый китайский гражданин обладает
стартовым рейтингом в 1 000 баллов, дальнейший размер которого определяется его
повседневными действиями. Например, негативное влияние на его социальный
рейтинг будет иметь финансовая недобросовестность (несвоевременная уплата
налогов, коммунальных платежей, платежей по кредитам); социальная
недобросовестность (распространение слухов посредством сети Интернет,
нерегулярное посещение престарелых родителей, использование "читинга"
в онлайн-играх и др.); нарушение публичного порядка (правил дорожного движения,
совершение иных правонарушений, использование чужих документов, участие в
протестах против власти и пр.) <2>. Положительное влияние на социальный
рейтинг имеет донорство крови, благотворительность, волонтерство, совершение
героического поступка и др. Полученный в результате анализа данных факторов
рейтинг будет влиять на социальный статус гражданина: возможность его
трудоустройства, получения образования, кредита, посещения определенных
публичных мест вроде театров или кинотеатров, возможность приобретения билетов
на самолет, аренды транспортных средств без внесения депозита, использования
приложений для знакомств и другие права.
--------------------------------
<1> С текстом
программы социального рейтинга, ее целями, этапами имплементации и параметрами
можно ознакомиться в Концепции плана построения системы социального рейтинга,
утв. Постановлением Государственного совета КНР N 21 (000014349/2014-00072) от
27 июня 2014 г., по ссылке: http://www.gov.cn/zhengce/content/2014-06/27/content_8913.htm?fbclid=IwAR3M-qvEbmoFFE6r5r25VFr6Xgf301J9PfT6iuUzrhxd6HNdbteY8SEUiXw.
<2> В общем виде
получить представление о механизме данной системы можно получить из данной
схемы: https://historyinfographics.com/wp-content/uploads/2020/07/china-social-credit-system-infographic-1086x1536.jpg?fbclid=IwAR2iejP1UCYMznNXrufS-zMoUmsnhaWn5IoKElZ9M98umpHMoCy4P4HIixI.
Очевидно, что подобная система может
успешно функционировать лишь при совокупности определенных условий, в числе
которых не только оцифровка практически всех аспектов повседневной жизни
гражданина с налаженным информационным обменом между источниками данных и
единым центром их обработки, но и доверие граждан к ней. Это, в свою очередь,
предполагает наличие эффективных механизмов корректировки данных с целью
обеспечения их качества; высокая степень защищенности такой системы от утечек и
взломов. Насколько работоспособной окажется китайская система социального
рейтинга, покажет время, но в российских реалиях начинать необходимо с малого -
с обеспечения доверия граждан к новым технологиям и системам АПР, построенным
на них. Некоторая степень минимизации рисков дискриминации может быть
достигнута посредством использования специальных технологий <1>. Но без определенного
уровня правовых гарантий, направленных на повышение прозрачности
функционирования таких систем и на запрет их бесконтрольного использования в
чувствительных для граждан областях, в данном случае также не обойтись. И
положения ст. 16 Закона о персональных данных являются одной из
немногочисленных норм в законодательстве РФ, которая может способствовать
данным целям.
--------------------------------
<1> Например,
компания IBM анонсировала платформу AI OpenScale, способную объяснять
пользователям, каким образом модели, основанные на искусственном интеллекте,
приходят к своим выводам, и выявлять предвзятость в решениях, принимаемых ими.
См.: http://www.tadviser.ru/index.php/Продукт:IBM_AI_OpenScale;
https://mediacenter.ibm.com/media/1_1shu3261.
4. Применение положений комментируемой
статьи обусловлено одновременным наличием следующих условий:
1) обработка связана с
принятием некоего решения. Закон о персональных данных не содержит специальной
дефиниции понятия "решение", в связи с чем допустимо его толкование в
общеупотребительном смысле, который находит свое отражение в толковых словарях
русского языка. Согласно содержащемуся в них толкованию под решением понимается
"заключение, вывод из чего-н." <1>, "сформулированное окончательное
суждение по какому-либо вопросу" <2>. Иными словами, под решением
понимается некий вывод или суждение по определенному вопросу, которые могут
служить руководством к действию. В этой связи нет оснований для
ограничительного толкования понятия "решения", рассматривая его
исключительно как некий распорядительный акт, оформленный с соблюдением
различного рода формальностей. Под решением для целей применения ст. 16 Закона
о персональных данных может рассматриваться вывод алгоритма о
неплатежеспособности лица, его склонности к совершению правонарушения,
аффилированности с другим лицом и т.п. Аналогичный подход разделяется и
европейскими экспертами применительно к GDPR, который также оперирует понятием
"решение" (decision) <3>;
2) такое решение
порождает юридические последствия в отношении субъекта персональных данных или
иным образом затрагивает его права и законные интересы. В данном случае речь
идет не только о достаточно очевидных примерах решений, имеющих юридические
последствия, вроде решений о привлечении лица к административной
ответственности, отказе в заключении трудового или кредитного договоров, но и о
иных решениях, которые могут иметь негативное влияние на благополучие человека,
например отнесение его алгоритмом к определенной социальной группе, по
отношению к которой впоследствии реализуются дискриминационные практики
("оппозиционеры", "социально неблагополучные слои
населения" и пр.). Таргетированная реклама, по общему правилу, не
относится к решениям, которые влекут юридические последствия или иным образом
затрагивают права и законные интересы субъекта персональных данных;
3) такое решение
принимается исключительно на основании автоматизированной обработки
персональных данных. Формальное включение в процесс принятия или одобрения
решения человека, выполняющего сугубо номинальную роль оформления или
коммуницирования принятого в рамках АПР решения, не должно влечь невозможность
квалификации такого решения как принятого в исключительно автоматизированном
порядке.
--------------------------------
<1> Ожегов С.И.,
Шведова Н.Ю. Толковый словарь русского языка. М., 1996. URL:
https://slovarozhegova.ru/word.php?wordid=27094.
<2> Толковый
словарь русского языка / сост. Д.В. Дмитриев. 2003. URL:
http://rus-yaz.niv.ru/doc/dictionary-dmitriev/fc/slovar-208-8.htm#zag-4648.
<3> См.: The EU
General Data Protection Regulation (GDPR): A Commentary / ed. by Christopher
Kuner, Lee Bygrave and Christopher Docksey. P. 532.
5. Следует отметить, что формулировка ч.
1 статьи является не самой удачной в силу своей широты. Формально под нее могут
подпасть и ситуации заключения и исполнения договора в онлайн-среде в полностью
автоматизированном режиме, например при размещении заказа на приобретение цифрового
контента, который становится доступным для загрузки по факту оплаты. Действия
онлайн-магазина по заключению договора можно отнести к категории решений,
имеющих юридические последствия для субъекта персональных данных. Они
совершаются без участия человека. Представляется, что для столь расширительного
толкования положений комментируемой статьи нет оснований: все юридически
значимые решения принимаются с непосредственным участием субъекта персональных
данных, их содержание прозрачно и они требуют подтверждения его
волеизъявлением. Содержание договорных условий и предоставляемой потребителю
информации регламентируется законодательством о защите прав потребителей.
6. Комментируемая статья
не содержит абсолютного запрета на использование инструментов
автоматизированной обработки персональных данных для целей принятия юридически
значимых решений в отношении субъекта, однако предъявляет ряд условий к ним,
указанных в ч. 2 - 4 данной статьи:
1) наличие письменного согласия субъекта.
Поскольку принятие юридически значимого решения на основании автоматизированной
обработки персональных данных является частным случаем обработки таких данных,
то в данном случае речь идет именно о согласии субъекта на определенный вид
обработки его данных, в связи с чем к нему применимы нормы ст. 9 (см. комментарий
к ней);
2) дополнительные информационные обязанности
оператора, выражающиеся в его обязанности предоставить субъекту разъяснения
относительно порядка принятия такого решения и возможных юридических
последствий такого решения. Очевидно, что данное требование не предполагает
предоставления субъекту детальных сведений о технических деталях
функционирования системы АПР и ее алгоритмов, поскольку они представляют собой
интеллектуальную собственность оператора (ее правовой статус может зависеть от
политики оператора, например, она может охраняться как программа для ЭВМ и
(или) ноу-хау). Однако субъекту должны быть сообщены персональные данные,
которые обрабатываются при принятии решения, и их источник, например, факт
использования сведений о субъекте, доступных в социальных сетях. Без указанных
сведений вряд ли можно говорить о возможности принятия информированного
решения;
3)
оператор должен также предоставить
субъекту возможность заявить возражение в отношении решения, принятого по
результатам такой обработки. Такое возражение должно быть рассмотрено
оператором в течение 30 календарных дней с момента его поступления (до поправок
2011 г. этот срок составлял 7 рабочих дней). Процедуру и порядок предъявления
такого возражения оператор устанавливает самостоятельно;
4)
оператор должен разъяснить субъекту
порядок защиты своих прав и законных интересов. Закон не конкретизирует, о
каких именно правах и законных интересах идет речь. Нахождение данного положения
в составе нормы ч. 3 комментируемой статьи дает основание для вывода о том, что
речь идет о тех правах, которые касаются именно принятия юридически значимых
решений по результатам исключительно автоматизированной обработки персональных
данных. В частности, данный порядок защиты предполагает уведомление субъекта о
его праве требовать вмешательства человека в процесс принятия решения, которое
является неотъемлемой частью права на предоставление возражений, указанное в п.
3 выше.
Представляется, что требования
2 и 4 могут быть выполнены посредством включения соответствующих положений в тексты
типовых документов, которые подписывает субъект при инициировании процесса
принятия решения (заявка на выдачу кредита) или с которыми он проходит
ознакомление при этом (правила подачи и обработки резюме, правила внутреннего
трудового распорядка и т.п.). Согласие, указанное в пункте 1 выше, может быть
включено в качестве составной части подписываемого документа, например условия
договора (Апелляционное определение Оренбургского областного суда от 28 октября
2015 г. по делу N 33-7486/2015). Однако для того, чтобы оператору было легче
обосновывать информированный и сознательный характер такого согласия,
целесообразно его отграничить от иных положений и сопроводить отдельным местом
для подписи субъекта. При этом указанный документ должен содержать сведения,
указанные в ч. 4 ст. 9 Закона о персональных данных.
7. Принятие юридически
значимых решений в отношении субъекта исключительно на основании
автоматизированной обработки его персональных данных может осуществляться на
основании федерального закона. Региональные законы не могут являться основанием
для принятия юридически значимых решений в отношении граждан на основании
исключительно автоматизированной обработки их персональных данных. В качестве
примера можно привести специальные технические средства фиксации
административных правонарушений, работающие в автоматическом режиме и имеющие
функции фото- и киносъемки, видеозаписи, или средства фото- и киносъемки,
видеозаписи. Данные, полученные и обработанные такими устройствами, являются
основанием для привлечения лица к административной ответственности.
Одним из требований,
предъявляемых ст. 16 Закона о персональных данных к федеральному закону,
который предусматривает возможность принятия юридически значимых решений в
отношении лица, является необходимость указания в таком законе конкретных мер
по обеспечению соблюдения прав и законных интересов субъекта персональных
данных, которые должны быть обеспечены таким федеральным законом. Применительно
к приведенному ранее примеру с привлечением к административной ответственности
такие меры предусмотрены КоАП РФ в нормах о порядке производства по делам об
административных правонарушениях и порядке пересмотра постановлений и решений
по ним.
8. Положения ст. 22 GDPR
предусматривают ряд отличий от подхода, закрепленного в комментируемой статье
Закона о персональных данных.
Во-первых, к числу
допустимых исключений из общего запрета на принятие юридически значимых решений
исключительно на основании автоматизированной обработки персональных данных
помимо указаний закона и согласия субъекта отнесено также такое основание, как
необходимость такой обработки для целей заключения или исполнения договора,
стороной которого является субъект (ст. 22(2)(а)). Бремя доказывания такой
необходимости возлагается на оператора, при этом обычной ссылки на стандартные
условия будет явно недостаточно для доказывания указанного факта <1>.
--------------------------------
<1> См.: The EU
General Data Protection Regulation (GDPR): A Commentary / ed. by Christopher
Kuner, Lee Bygrave and Christopher Docksey. P. 536.
Во-вторых, GDPR содержит запрет на
принятие значимых решений в отношении индивида исключительно на основании
автоматизированной обработки данных, если такие данные могут быть отнесены к
категории чувствительных (данные о состоянии здоровья, политических,
религиозных убеждениях, сексуальной ориентации и пр.). Исключениями являются
случаи, когда субъект дал явное согласие на такую обработку или имеет место
существенный публичный интерес для такой обработки, и при условии, что оператор
предпринял достаточные меры защиты прав и законных интересов субъекта (ст.
22(4) GDPR).
В-третьих, Преамбула
GDPR также содержит положение о недопустимости использования профайлинга для
целей принятия юридически значимых решений в отношении детей (п. 71). Как
отмечается, несмотря на то что положения Преамбулы GDPR не имеют юридической
силы сами по себе, они играют большую роль при толковании положений GDPR,
соответственно, в случае с нормами ст. 22 о профайлинге данное ограничение
будет способствовать жесткому подходу регуляторов при оценке практик
профайлинга в отношении несовершеннолетних <1>.
--------------------------------
<1> См.: Bygrave
L., Mendoza I. The Right Not to be Subject to Automated Decisions Based on
Profiling // EU Internet Law: Regulation and Enforcement. Springer, 2017. P.
85.
В-четвертых, GDPR требует от оператора
предоставления более детальной информации, в число которой входит
предоставление субъекту "понятной информации о логике принятия
решений", что предполагает больше конкретики по сравнению с российским
подходом, требующим предоставления информации "о порядке принятия
решений", что потенциально дает возможность оператору ограничиваться
достаточно абстрактной информацией о системе АПР.
Статья 17. Право на
обжалование действий или бездействия оператора
1. В тех случаях, когда оператор
персональных данных осуществляет обработку персональных данных с нарушением
какого-либо положения Закона о персональных данных, субъект вправе обратиться с
жалобой в Роскомнадзор или в суд. При этом для такого обращения достаточно
субъективного мнения лица о наличии факта нарушения. Насколько оно
соответствует объективным данным, должен выяснить Роскомнадзор или суд в
соответствии с установленной процедурой. При этом именно субъект персональных
данных решает, куда ему обратиться с жалобой: в Роскомнадзор или в суд.
Законодательство не устанавливает обязательного досудебного порядка
рассмотрения подобного рода споров. Тем не менее, как показывает практика,
обращение в Роскомнадзор может быть эффективнее в силу ряда факторов:
1) данный орган
специализируется на рассмотрении подобного рода вопросов, поэтому обладает
более детальными знаниями законодательства о персональных данных, в отличие от
суда, для которого Закон о персональных данных - лишь один из многих и далеко
не самый распространенный в общей массе тех норм, которые судья обычно
применяет в своей повседневной деятельности. Судья, перегруженный множеством
дел и процессов, вряд ли будет детально разбираться в хитросплетениях
толкования Закона о персональных данных;
2) судебные процессы
занимают больше времени на рассмотрение (в среднем - несколько месяцев) и могут
быть сопряжены с дополнительными тратами на профессиональное представительство
(составление процессуальных документов, участие в процессе и т.п.).
Рассмотрение обращений граждан в административном порядке осуществляется более
оперативно (как правило, в течение месяца) и на бесплатной основе;
3) у Роскомнадзора есть
эффективный арсенал способов воздействия на недобросовестных операторов,
начиная от проведения проверок различных видов с выдачей предписаний об
устранении нарушений и заканчивая возможностью привлечения к административной
ответственности и инициирования вопросов о блокировке интернет-ресурса
недобросовестного оператора (см. комментарий к ст. 23 Закона). Суд может
обязать оператора совершить определенное действие (например, предоставить
информацию), в единичных случаях взыскать убытки или моральный вред в
символическом размере, но все это сопряжено с необходимостью инициирования
исполнительного производства, что также требует дополнительного времени и
средств.
Таким образом, в
российских реалиях судебная защита прав субъектов персональных данных имеет,
скорее, формальный характер. Доступные материалы судебной практики по спорам о
защите прав субъектов персональных данных демонстрируют, что в подавляющем
большинстве случаев суды отказывают в удовлетворении соответствующих требований
либо по формальным основаниям (например, по причине недоказанности
соответствующих фактов истцом), либо вследствие неправильного применения закона
(игнорирования отдельных его положений, отсутствия системного подхода к его
толкованию, неприменения норм о принципах обработки персональных данных и
т.п.). Вряд ли данная ситуация изменится в ближайшее время. Существенно
улучшить положение дел могло бы создание специализированного суда с возможностью
рассмотрения споров с применением технологий видеосвязи и иных информационных
технологий. При этом доступность решений такого суда для ознакомления всеми
заинтересованными лицами позволила бы обеспечить прозрачность и единообразие в
правоприменительной практике, которые крайне востребованы в условиях широких
формулировок и обильного количества оценочных норм Закона о персональных
данных.
2. Защита нарушенных
прав субъектов персональных данных в административном порядке регламентируется
Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения
обращений граждан Российской Федерации" <1>.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
Основным юридическим фактом,
инициирующим процесс защиты субъектом своих нарушенных прав в административном
порядке, является подача жалобы, выступающей одной из форм обращения гражданина
в государственные органы. Письменная жалоба подается в территориальное
управление Роскомнадзора по месту жительства субъекта, с перечнем которых можно
ознакомиться на веб-сайте Роскомнадзора <1>. Жалоба составляется в
свободной форме, при этом в ней должны быть указаны следующие сведения:
- Ф.И.О. гражданина,
почтовый адрес или адрес электронной почты, по которому должен быть направлен
ответ или уведомление о переадресации обращения. Анонимные обращения по общему
правилу не рассматриваются;
- наименование
Роскомнадзора, либо фамилия, имя, отчество соответствующего должностного лица,
либо должность соответствующего лица;
- суть жалобы. При этом
желательно указать точное наименование оператора, о каких персональных данных
заявителя идет речь, в чем именно заключается суть нарушения, сведения о фактах
обращения субъекта к оператору об устранении таких нарушений и любые иные
обстоятельства, которые имеют значение для рассмотрения жалобы;
- личная подпись
заявителя и дата.
--------------------------------
<1> https://rkn.gov.ru/about/territorial/
В случае необходимости в подтверждение
своих доводов лицом могут прилагаться документы и материалы либо их копии.
Кроме того, может заявляться просьба об их истребовании у оператора самим
Роскомнадзором.
Жалоба может быть подана
как в письменном виде, так и с помощью сети Интернет, посредством заполнения
специальной формы на веб-сайте Роскомнадзора <1>.
--------------------------------
<1>
https://rkn.gov.ru/treatments/ask-question/
3. В соответствии со ст. 12
Федерального закона от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения
обращений граждан Российской Федерации" жалоба должна быть рассмотрена в
течение 30 календарных дней с момента ее регистрации, которая, в свою очередь,
должна быть осуществлена в течение трех календарных дней с момента поступления
ее в Роскомнадзор. В исключительных случаях срок ее рассмотрения может быть
продлен еще на 30 календарных дней с уведомлением о том заявителя.
Если рассмотрение жалобы
не подпадает под компетенцию Роскомнадзора или его территориального управления,
в который она была направлена, такая жалоба переадресуется им по
подведомственности с уведомлением о том гражданина. При этом законом установлен
запрет направлять жалобу на рассмотрение в государственный орган, орган
местного самоуправления или должностному лицу, решение или действие
(бездействие) которых обжалуется. Например, если субъект обжалует решение или
бездействие должностного лица территориального управления Роскомнадзора в
Центральное управление, то такое обращение не может быть направлено на
рассмотрение обратно тому же самому должностному лицу.
4. Федеральный закон от
2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской
Федерации" в ст. 11 содержит исчерпывающий перечень оснований для отказа в
ответе по существу на обращение (жалобу) гражданина:
1) в обращении не
указаны Ф.И.О. гражданина, направившего обращение, или почтовый адрес, по
которому должен быть направлен ответ. Если в указанном обращении содержатся
сведения о подготавливаемом, совершаемом или совершенном противоправном
действии, а также о лице, его подготавливающем, совершающем или совершившем,
обращение подлежит направлению в государственный орган в соответствии с его
компетенцией;
2) в обращении
обжалуется судебное решение. Поскольку для него процессуальным
законодательством предусмотрен специальный порядок обжалования, обращение в
течение семи дней со дня регистрации возвращается гражданину, направившему
обращение, с разъяснением порядка обжалования данного судебного решения;
3) в обращении
содержатся нецензурные либо оскорбительные выражения, угрозы жизни, здоровью и
имуществу должностного лица, а также членов его семьи. При этом гражданину,
направившему обращение, сообщается о недопустимости злоупотребления правом;
4) текст обращения не
поддается прочтению, о чем в течение семи дней со дня регистрации обращения сообщается
гражданину, направившему обращение, если его фамилия и либо почтовый адрес,
либо адрес электронной почты поддаются прочтению;
5) текст письменного
обращения не позволяет определить суть предложения, заявления или жалобы. При
этом ответ на обращение не дается и оно не подлежит направлению на рассмотрение
в государственный орган, орган местного самоуправления или должностному лицу в
соответствии с их компетенцией, о чем в течение семи дней со дня регистрации
обращения сообщается гражданину, направившему обращение;
6) в обращении
гражданина содержится вопрос, на который Роскомнадзором неоднократно (два и
более раза) давались письменные ответы по существу в связи с ранее
направляемыми обращениями, и при этом в обращении не приводятся новые доводы
или обстоятельства. Должностное лицо Роскомнадзора вправе принять решение о
безосновательности очередного обращения и прекращении переписки с гражданином
по данному вопросу при условии, что указанное обращение и ранее направляемые
обращения направлялись в один и тот же государственный орган, орган местного
самоуправления или одному и тому же должностному лицу. О данном решении
уведомляется гражданин, направивший обращение;
7) ответ на вопрос,
содержащийся в письменном обращении, был ранее размещен на официальном сайте
данных государственного органа или органа местного самоуправления в сети
Интернет. При этом гражданину, направившему обращение, в течение семи дней со
дня регистрации обращения сообщается электронный адрес официального сайта в
сети Интернет, на котором размещен ответ на вопрос, поставленный в обращении;
8) ответ по существу
поставленного в обращении вопроса не может быть дан без разглашения сведений,
составляющих государственную или иную охраняемую федеральным законом тайну.
5. В случае выбора
субъектом персональных данных судебного способа защиты своих прав порядок
обращения и рассмотрения жалобы определяется в соответствии с Гражданским
процессуальным кодексом РФ. Рассмотрение спора осуществляется в исковом
порядке. При этом в качестве суда первой инстанции выступает районный суд по
месту нахождения субъекта персональных данных (ч. 6.1 ст. 29 ГПК РФ). При этом
не исключается возможность использования общего правила подсудности по месту
нахождения ответчика - оператора персональных данных. Выбор в данном случае
принадлежит субъекту персональных данных (ч. 10 ст. 29 ГПК РФ).
Государственная пошлина
при подаче искового заявления о защите персональных данных как иска
неимущественного характера составляет 300 руб. (подп. 3 п. 1 ст. 333.19 НК РФ).
Если в исковое заявление также включено требование о взыскании компенсации
морального вреда, то госпошлина по этому требованию зависит от цены иска (подп.
1 п. 1 ст. 333.19 НК РФ). Согласно п. 1 ч. 1 ст. 91 ГПК РФ цена иска по искам о
взыскании денежных средств определяется исходя из взыскиваемой денежной суммы.
При этом по спорам о защите персональных данных не предусмотрен обязательный
досудебный (претензионный) порядок их разрешения. Таким образом, судья не
вправе вернуть исковое заявление со ссылкой на то, что истцом не был соблюден
установленный федеральным законом досудебный порядок урегулирования спора (п. 1
ч. 1 ст. 135 ГПК РФ).
6. В силу п. 5 ч. 3 ст.
23 Закона о персональных данных Роскомнадзор вправе обращаться в суд с исковыми
заявлениями в защиту прав субъектов персональных данных, в том числе в защиту
прав неопределенного круга лиц, и представлять интересы субъектов персональных
данных в суде. В тех случаях, когда Роскомнадзор действует в интересах
конкретного субъекта персональных данных, чьи права нарушены, Роскомнадзор
выступает в качестве стороны гражданско-правового процесса, и соответствующие
требования подлежат рассмотрению в рамках гражданского судопроизводства, даже
если такие требования сводятся к признанию информации, составляющей
персональные данные субъекта, запрещенной к распространению на территории РФ (Определение
Судебной коллегии по гражданским делам Верховного Суда РФ от 14 июля 2020 г. N
58-КГ20-2).
7. Субъект персональных
данных вправе требовать возмещения убытков или морального вреда. Однако данное
право может быть реализовано лишь в судебном порядке. Роскомнадзор в рамках
рассмотрения жалобы субъекта в административном порядке не имеет права
требовать от оператора уплаты каких-либо сумм в пользу субъекта персональных
данных.
8. В соответствии с п. 2
ст. 15 ГК РФ под убытками понимаются расходы, которые лицо, чье право нарушено,
произвело или должно будет произвести для восстановления нарушенного права,
утрата или повреждение его имущества (реальный ущерб), а также неполученные
доходы, которые это лицо получило бы при обычных условиях гражданского оборота,
если бы его право не было нарушено (упущенная выгода). Поскольку в случае
нарушения оператором права субъекта персональных данных имеют место деликтные
отношения (обязательство из причинения вреда), то для взыскания убытков суд в
соответствии со ст. 1064 ГК РФ должен установить наличие четырех условий
наступления такой ответственности <1>:
1) противоправный
характер поведения оператора, выразившийся в факте нарушения оператором
конкретного, предусмотренного соответствующей статьей Закона о персональных
данных порядка обработки персональных данных субъекта;
2) факт причинения вреда
и размер связанных с ним имущественных потерь, который должен сопровождаться
подтверждающими документами и расчетами;
3) причинно-следственную
связь между фактом нарушения и размером понесенных убытков;
4) вину оператора.
--------------------------------
<1> См.: Определение
Судебной коллегии по гражданским делам Верховного Суда РФ от 4 марта 2014 г. N
16-КГ13-26: "Для возложения на лицо имущественной ответственности за
причиненный вред необходимы наличие таких обстоятельств, как наступление вреда,
противоправность поведения причинителя вреда и его вина, а также
причинно-следственная связь между действиями причинителя вреда и наступившими
неблагоприятными последствиями". См. также: Определение Третьего
кассационного суда общей юрисдикции от 30 октября 2019 г. по делу N
2-1451/2019: "По общему правилу, обязательными условиями наступления
ответственности за причинение вреда (как материального, так и морального вреда)
являются противоправность поведения причинителя вреда, вина и
причинно-следственная связь между названными действиями и причиненным
вредом").
Первые три обстоятельства подлежат
доказыванию истцом, то есть субъектом персональных данных. При этом гражданское
законодательство предусматривает презумпцию вины причинителя вреда: лицо,
причинившее вред, освобождается от обязанности его возмещения, если докажет,
что вред причинен не по его вине (п. 2 ст. 1064 ГК РФ).
Взыскание убытков
достаточно проблематично даже в коммерческих спорах по причине весьма тяжелого
бремени доказывания, возлагаемого на истца по данной категории споров. В случае
с нарушением прав субъектов персональных данных ситуация усугубляется еще и
тем, что в подавляющем большинстве случаев вред не будет иметь явно выраженного
имущественного характера. А в тех случаях, когда и будет (например, когда
оператор неправомерно передал персональные данные недоброжелателю субъекта
персональных данных, который по мотивам личной мести отыскал с их помощью
автомобиль субъекта и исцарапал его), достаточно сложно доказать
причинно-следственную связь между незаконной обработкой персональных данных и
наступившим ущербом. В этой связи более эффективным является использование
другой формы гражданско-правовой ответственности - компенсации морального
вреда.
9. Компенсация
морального вреда осуществляется в случае причинения гражданину физических или
нравственных страданий при нарушении его личных неимущественных прав или в иных
случаях, предусмотренных законом (ст. 151 ГК РФ). При заявлении данного
требования субъект персональных данных обязан доказать:
1) противоправный
характер поведения оператора, выразившийся в факте нарушения оператором
конкретного, предусмотренного соответствующей статьей Закона о персональных
данных порядка обработки персональных данных субъекта. Наличие у оператора
законного основания для обработки персональных данных, например в рамках
данного субъектом согласия, как правило, исключает противоправность обработки и
является основанием для отказа субъекту в удовлетворении его требований;
2) наличие морального
вреда, то есть физических или нравственных страданий;
3) причинно-следственную
связь между нарушением и указанными страданиями.
Моральный вред, в
частности, может заключаться в нравственных переживаниях в связи с
невозможностью продолжать активную общественную жизнь, потерей работы,
раскрытием семейной, врачебной тайны, распространением не соответствующих
действительности сведений, порочащих честь, достоинство или деловую репутацию
гражданина, временным ограничением или лишением каких-либо прав, физической
болью, связанной с повреждением здоровья либо с заболеванием, перенесенным в
результате нравственных страданий, и др. <1>. В судебной практике
применительно к сфере персональных данных наиболее часто рассматриваются
требования о возмещении морального вреда в связи с осуществлением коллекторами
звонков в адрес субъекта с требованием погашения несуществующей задолженности.
Как отметил суд, избыточные и необоснованные звонки на телефонный номер
гражданина с требованием возвратить несуществующие долги посягают на
достоинство человека и являются вмешательством в его частную жизнь, а
требование истца о компенсации морального вреда обосновано в большей степени
нарушением неприкосновенности его частной жизни посредством необоснованных и
назойливых телефонных звонков (Определение Судебной коллегии по гражданским
делам Верховного Суда РФ от 27 февраля 2018 г. N 5-КГ17-256; Апелляционное определение
Московского городского суда от 16 октября 2018 г. <2>).
--------------------------------
<1> См. п. 2
Постановления Пленума Верховного Суда РФ от 20 декабря 1994 г. N 10
"Некоторые вопросы применения законодательства о компенсации морального
вреда".
<2> В СПС
"КонсультантПлюс" данное Определение не сопровождается номером дела.
10. Одних лишь утверждений истца о
причинении ему морального вреда может быть недостаточно для удовлетворения
исковых требований о компенсации морального вреда (Апелляционное определение
Московского городского суда от 22 декабря 2015 г. по делу N 33-48112/2015;
Апелляционное определение Ростовского областного суда от 29 марта 2016 г. по
делу N 33-4913/2016). По возможности, целесообразно указать как можно более
детальное описание того, в чем именно выразились соответствующие страдания, и
приложить какие-либо документальные доказательства, подтверждающие их наличие,
например, справку из медицинского учреждения о прохождении лечения от нервного
расстройства и т.п. При этом, по мнению некоторых судов, одного только факта
наличия таких расходов недостаточно, необходимо также продемонстрировать
причинно-следственную связь между противоправным поведением оператора и
расходами на такое лечение (Апелляционное определение Санкт-Петербургского
городского суда от 26 марта 2019 г. по делу N 2-4433/2018). В некоторых
ситуациях достаточно было устных пояснений истца, что "постоянные звонки о
наличии задолженности в течение трех месяцев вызывали у него душевное волнение,
"все валилось из рук", вызвали необходимость обращения в прокуратуру
и Центральный банк России для защиты своих прав" (Апелляционное определение
Свердловского областного суда от 29 августа 2017 г. по делу N 33-14806/2017).
Вместе с тем нельзя не
признать, что в сфере персональных данных наличие такого рода документально
подтвержденных расходов на лечение, равно как иных документов, подтверждающих
факт наличия страданий, является определенной экзотикой. Это признают и суды,
нередко считая факт их наличия доказанным при установлении факта противоправности
действий оператора <1>. В качестве иллюстрации подобного рода подхода
можно привести большинство судебных решений, которые указаны в следующем пункте
настоящего комментария.
--------------------------------
<1> В качестве примера
несущественного, по мнению суда, нарушения оператором порядка обработки
персональных данных можно привести "неверное указание имени и
отчества", которое само по себе "не является безусловным основанием
для взыскания компенсации морального вреда" (Апелляционное определение
Верховного суда Республики Башкортостан от 28 мая 2019 г. по делу N
33-10572/2019).
11. Согласно п. 2 ст. 1101 ГК РФ
размер компенсации морального вреда определяется судом в зависимости от
характера причиненных потерпевшему физических и нравственных страданий, а также
степени вины причинителя вреда. При определении размера компенсации вреда
должны учитываться требования разумности и справедливости. Характер физических
и нравственных страданий оценивается судом с учетом фактических обстоятельств,
при которых был причинен моральный вред, и индивидуальных особенностей
потерпевшего.
Средний
размер присужденных сумм морального вреда за нарушение законодательства о
персональных данных сильно колеблется даже в пределах одного региона. Приведем
несколько примеров:
- расклейка в подъезде
листовок с фотографией, Ф.И.О. и паспортными данными субъекта следующего
содержания: "Я живу как мне удобно, в квартире делаю что хочу, обучаю
других детей музыке, обучаю своего ребенка, играю сама на пианино, играет моя
мама. А о своих соседях в общем доме совсем не думаю" была признана судом
нарушением законодательства о персональных данных с взысканием морального вреда
в размере 30 000 руб. (Апелляционное определение Московского городского суда от
24 апреля 2019 г. по делу N 33-17929/2019);
- незаконное размещение
со стороны ТСЖ сведений о задолженности субъекта - 2 000 руб. морального вреда
(Апелляционное определение Санкт-Петербургского городского суда от 29 ноября
2017 г. по делу N 2-3160/2017);
- незаконные звонки с
требованием погашения несуществующей задолженности - 1 000 руб. морального
вреда. При этом суд указал, что поскольку "в результате действий ответчика
каких-либо тяжких последствий не наступило, суд первой инстанции обоснованно
счел заявленный размер компенсации морального вреда 15 000 руб.
завышенным" (Апелляционное определение Московского городского суда от 8
сентября 2020 г. по делу N 33-33043/2020). В других схожих случаях размер
присужденного морального вреда составил 1 500 руб. (Апелляционное определение
Волгоградского областного суда от 20 сентября 2018 г. по делу N 33-12905/2018)
и 3 000 руб. (Апелляционное определение Свердловского областного суда от 22
августа 2018 г. по делу N 33-14978/2018);
- оскорбительные
комментарии в социальных сетях послужили основанием для взыскания морального
вреда в размере 50 000 руб.
(Апелляционное определение
Московского городского суда от 30 января 2019 г. по делу N 33-4035/2019).
Распространение фото в купальнике с комментариями оскорбительного содержания в
другом деле послужило основанием для взыскания 1 000 руб. морального вреда
(Апелляционное определение Московского городского суда от 18 ноября 2016 г. N
33-45913/2016);
- незаконная рассылка
смс-сообщений: взыскано 300 руб. морального вреда и 637 руб. возмещения
судебных расходов на оплату юридических и почтовых услуг (по документам
судебные расходы составляли более 10 000 руб.) (Апелляционное определение Новосибирского
областного суда от 28 июня 2018 г. по делу N 33-6165/2018). В другом схожем
деле размер присужденного морального вреда составил 500 руб. (Апелляционное определение
Новосибирского областного суда от 31 июля 2018 г. по делу N 33-7489/2018);
- размещение в
социальной сети персональных данных умершей без ее согласия при жизни или
согласия ее наследников: моральный вред взыскан в размере 7 000 руб. в пользу
истца-наследника (Постановление Президиума Верховного суда Республики
Башкортостан от 8 августа 2018 г. по делу N 44Г-300/2018);
- распространение фото в
купальнике с комментариями оскорбительного содержания: моральный вред взыскан в
размере 1 000 руб. (Апелляционное определение Московского городского суда от 18
ноября 2016 г. по делу N 33-45913/2016).
К сожалению, в
значительной части опубликованных судебных решений суммы взысканного морального
вреда изъяты, хотя и не являются персональными данными, подлежащими
обязательному обезличиванию в соответствии с законом. По-видимому, сами суды не
хотят позориться теми размерами компенсаций, которые полагают разумными и
справедливыми. Незначительные размеры присуждаемых судами сумм морального вреда
за нарушение порядка обработки персональных данных влекут отсутствие у данной
меры ответственности превентивного эффекта, который бы стимулировал операторов
к добровольному удовлетворению требований субъектов и налаживанию эффективной
системы комплаенса. Кроме того, подобные суммы не способствуют вовлеченности
субъектов в процессы защиты их прав и формированию специализированного рынка
услуг их профессионального представительства в судах. В этой связи заслуживают
поддержки идеи введения специальных механизмов защиты прав субъектов
персональных данных, схожих с механизмами компенсации за нарушение авторских
прав <1>. Взыскание такой компенсации требует лишь доказывания субъектом
факта нарушения ответчиком законодательства при обработке его персональных
данных, без доказывания факта наступления ущерба (морального вреда) и
причинно-следственной связи между ним и нарушением (в отличие от требований о
возмещении убытков и компенсации морального вреда, которые возлагают на субъект
необходимость доказывания еще и этих обстоятельств). При этом у суда
сохраняется достаточно большая гибкость при определении размера компенсации с
учетом характера нарушения, его наступивших или возможных последствий,
необходимости обеспечения превентивного эффекта и других релевантных факторов.
Введение подобного механизма могло бы служить перезагрузке подходов судов к
защите прав субъектов персональных данных, поскольку новый механизм сможет
заработать с чистого листа и будет формально свободен от тех зацементированных
ограничений и перекосов в сложившейся практике возмещения судами морального
вреда, которые изменить в обозримом будущем нереально. В отсутствие такого
механизма о реальной защите прав субъектов персональных данных с помощью
средств, которые являются "эффективными, пропорциональными или
дестимулирующими" по отношению к соответствующему поведению нарушителя
<2>, говорить не приходится.
--------------------------------
<1> См.:
заключение Комиссии по правовому обеспечению цифровой экономики Московского
отделения Ассоциации юристов России по вопросу "Компенсация субъектам
персональных данных как новый механизм защиты прав граждан от нарушений
законодательства о персональных данных", 27 февраля 2020 г. URL:
https://alrf.msk.ru/no_value_selected_733225488.
<2> См.:
Explanatory Report to the Additional Protocol to the Convention for the
Protection of Individuals with regard to Automatic Processing of Personal Data.
P. 27.
12. Помимо возмещения убытков и
компенсации морального вреда субъект персональных данных может воспользоваться
средствами защиты своих прав из числа указанных в ст. 12 ГК РФ. К числу
представляющих особый интерес в рассматриваемом контексте можно отнести
следующие:
- присуждение к исполнению обязанности в натуре. Данный способ защиты
может быть полезен для понуждения оператора к исполнению обязанности по
предоставлению запрошенной субъектом в порядке ст. 14 Закона о персональных
данных информации об обрабатываемых персональных данных <1>;
- восстановление положения, существовавшего до нарушения права, и
пресечение действий, нарушающих право или создающих угрозу его нарушения.
Данный способ защиты может быть полезен для целей судебного принуждения
оператора к прекращению обработки определенных персональных данных <2>.
--------------------------------
<1> См., например:
Апелляционное определение Ленинградского областного суда от 6 октября 2016 г.
по делу N 33-5761/2016, в котором был удовлетворен иск субъекта персональных
данных в части обязания банка предоставить информацию об обрабатываемых им
персональных данных истца.
<2> См., например:
Определение Московского городского суда от 28 февраля 2012 г. по делу N
33-6196, в котором иск субъекта персональных данных в части обязания оператора
уничтожить персональные данные в сети Интернет, запретить обрабатывать их и
распространять был удовлетворен.
ГЛАВА 4. ОБЯЗАННОСТИ
ОПЕРАТОРА
Статья 18. Обязанности
оператора при сборе персональных данных
Комментарий к статье 18
1. Комментируемая статья возлагает на
оператора ряд обязанностей, имеющих информационный характер (ч. 1 - 4), и одну
организационно-технического характера (ч. 5), которые возникают в связи со
сбором им персональных данных. Закон о персональных данных не раскрывает
понятия "сбор". По мнению представителей Роскомнадзора, под сбором
понимается получение персональных данных непосредственно у первоисточника, то
есть у субъекта персональных данных <1>. Во многом схожего подхода
придерживается и Минцифры России, согласно разъяснениям которого под сбором
понимается "целенаправленный процесс получения персональных данных
оператором непосредственно от субъекта персональных данных либо через
специально привлеченных для этого третьих лиц" <2>. Как видно, в
интерпретациях Роскомнадзора и Минцифры России есть одно существенное отличие:
последнее к сбору относит и получение данных от субъекта через "специально
привлеченных для этого третьих лиц".
--------------------------------
<1> См.:
Комментарий к Федеральному закону от 21 июля 2014 г. N 242-ФЗ "О внесении
изменений в отдельные законодательные акты Российской Федерации в части
уточнения порядка, обработки персональных данных в
информационно-телекоммуникационных сетях". С. 11.
<2> Обработка и
хранение персональных данных в РФ. Изменения с 1 сентября 2015 г. URL:
https://digital.gov.ru/ru/personaldata/.
Речь, по всей видимости, идет о
ситуациях, когда некий оператор, не имеющий локальных мощностей по обработке
персональных данных, привлекает других лиц для сбора данных с последующей их
передачей ему. После того как данные были такими лицами локализованы, они
передаются оператору, после чего сразу удаляются. В результате на территории РФ
персональных данных российских граждан не остается, и цели локализации не
достигнуты. По-видимому, для противодействия подобного рода схемам и было
введено это уточнение, хотя по большому счету в нем нет особой необходимости,
поскольку привлеченные оператором для сбора персональных данных лица будут
считаться лицами, осуществляющими обработку персональных данных по поручению
оператора, а обязанность по локализации данных распространяется именно на
операторов в соответствии с ч. 5 комментируемой статьи. В этой связи
представляется, что интерпретация Роскомнадзора является более точной с точки
зрения системного толкования Закона о персональных данных. Кроме того, она
соответствует понятию сбора, приведенному в Модельном законе СНГ о персональных
данных 1999 г.
2. Поскольку сбор
предполагает непосредственный контакт оператора и субъекта персональных данных,
ч. 1 комментируемой статьи закрепляет обязанность оператора предоставить
субъекту персональных данных информацию, указанную в ч. 7 ст. 14 Закона о
персональных данных (см. комментарий к ней). Однако данная обязанность
возникает только при наличии на то соответствующего волеизъявления со стороны
субъекта персональных данных. В этой связи комментируемое положение мало что
добавляет к тому, что уже изложено в ст. 14 Закона о персональных данных, и
служит своего рода напоминанием для оператора, которое уместно для главы
Закона, тематически посвященной именно обязанностям оператора.
3. Второй информационной
обязанностью оператора при сборе персональных данных является разъяснение
субъекту персональных данных последствий отказа от предоставления таких данных.
Данная обязанность направлена на обеспечение возможности принятия субъектом
информированного решения о предоставлении своих данных. Возможным последствием
отказа от предоставления персональных данных является отказ оператора от
совершения ожидаемого от него действия, которое не может быть осуществлено в
отсутствие таких данных либо в силу существа отношений, либо в силу закона
(предоставления услуги, доступа в определенное помещение или транспортное
средство, возможности въезда в страну и т.п.). При этом оператор не должен
использовать указанную обязанность для "вымогательства" персональных
данных от субъекта и использовать свой отказ как повод для получения избыточных
данных, поскольку общие принципы обработки данных, указанные в ст. 5 Закона о
персональных данных, в том числе принцип минимизации данных, подлежат
применению в полном объеме.
4. В соответствии с ч. 3
комментируемой статьи оператор персональных данных, который получил их не от
самого субъекта, обязан предоставить последнему определенную в ней информацию,
в частности идентифицировать себя, пользователей данных, источник получения
данных и цели обработки данных. Возложение данной обязанности имеет своей целью
обеспечение дополнительной прозрачности процессов перехода персональных данных
от одного оператора к другому. В идеале ее выполнение может позволить субъекту
отследить факт нарушения первоначальным оператором условий данного ему согласия
на обработку персональных данных или факт обработки данных новым оператором без
достаточных оснований.
Первое, что необходимо в
этой связи отметить, это то, что данная обязанность не касается случаев сбора
данных в том смысле, как его толкует Роскомнадзор. Она возникает у оператора не
при получении персональных данных непосредственно от самого субъекта, а при их
получении из других источников, в частности от другого оператора.
Во-вторых, в отличие от
информационной обязанности оператора по предоставлению информации субъекту при
сборе данных (ч. 1), в рассматриваемом случае закон не требует наличия
требования субъекта о предоставлении ему такой информации, предполагается
безусловная обязанность ее выполнения оператором. В этой связи, например,
вопрос субъекта об источниках получения его номера телефона в ситуациях, когда
ему звонит какая-либо организация, с которой у него не было отношений перед
этим, имеет вполне себе конкретное нормативное основание, в том числе в
положениях данной статьи Закона о персональных данных.
В-третьих, ч. 4
комментируемой статьи устанавливает широкий круг исключений из данной обязанности.
С учетом данных исключений обязанность оператора по информированию субъекта при
получении его данных из иных источников может возникнуть, в частности, в
следующих случаях:
1) первоначальная
обработка была осуществлена с согласия субъекта, но при этом такое согласие не
предполагало право первоначального оператора на передачу данных данному
оператору;
2) обработка
персональных данных необходима для осуществления прав и законных интересов
оператора или третьих лиц либо для достижения общественно значимых целей при
условии, что при этом не нарушаются права и свободы субъекта персональных
данных (п. 7 ч. 1 ст. 6 Закона о персональных данных).
В большинстве иных
случаев обработка персональных данных будет, вероятнее всего, укладываться в
тот перечень исключений, который указан в ч. 4 комментируемой статьи, особенно
учитывая ее обширную формулировку о получении оператором персональных данных в
соответствии с федеральным законом, под которую подпадает большая часть
оснований для обработки персональных данных без согласия субъекта, указанных в ч.
1 ст. 6, ч. 2 ст. 10, ст. 11 Закона о персональных данных.
На практике суды нередко
толкуют положения ч. 4 комментируемой статьи как некое общее основание для
непредоставления оператором информации об обрабатываемых им персональных данных
в ответ на запрос субъекта в рамках ст. 14 Закона о персональных данных.
Типичный пример такого толкования можно увидеть в данном судебном акте: "Закон
о персональных данных предусматривает исключения из обязанности оператора по
предоставлению субъекту персональных данных информации, предусмотренной частью
3 статьи 18 Закона о персональных данных. Судом установлено, что в направленном
Банку запросе Новиковой Е.В. содержалось требование о предоставлении
информации, касающейся обработки ее персональных данных по заключенному между
ними кредитному договору. При таких обстоятельствах суду апелляционной
инстанции надлежало исследовать вопрос о том, имелись ли предусмотренные Законом
о персональных данных основания для освобождения банка от обязанности
предоставить Новиковой Е.В. информацию об обработке ее персональных данных"
(Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 24
октября 2017 г. N 33-КГ17-20). Аналогичный подход еще в трех Определениях
Судебной коллегии по гражданским делам Верховного Суда РФ от 24 октября 2017 г.
N 33-КГ17-21, N 33-КГ17-19, N 33-КГ17-18, которые роднит не только одна и та же
дата вынесения, но и тот факт, что они касались споров граждан с Банком ВТБ 24
(ПАО) и по всем ним изначально было отказано в передаче кассационной жалобы
представителя Банка ВТБ 24 (ПАО) для рассмотрения в судебном заседании Судебной
коллегии по гражданским делам Верховного Суда РФ. Однако усилиями заместителя
Председателя Верховного Суда РФ Нечаева В.И. данные четыре дела все же были
пересмотрены Верховным Судом РФ. В итоге данный подход стал доминирующим в
практике (Апелляционное определение Московского городского суда от 16 апреля
2019 г. по делу N 33-15994/2019; Апелляционное определение Ленинградского
областного суда от 21 ноября 2018 г. N 33-6387/2018; Апелляционное определение
Ленинградского областного суда от 31 января 2018 г. N 33-117/2018;
Апелляционное определение Новосибирского областного суда от 23 августа 2018 г.
по делу N 33-8153/2018 и др.). Ошибочность данного подхода обусловлена тем, что
положения ч. 3 ст. 18 Закона о персональных данных, на которые ссылаются суды в
качестве аргумента для отказа субъекту в удовлетворении его требований к
оператору о предоставлении информации об обрабатываемых данных, касаются совсем
иной ситуации: когда оператор получил персональные данные не от самого
субъекта. Во всех же приведенных спорах ситуация была обратная: субъект
обращался с требованиями к оператору, который получил персональные данные
непосредственно от субъекта в рамках заключенного между ними договора.
Исключения из обязанности оператора предоставить информацию по запросу субъекта
для данных случаев предусмотрены в ч. 8 ст. 14 Закона о персональных данных, и
их круг отличается. Тем самым подходы, выработанные судами в отношении
применения ч. 3 ст. 18 в качестве некоего общего основания для ограничения
права субъекта на получение информации вопреки буквальному тексту данной статьи,
лишний раз демонстрируют частое нежелание судов вникать в суть спора и
существующего регулирования в этой области.
5. Часть
5 комментируемой статьи закрепила обязанность оператора обеспечивать
локализацию отдельных процессов обработки персональных данных, собираемых у
российских граждан. Данные положения вступили в силу 1 сентября 2015 г. и не
имеют аналогов в части механизма их реализации в зарубежных правопорядках, в
связи с чем вопросы их толкования и соотношения с положениями о трансграничной
передаче данных приобретают особую актуальность. Немалую роль в этом также
играет и возможность блокировки онлайн-ресурса оператора, который обрабатывает
персональные данные граждан РФ с нарушением требований локализации, в
соответствии с положениями ст. 15.5 Закона об информации <1>. Ключевые
разъяснения по вопросам применения данных положений содержатся на веб-сайтах
Минцифры России <2> и Роскомнадзора <3>. Также много ценной
информации содержится в Экспертном заключении по вопросам, связанным с
использованием облачной платформы Azure и иных облачных сервисов корпорации
Microsoft, от 20 мая 2020 г. М.Ю. Емельянникова <4>. Далее будут
рассмотрены основные моменты, на которые следует обратить внимание операторам
при выработке подхода к выполнению требований ч. 5 ст. 18 Закона о персональных
данных.
--------------------------------
<1> См. подробнее:
Савельев А.И. Комментарий к Федеральному закону от 27 июля 2006 г. N 149-ФЗ
"Об информации, информационных технологиях и защите информации"
(постатейный). М.: Статут, 2015.
<2> См.: Обработка
и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года. URL: https://digital.gov.ru/ru/personaldata/.
<3> См.:
Комментарий к Федеральному закону от 21 июля 2014 г. N 242-ФЗ "О внесении
изменений в отдельные законодательные акты Российской Федерации в части
уточнения порядка, обработки персональных данных в информационно-телекоммуникационных
сетях".
<4> См.: Новый
анализ порядка и возможности использования российскими операторами облаков
Microsoft, находящихся за рубежом. 20 мая 2020 г. URL:
https://1drv.ms/b/s!ArnZ_Qaj1lDAo0RewFIamtzz6S-k.
Обязанное лицо.
Обязанность по локализации возникает лишь у оператора. Лица, осуществляющие
обработку персональных данных по поручению оператора, например провайдеры
облачных сервисов или организации, осуществляющие расчет заработной платы, не
являются субъектами данной обязанности. Однако, если оператор посредством них
будет осуществлять деятельность по сбору персональных данных российских
граждан, то именно оператор будет нести ответственность за соблюдение
требований локализации, как, впрочем, и иных релевантных требований Закона о
персональных данных, в том числе касающихся порядка привлечения обработчика (ч.
3 ст. 6 Закона о персональных данных). Если оператор является иностранным лицом
и не имеет физического присутствия на территории Российской Федерации,
обязанность по локализации на него распространяется в случае осуществления
деятельности, направленной на территорию Российской Федерации (см. комментарий
к ст. 1 Закона).
Понятие сбора данных. Обязанность по локализации возникает лишь в связи со
сбором персональных данных, то есть при получении их непосредственно от
субъекта, например, когда такой субъект, регистрируясь на онлайн-ресурсе
оператора или используя его мобильное приложение, вводит свои персональные
данные. Другим примером сбора является случай, когда работник компании вводит
какие-либо свои персональные данные в информационные системы работодателя.
Получение оператором персональных данных от иных источников, например от
работодателя субъекта для целей их обработки в рамках совместного проекта, не
является сбором, и такие данные не требуется локализовывать.
О понятии базы данных
см. комментарий к ст. 3 Закона.
Определение гражданства субъекта персональных данных. Для определения сферы применения
положения ч. 5 ст. 18 Закона необходимо также решить вопрос о том, как
определять гражданство субъекта персональных данных. Очевидно, что в
подавляющем большинстве случаев определить гражданство субъекта при
взаимодействии с ним в сети Интернет со 100%-ной достоверностью нельзя. Даже
если лицо предоставит сканированную копию своего паспорта, нет никаких гарантий
того, что это именно его паспорт. Поэтому здесь неизбежно предоставление
оператору определенной степени усмотрения и использование презумпций. Согласно
разъяснениям Минцифры России, поскольку вопрос о порядке определения
гражданства субъектов персональных данных не урегулирован на нормативном
уровне, законодатель тем самым предоставил возможность оператору персональных
данных самостоятельно решать такой вопрос исходя из специфики его деятельности.
Если же этот вопрос не был решен оператором самостоятельно, то возможно
применение ч. 5 ст. 18 Закона о персональных данных ко всем персональным
данным, сбор которых был осуществлен на территории Российской Федерации.
Аналогичной позиции придерживается и Роскомнадзор <1>. Таким образом,
оператор может имплементировать различные способы определения гражданства,
например, предусмотреть в форме регистрации пользователя специальное поле
гражданства и при указании гражданства Российской Федерации осуществлять
переадресацию на локальный сервер, где будут храниться и обрабатываться такие
регистрационные данные. Другой вариант - создать локализованную версию такого
онлайн-ресурса и тем самым хранить и обрабатывать персональные данные всех
пользователей, которые на нем регистрируются, исходя из презумпции, что в
основной массе это будут именно граждане Российской Федерации. В принципе, не
исключена возможность использования технологий геолокации и идентификации
статуса пользователя по IP-адресу или номеру мобильного телефона. В таком
случае их принадлежность российскому оператору связи будет представлять собой
презумпцию их использования российским гражданином.
--------------------------------
<1> См.:
Письмо-разъяснение заместителя Роскомнадзора А.А. Приезжевой в ответ на запрос
члена Совета Федерации РФ Л.Н. Боковой от 19 января 2015 г. N 08АП-3572.
Способы обработки, подлежащие локализации. Комментируемая статья содержит
исчерпывающий перечень способов обработки, которые подпадают под требование
локализации:
1) запись. Под записью понимается процесс преобразования сигналов
информации в пространственное изменение физических характеристик или формы
носителя записи с целью сохранения и последующего воспроизведения записанной
информации <1>. В контексте автоматизированной обработки под записью
можно понимать процесс внесения данных в память компьютерного устройства;
2) систематизация. Под систематизацией понимается процедура
объединения, сведения групп однородных по неким признакам единиц (параметрам,
критериям) к определенному иерархическому единству в функциональных целях на основе
существующих между ними связей и/или взаимодополняющих связей с внешним миром
<2>. Поскольку требование локализации предполагает использование баз
данных для обработки персональных данных, а признак систематизации является
неотъемлемым атрибутом любой базы данных, то внесение персональных данных в
определенную базу данных всегда будет означать их обработку посредством
систематизации;
3) накопление. В литературе отмечается, что суть процесса накопления
данных состоит в "создании, хранении и поддержании в актуальном состоянии
информационного фонда, необходимого для выполнения функциональных задач той
системы управления, для которой работает рассматриваемая ИТ" <3>.
При этом все данные имеют свой жизненный цикл существования, который отображается
во всех процедурах алгоритма процесса накопления: хранении, актуализации и
извлечении данных;
4) хранение. Данный процесс подразумевает поддержание данных в
неизменном состоянии после их сохранения, обеспечивающий возможность их
последующего считывания в произвольный момент времени <4>;
5) уточнение (обновление, изменение). Данные действия, как следует из
положений ч. 1 ст. 14 Закона о персональных данных, предполагают исправление
какого-либо дефекта в существующих данных, например их неполноты или неточности
и пр. Такое толкование также следует из факта существования специального
правового режима в отношении них, в частности возможности их блокирования (см. комментарий
к ст. 21 Закона). Важно подчеркнуть, что осуществление данных способов обработки
не приводит к появлению новых данных, происходит видоизменение уже
существующих;
6) извлечение, под которым в технической среде понимается совокупность
алгоритмов и компьютерных методов обработки информации, используемых для
выборки данных из специальных хранилищ или баз данных <5>.
--------------------------------
<1> См.: ГОСТ
13699-91. Межгосударственный стандарт. Запись и воспроизведение информации.
Термины и определения.
<2> См.: Садовский
В.Н. Проблемы философского обоснования системных исследований // Системные
исследования: методологические проблемы. М., 1984. С. 32.
<3> Барановская
Т.П., В.И. Лойко и др. Информационные системы и технологии в экономике: учебник
/ под ред. В.И. Лойко. 2-е изд., доп. и перераб. М.: Финансы и статистика,
2005. С. 156 - 157.
<4> См. п. 7.2.13
ГОСТ Р 52292-2004 "Информационная технология: Электронный обмен
информацией. Термины и определения".
<5> См.: Большой
англо-русский и русско-английский словарь. URL: https://goo.gI/BkY9uJ.
Таким образом, все из перечисленных
способов обработки взаимосвязаны между собой. Как отмечают представители
Роскомнадзора, они "представляют собой единый процесс формирования и
поддержания базы данных в актуальном состоянии". В концентрированном виде
их суть можно свести к тому, что "формирование и актуализация баз
персональных данных российских граждан должны осуществляться на территории
России" <1>.
--------------------------------
<1> Комментарий к
Федеральному закону от 21 июля 2014 г. N 242-ФЗ "О внесении изменений в
отдельные законодательные акты Российской Федерации в части уточнения порядка
обработки персональных данных в информационно-телекоммуникационных сетях".
С. 11 - 12.
Как видно из приведенного перечня,
далеко не все способы обработки подпадают под требование локализации.
Использование данных, под которым можно понимать извлечение из них полезных
свойств, в том числе посредством принятия на основе них каких-либо решений или
создания на основе них новой информации, не охватывается требованием локализации.
Например, расчет зарплаты конкретного работника, осуществляемый на основании
данных о его норме выработки за конкретный период времени, данных о его
личности и прочих релевантных сведениях, приводит к созданию нового вида
персональных данных - размера зарплаты сотрудника за конкретный период времени,
в связи с чем представляет собой такой способ обработки исходных данных, как их
использование. Удаленный доступ к персональным данным также не упомянут в
перечне ч. 5 ст. 18 Закона о персональных данных, в связи с чем не требует
локализации. Таким образом, возможность просмотра локализованных в российской
базе данных сведений, составляющих персональные данные, из-за рубежа не
является нарушением ч. 5 ст. 18 Закона о персональных данных. Однако в таком
случае может возникать трансграничная передача персональных данных со всеми
вытекающими последствиями (см. комментарий к ст. 12 Закона).
Соотношение локализации и трансграничной передачи данных. Комментируемое положение ч. 5 ст. 18,
равно как и иные положения Федерального закона от 21 июля 2014 г. N 242-ФЗ
"О внесении изменений в отдельные законодательные акты Российской
Федерации в части уточнения порядка обработки персональных данных в
информационно-телекоммуникационных сетях", не затронули положений ст. 12
Закона о персональных данных и не ограничили возможность трансграничной
передачи персональных данных. Однако, как указывает Минцифры России, их
необходимо применять в системном единстве. Это означает, что "персональные
данные гражданина Российской Федерации, первоначально внесенные в базу данных
на территории Российской Федерации и актуализируемые в ней ("первичная
база данных"), могут далее передаваться в базы данных, расположенные за
пределами России ("вторичные базы данных"), администрируемые иными
лицами" <1>. При этом представители Роскомнадзора уточняют, что
обновление данных во всех случаях должно осуществляться в базе данных,
расположенной на территории России, и при необходимости обновленные данные
могут быть впоследствии переданы на территорию иностранного государства
<2>.
--------------------------------
<1> Обработка и
хранение персональных данных в РФ. Изменения с 1 сентября 2015 года. URL:
https://digital.gov.ru/ru/personaldata/.
<2> См.:
Комментарий к Федеральному закону от 21 июля 2014 г. N 242-ФЗ "О внесении
изменений в отдельные законодательные акты Российской Федерации в части
уточнения порядка обработки персональных данных в
информационно-телекоммуникационных сетях". С. 12.
Таким образом, собираемые оператором
персональные данные российских пользователей должны в обязательном порядке
сначала осесть на территории России, и лишь после этого они могут быть переданы
иностранному лицу (оператору, обработчику) с соблюдением положений ст. 12
Закона о персональных данных. Закон тем самым предусматривает последовательное
движение персональных данных от их субъекта к оператору с их фиксацией на
территории России. В этой связи, как отмечают представители Роскомнадзора,
параллельный ввод собранных персональных данных в российскую информационную
систему и систему, находящуюся на территории иностранного государства, не
соответствует требованиям закона <1>. Это может затруднить имплементацию
трансграничных информационных систем, построенных на архитектуре распределенных
реестров (блокчейн), предполагающих одновременное обновление сведений,
содержащихся в базах данных, на всех узлах такой системы <2>.
--------------------------------
<1> Там же.
<2> См. подробнее:
Савельев А.И. Некоторые правовые аспекты использования смарт-контрактов и
блокчейн-технологий по российскому праву // Закон. 2017. N 5. С. 94 - 117.
Аналогичным образом не будет
соответствовать ему первичный ввод данных в базу данных, расположенную на
территории иностранного государства, с последующей репликацией таких данных в
базе данных на территории России. Важно подчеркнуть, что, как только
персональные данные попали к иностранному оператору с соблюдением положений о
трансграничной передаче данных, дальнейшая их обработка осуществляется
иностранным оператором в соответствии с законодательством о персональных данных
страны его местонахождения.
Исключения из требования локализации. Закон устанавливает лишь четыре
основания, при наличии которых оператор освобождается от требований локализации
соответствующих процессов обработки собранных у российских граждан данных. Это
случаи обработки персональных данных:
1) для достижения целей,
предусмотренных международным договором РФ или законом, для осуществления и
выполнения возложенных законодательством РФ на оператора функций, полномочий и
обязанностей;
2) для целей
судопроизводства и исполнения судебного акта;
3) для исполнения
полномочий государственными и муниципальными органами;
4) в целях ведения
профессиональной деятельности журналиста и (или) законной деятельности средства
массовой информации либо научной, литературной или иной творческой
деятельности.
Согласие субъекта
персональных данных на обработку его данных за рубежом, наличие договорных или
преддоговорных отношений между оператором и субъектом не имеют значения для
целей освобождения оператора от исполнения обязанности по локализации.
Статья 18.1. Меры,
направленные на обеспечение выполнения оператором обязанностей, предусмотренных
настоящим Федеральным законом
Комментарий к статье 18.1
1. Комментируемая статья содержит
перечень мер, которые должен предпринять оператор персональных данных для целей
соблюдения требований Закона о персональных данных. Формально данный перечень
носит ориентировочный характер, окончательное решение относительно их состава
принимает сам оператор по своему усмотрению, за исключением случаев, когда
закон обязывает оператора предпринять конкретные меры. Тем самым Закон о
персональных данных в определенной степени отражает риск-ориентированный подход
к защите персональных данных, который был заимствован из европейского
регулирования и нашел свое отражение в поправках 2011 г. к Закону о
персональных данных. По мнению ОЭСР, выступающей одним из основных идеологов
данного подхода, следование ему позволяет обеспечить необходимый баланс между
безопасностью и экономической целесообразностью <1>.
--------------------------------
<1> См.: Digital
Security Risk Management for Economic and Social Prosperity: OECD
Recommendation and Companion Document. OECD Publishing, Paris, 2015.
Риск-ориентированный подход
предполагает, что риски в сфере информационной безопасности не должны
восприниматься исключительно как техническая проблема, а должны оцениваться в
более широкой перспективе с учетом экономических соображений, тяжести возможных
последствий и вероятности их наступления. Таким образом, риск-ориентированный
подход позволяет оценивать экономическую эффективность и целесообразность
принимаемых оператором мер по обеспечению информационной безопасности;
оптимизировать расходы организации на ее обеспечение; формировать планы и
бюджеты на информационную безопасность с учетом возврата инвестиций, ожидаемых
от реализации защитных мер. Вкратце суть риск-ориентированного подхода сводится
к тому, что стоимость защиты информации должна определяться соображениями разумной достаточности и не должна
превышать размера возможного ущерба от нарушения безопасности такой информации.
Однако риск-ориентированный подход применим только к частному сектору. В
отношении операторов из публичного сектора установлено достаточно детальное
регулирование данных вопросов. Перечень мер для операторов, являющихся
государственными и муниципальными органами, установлен в соответствии с ч. 3
комментируемой статьи Постановлением Правительства от 21 марта 2012 г. N 211
"Об утверждении перечня мер, направленных на обеспечение выполнения
обязанностей, предусмотренных Федеральным законом "О персональных
данных" и принятыми в соответствии с ним нормативными правовыми актами,
операторами, являющимися государственными или муниципальными органами".
Вместе с тем на практике
встречаются случаи, когда Роскомнадзор при проведении проверок в качестве
нарушения обозначал факт непринятия тех мер, которые указаны в ч. 1
комментируемой статьи. Например, в качестве нарушения было квалифицировано
непредоставление оператором документов, подтверждающих "проведение
внутреннего контроля и аудита соответствия обработки персональных данных Закону
о персональных данных и принятым в соответствии с ним нормативным правовым
актам, требованиям к защите персональных данных, политике оператора в отношении
обработки персональных данных, локальным актам оператора, что свидетельствует о
нарушении пункта 5 части 1 статьи 18.1 Закона о персональных данных" (Постановление
Арбитражного суда Московского округа от 15 января 2018 г. по делу N
А40-81171/17-149-793). В этой связи в случае применения вышеупомянутого
риск-ориентированного подхода можно прийти к выводу, что указанные меры,
скорее, являются минимально необходимыми для демонстрации соответствия
оператора требованиям закона. Их отсутствие может рассматриваться как своего
рода "красный флаг" для Роскомнадзора и влечь более интенсивные и
глубокие проверки.
2. Назначение оператором
лица, ответственного за организацию обработки персональных данных, является
обязательным для каждого оператора, который является юридическим лицом. Другие
операторы, в частности индивидуальные предприниматели, самостоятельно решают
вопрос о целесообразности реализации данной меры (см. подробнее комментарий к
ст. 22.1 Закона). Следует отметить, что данная норма является специальной по
отношению к общему правилу п. 3 ст. 23 ГК РФ, согласно которому на деятельность
индивидуальных предпринимателей распространяются нормы, которые регулируют
деятельность юридических лиц, являющихся коммерческими организациями, если иное
не вытекает из закона, иных правовых актов или существа правоотношения. В
данном случае из текста положений ст. 18.1 Закона о персональных данных явно
следует иное.
3. Разработка и принятие
оператором локальных актов, регламентирующих различные аспекты обработки и
защиты персональных данных. Как и в случае с назначением ответственного за
обработку персональных данных лица, данная мера является обязательной для
операторов - юридических лиц. Это вытекает в том числе и из положений трудового
законодательства, предусматривающих обязанность работодателя ознакомить
работника под подпись с документами работодателя, устанавливающими порядок
обработки персональных данных работников, а также об их правах и обязанностях в
этой области (п. 8 ст. 86 ТК РФ). При этом наличие таких документов не является
самоцелью, а выступает одним из элементов общего процесса минимизации рисков
ненадлежащей обработки персональных данных внутри организации, связанных с
человеческим фактором. Работники оператора, осуществляющие в силу своих
трудовых обязанностей непосредственную обработку персональных данных, должны
быть ознакомлены с такими локальными актами наряду с прохождением ими обучения
требованиям законодательства о персональных данных и порядку их соблюдения (ч.
6 ч. 1 комментируемой статьи). В отношении дистанционных работников такое
ознакомление может осуществляться на внутренних информационных ресурсах
оператора при условии наличия в трудовом договоре и (или) должностных
инструкциях работника обязанности по изучению локальных актов работодателя на
таких ресурсах (Определение Второго кассационного суда общей юрисдикции от 4
августа 2020 г. по делу N 88-16944/2020, N 2-2939/2019). В отношении остальных
работников ознакомление лучше реализовывать через подписание листа ознакомления
собственноручной подписью работника, это позволит доказать выполнение
оператором соответствующей обязанности в случае спора с Роскомнадзором (Постановление
Вологодского областного суда от 31 июля 2017 г. N 4А-407/2017).
Как отмечается в комментарии
представителей Роскомнадзора, "четкий перечень этих документов
законодательно не установлен, и форма их жестко не регламентирована, но,
опираясь на положения иных федеральных законов и подзаконных актов, можно
сделать вывод, что основополагающим документом является положение об обработке
персональных данных, устанавливающее цели, задачи деятельности по обработке
персональных данных, перечень действий, категории персональных данных,
категории субъектов персональных данных, способы обработки, сроки хранения,
правила доступа и уничтожения персональных данных для каждой цели"
<1>.
--------------------------------
<1> См.:
Федеральный закон "О персональных данных": научно-практический комментарий
/ под ред. А.А. Приезжевой. С. 106.
В качестве определенного ориентира
можно использовать упомянутое выше Постановление Правительства от 21 марта 2012
г. N 211, в котором содержится перечень локальных актов, которые должны
приниматься государственными или муниципальными органами:
1) правила обработки
персональных данных, определяющие для каждой цели обработки персональных данных
содержание обрабатываемых персональных данных, категории субъектов,
персональные данные которых обрабатываются, сроки их обработки и хранения,
порядок уничтожения при достижении целей обработки или при наступлении иных
законных оснований;
2) правила рассмотрения
запросов субъектов персональных данных или их представителей;
3) правила осуществления
внутреннего контроля соответствия обработки персональных данных требованиям к
защите персональных данных, установленным Законом о персональных данных и
принятыми в соответствии с ним нормативными правовыми актами и локальными
актами оператора;
4) правила работы с
обезличенными данными в случае обезличивания персональных данных;
5) перечень
информационных систем персональных данных. В таком документе целесообразно
указать назначение системы, составляющей основную цель обработки персональных
данных в ней (например, автоматизация процессов кадрового учета или процессов
расчета заработной платы), категории и объем персональных данных в соответствии
с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 (далее -
Постановление N 1119);
6) перечни персональных
данных, обрабатываемых в государственном или муниципальном органе в связи с
реализацией служебных или трудовых отношений, а также в связи с оказанием
государственных или муниципальных услуг и осуществлением государственных или
муниципальных функций;
7) перечень должностей
служащих государственного или муниципального органа, ответственных за
проведение мероприятий по обезличиванию обрабатываемых персональных данных в
случае обезличивания персональных данных;
8) перечень должностей
служащих государственного или муниципального органа, замещение которых
предусматривает осуществление обработки персональных данных либо осуществление
доступа к персональным данным;
9) должностная
инструкция ответственного за организацию обработки персональных данных в
государственном или муниципальном органе;
10) типовое
обязательство служащего государственного или муниципального органа,
непосредственно осуществляющего обработку персональных данных, в случае
расторжения с ним служебного контракта (контракта) или трудового договора
прекратить обработку персональных данных, ставших известными ему в связи с
исполнением должностных обязанностей;
11) типовая форма
согласия на обработку персональных данных служащих государственного или
муниципального органа, иных субъектов персональных данных, а также типовая
форма разъяснения субъекту персональных данных юридических последствий отказа
предоставить свои персональные данные;
12) порядок доступа
служащих государственного или муниципального органа в помещения, в которых
ведется обработка персональных данных.
В системе
"КонсультантПлюс" можно найти тексты конкретных примеров данных
документов, принятых в различных государственных органах. При этом, конечно,
далеко не все из указанных документов должны приниматься каждым оператором
частного сектора. Некоторые из этих документов могут быть объединены в одном,
например, документы 1 - 4, 6 - 8 вполне могут быть составной частью Положения
об обработке персональных данных в конкретной организации. Общий принцип,
которым целесообразно руководствоваться применительно к рассматриваемой мере,
можно обозначить следующим образом: чем более формализованы различные аспекты
обработки персональных данных в организации, тем проще взаимодействие с
контрольно-надзорными органами в ходе проведения проверок.
4. О применении
правовых, организационных и технических мер по обеспечению безопасности
персональных данных см. комментарий к ст. 19 Закона.
5. Оператор должен
осуществлять самостоятельную оценку рисков и возможного вреда, который может
быть причинен субъектам персональных данных в случае нарушения требований Закона
о персональных данных. Основной целью такого аудита является анализ
эффективности предпринимаемых организационно-технических мер по защите
обрабатываемых персональных данных для минимизации такого рода вреда. Порядок и
периодичность проведения такого рода аудита определяется локальным актом
оператора. В отличие от модели угроз безопасности персональных данных в
информационных системах персональных данных, разработка которой требуется в
силу положений п. 1 ч. 2 ст. 19 Закона о персональных данных, аудит
предполагает акцент не столько на технической составляющей защиты персональных
данных (информационной безопасности), сколько на анализе рисков, связанных с
нарушением прав субъектов персональных данных в процессе обработки.
Результаты оценки вреда,
который может быть причинен субъектам персональных данных в случае нарушения
требований законодательства в области персональных данных, могут быть оформлены
протоколом оценки вреда, в котором для каждой категории субъектов (работники,
их родственники, соискатели, клиенты, посетители, руководящий состав и т.п.) и
способа обработки персональных данных указывается присвоенная степень вреда.
Оператор может сам определить классификацию степеней вреда, например
"низкий, умеренный, средний, значительный, высокий, чрезвычайно
высокий" <1>. Степень тяжести вреда может варьироваться от степени
"чувствительности" данных и их идентифицирующего потенциала;
количества обрабатываемых данных; количества субъектов персональных данных,
данные которых обрабатывает оператор, и прочих факторов.
--------------------------------
<1> Данные
категории риска приведены в Постановлении Правительства РФ от 17 августа 2016
г. N 806 "О применении риск-ориентированного подхода при организации
отдельных видов государственного контроля (надзора) и внесении изменений в
некоторые акты Правительства Российской Федерации".
Данная мера была заимствована из
европейского законодательства <1>, где в качестве одной из ее основных
целей обозначается профилактика возможных нарушений, поскольку она позволяет
выявлять факторы, влекущие возможность их наступления на ранних стадиях. Кроме
того, по мнению европейских экспертов, подобные аудиты могут стать инструментом
создания доверия: оператор может публиковать их результаты, демонстрируя
действующие в организации высокие стандарты защиты персональных данных
<2>.
--------------------------------
<1> В этой связи в
качестве неплохого ориентира для ее проведения можно использовать Руководство,
подготовленное английским уполномоченным органом по защите персональных данных
(ICO): Conducting privacy impact assessments: Code of Practice. February 2014.
URL: https://iapp.org/media/pdf/resource_center/ICO_pia-code-of-practice.pdf.
<2> См.: Calder
Alan. EU General Data Protection Regulation (GDPR) An Implementation and
Compliance Guide. IT Governance Publishing, 2016. Kindle Edition (Kindle
Location, 1973).
Обстоятельства, выступающие предметом
аудита, равно как и сведения, отражаемые в документах, оформляемых по
результатам его проведения, определяются оператором самостоятельно. В них могут быть отражены следующие параметры:
- описание
обрабатываемых персональных данных с указанием их типов (обычные, специальные,
биометрические) и целей их обработки;
- анализ степени
пропорциональности и необходимости указанных данных, в том числе на предмет
соблюдения принципа минимизации обрабатываемых данных;
- анализ существующих
информационных систем и выполнение требований о локализации отдельных процессов
обработки персональных данных;
- проверка соблюдения
запретов и условий обработки персональных данных, разрешенных субъектом для
распространения в отношении собранных оператором из сети Интернет сведений о
гражданах;
- анализ возможных
рисков в связи с осуществляемой обработкой (например, хакерские атаки, вирусы;
фишинг; недостаточные знания у персонала, связанного с обработкой персональных
данных; риски неправомерного доступа к ноутбукам работников с персональными
данными за пределами организации) с указанием источников их возникновения и
оценкой вероятности их наступления; характера наступающего вреда и степени
тяжести возможных последствий для субъектов персональных данных. В некоторых
случаях вред, причиненный субъекту вследствие неправомерной обработки его
персональных данных, может быть идентифицирован (например, потеря работы,
осложнение отношений с родственниками и близкими, негативный информационный фон
в социальных сетях и СМИ), в иных случаях он может быть крайне неосязаем для
его формализации. Следует отметить, что вред может наступить не только
вследствие неправомерных действий третьих лиц, но и в результате обычных ошибок
работников оператора, например, неправильное лечение вследствие того, что
медсестра перепутала документы разных пациентов. Данная часть аудита весьма
непроста, так как выявление и оценка рисков - это своего рода искусство;
- описание
предпринимаемых организационных и технических мер для минимизации вероятности
наступления описанных рисков. Некоторые из рисков, вроде возможности
использования слабых паролей или незапертых дверей в помещения с хранимыми
персональными данными, могут быть устранены, иные только минимизированы (риски
хакерских атак, проникновения вирусов и т.п.). В этой связи главное не
устранить риск, а свести его к приемлемому уровню с учетом всех заслуживающих
внимания обстоятельств. Здесь помимо указания классических мер, предусмотренных
Законом о персональных данных и подзаконными актами, могут быть указаны и более
инновационные, например использование принципов privacy by design в архитектуре
сервиса (устройства), посредством которого осуществляется сбор и (или)
обработка персональных данных (см. далее);
- сведения об отраслевых
стандартах, кодексах поведения или иных формально необязательных документах,
содержащих лучшие практики в области обработки персональных данных, которых
придерживается оператор в своей деятельности.
Результаты аудита должны
быть документированы, как вариант, в форме акта или протокола, который подписан
уполномоченным лицом и сопровождается документами, подтверждающими указанные в
нем сведения. Это необходимо для того, чтобы выполнить обязанность,
предусмотренную ч. 4 комментируемой статьи, согласно которой оператор обязан
представить документы и локальные акты или иным образом подтвердить принятие
мер, указанных в ч. 1 комментируемой статьи, по запросу Роскомнадзора. В
случае, если в ходе мероприятий такого внутреннего контроля были выявлены
нарушения, то в результирующих документах целесообразно указать меры по их
устранению, сроки устранения и ответственных лиц.
6. Согласно GDPR оценка
рисков и мер, предпринимаемых по защите персональных данных (Data protection
impact assessment), должна проводиться в обязательном порядке всеми
операторами, обработка персональных данных которыми сопряжена с высокими
рисками для субъектов персональных данных, особенно когда она осуществляется
посредством новых технологий. В частности, такой аудит обязателен для
операторов, которые: 1) обрабатывают персональные данные в больших масштабах,
2) осуществляют профайлинг или 3) осуществляют автоматический мониторинг
пространств со значительным скоплением граждан (ст. 35 GDPR). Примером случаев
обработки персональных данных в незначительных масштабах является деятельность
частных врачей или адвокатов, для них проведение подобного рода аудитов
является необязательным. Достаточно подробное описание методологий и шаблонов
опросников и документов, которые могут использоваться в качестве
"источника вдохновения" российскими операторами, приводит французский
уполномоченный орган по защите прав субъектов персональных данных (CNIL)
<1>.
--------------------------------
<1> См.: Privacy
Impact Assessment (PIA). URL: https://www.cnil.fr/en/privacy-impact-assessment-pia.
7. В случае если оператор осуществляет
сбор персональных данных пользователей в сети Интернет, он обязан опубликовать
на своем вебсайте документ, в котором должны быть отражены такие вопросы, как
политика обработки персональных данных и сведения о реализуемых требованиях к
защите персональных данных. Обычно такой документ именуется "политика
конфиденциальности" (privacy policy). В общем виде требования,
предъявляемые к такому документу, содержатся в Рекомендациях по составлению
документа, определяющего политику оператора в отношении обработки персональных
данных, в порядке, установленном Федеральным законом от 27 июля 2006 года N
152-ФЗ "О персональных данных" <1>. Роскомнадзор рекомендует
включать в политику конфиденциальности следующие разделы:
1) общие положения, в
которых рекомендуется описать назначение политики, а также основные понятия,
используемые в ней (обработка персональных данных, оператор, субъект
персональных данных, конфиденциальность персональных данных и т.д.), и основные
права и обязанности оператора и субъекта (-ов) персональных данных;
2) цели сбора
персональных данных, определяемые исходя из анализа правовых актов,
регламентирующих деятельность оператора, целей фактически осуществляемой
оператором деятельности, а также деятельности, которая предусмотрена
учредительными документами оператора, и конкретных бизнес-процессов оператора в
конкретных информационных системах персональных данных (по структурным подразделениям
оператора и их процедурам в отношении определенных категорий субъектов
персональных данных);
3) правовые основания
обработки персональных данных (федеральные законы и принятые на их основе
нормативные правовые акты, регулирующие отношения, связанные с деятельностью
оператора; уставные документы оператора; договоры, заключаемые между оператором
и субъектом персональных данных; согласие на обработку персональных данных и
др.);
4) объем и категории
обрабатываемых персональных данных. При этом, как отмечалось, такие данные, как
IP-адрес хоста, данные файлов cookie, информация о браузере пользователя, его
местоположении могут также относиться к персональным данным, в связи с чем в
случае их сбора интернет-ресурсом они должны найти свое отражение в политике конфиденциальности;
5) перечень операций,
совершаемых оператором с персональными данными субъектов (сбор, запись,
хранение, изменение, обезличивание, блокирование, удаление, трансграничная
передача и т.п.), сроки обработки персональных данных. Если оператор передает
персональные данные третьим лицам, необходимо четко прописать условия такой
передачи (см. комментарий к ч. 3 ст. 6 Закона);
6) сведения о соблюдении
требований конфиденциальности персональных данных, а также информацию о
принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Закона о
персональных данных;
7) порядок реагирования
на запросы/обращения субъектов персональных данных и их представителей,
уполномоченных органов по поводу неточности персональных данных,
неправомерности их обработки, отзыва согласия и доступа субъекта персональных
данных к своим данным, а также соответствующие формы запросов/обращений.
--------------------------------
<1>
http://www.rkn.gov.ru/personal-data/p908/
8. Политику конфиденциальности
целесообразно сделать доступной по соответствующей гиперссылке, размещенной на
главной странице и иных интернет-страницах, особенно если там содержатся формы
для заполнения персональных данных. При этом такая гиперссылка должна быть
заметной и очевидной с точки зрения содержимого документа, к которому она
отсылает. Отсутствие размещенной в сети Интернет политики конфиденциальности
является одним из наиболее распространенных типов нарушений законодательства о
персональных данных, которое достаточно легко выявляется в ходе мероприятий
Роскомнадзора по контролю без взаимодействия с оператором (см. комментарий к
ст. 23 Закона). Отсутствие опубликованной на веб-сайте политики
конфиденциальности является основанием для привлечения к административной
ответственности по ч. 3 ст. 13.11 КоАП РФ, а также одним из возможных оснований
для блокировки интернет-ресурса (Апелляционное определение Московского
городского суда от 26 февраля 2019 г. по делу N 33-8756/2019).
9. Требование о
публикации политик конфиденциальности направлено на повышение прозрачности
процессов обработки и обеспечение возможности принятия субъектом
информированного решения о предоставлении оператору своих персональных данных
для обработки. Однако в ряде случаев данные идеи не отражают реального
положения вещей.
Во-первых, сложность
восприятия текста политик конфиденциальности затрудняет их понимание
среднестатистическим пользователем. Данные документы написаны юристами с
использованием специальной терминологии и структуры, принятой в юридических
документах, нередко сопровождаясь множеством отсылок к иным положениям или
документам. Далеко не каждый способен понять их смысл в отсутствие специальных
познаний. В то же время адресатами данных документов являются люди с различным
уровнем способностей и образования.
Во-вторых, немалую роль
в этом играет информационная перегруженность человека. Современный человек
просто не в состоянии обработать те объемы информации, которые необходимо
изучить для того, чтобы получить представление о порядке обработки его
персональных данных всеми теми операторами, с которыми он сталкивается в своей
повседневной жизни. Количество получаемой человеком информации давно уже
превысило его возможности адекватно ее воспринимать. Используя множество
электронных устройств и сервисов, сталкиваясь с множеством веб-сайтов в сети
Интернет, не говоря уже о взаимодействии с множеством контрагентов в
оффлайновой жизни (банки, страховые организации, работодатель и пр.), человек
находится в постоянном состоянии информационной перегруженности и чисто
физически не может изучать используемые ими условия обработки персональных
данных. В итоге субъекты персональных данных не читают положений политики
конфиденциальности, а в тех редких случаях, когда читают, не понимают их
смысла, а если и понимают, то не могут в полной мере просчитать все возможные
риски для принятия взвешенного решения.
С целью решения
указанной проблемы и повышения эффективности восприятия текстов политик
конфиденциальности в европейской практике внедряется многоуровневый подход к
данным документам. Например, европейские регуляторы предлагают внедрение
трехуровнего подхода к предоставлению оператором информации субъекту
персональных данных, касающейся обработки персональных данных.
Первый уровень -
"Краткая информация" (Short Notice) - должен содержать необходимый
минимум информации, требуемой в силу положений законодательства о персональных
данных: наименование оператора, цели обработки данных и любую иную информации,
которая при данных обстоятельствах необходима для обеспечения справедливой и
законной обработки; информацию о том, как можно получить доступ к полной версии
(например, посредством гиперссылки).
Второй уровень -
"Сжатая информация" (Condensed Notice) - должен содержать, помимо
сведений, содержащихся в краткой информации, также сведения о возможности
передачи данных третьим лицам и категории получателя данных (партнеры
оператора, его аффилированные лица и пр.); указание на права субъекта по
доступу, изменению информации и возражению в отношении ее обработки третьими
лицами в случаях, когда это не является необходимым для получения услуги;
существующие у субъекта опции, относящиеся к предоставлению данных оператором
(например, указание на обязательный или факультативный характер заполнения
некоторых полей); контактные данные уполномоченного лица оператора для ответа
на возможные вопросы.
Третий уровень -
"Полная информация" (Full Notice) - должен содержать всю подлежащую
раскрытию в соответствии с применимым законодательством информацию. Такой
многоуровневый подход может позволить не только улучшить степень восприятия
информации субъектом и повысить уровень его осведомленности о своих правах и
порядке обработки его данных, но и позволит операторам более гибко подходить к
вопросам изложения информации в зависимости от ситуации (например,
применительно к информации на мобильных устройствах с небольшим экраном). В
случае соблюдения оператором условий к предоставлению информации на каждом уровне
соответствующая информация будет считаться предоставленной в соответствии с
требованиями законодательства о персональных данных <1>. Представляется,
что данный подход вполне может реализовываться и российскими операторами, что
даст им дополнительные аргументы в пользу того, что их информационные
обязанности были надлежащим образом выполнены, а согласие субъекта, данное на
основе такого документа, было действительно информированным и сознательным.
--------------------------------
<1> См.: WP29
Opinion 10/2004 on More Harmonised Information Provisions (WP100). P. 7 - 9.
Достаточно любопытным является подход
к отображению ключевых элементов политики конфиденциальности посредством
интуитивно понятных графических символов. В качестве примера можно привести ярлыки
конфиденциальности приложений (app privacy labels), которые представляют собой
раздел информации в магазине приложений App Store, который предоставляет
возможность пользователям перед установкой приложения в доступной форме
ознакомиться с тем, какие данные и для каких целей собирает мобильное
приложение <1>. Ранее идеи о графическом отображении основных условий
обработки персональных данных в виде пиктограмм высказывались при разработке GDPR
<2>, но не нашли отражения в финальном тексте GDPR по причине
консервативности ряда участников процесса разработки данного документа. Но это
отнюдь не означает, что подобного рода приемы не могут использоваться
оператором для повышения информативности своих политик конфиденциальности.
--------------------------------
<1> См.: App
privacy details on the App Store. URL:
https://developer.apple.com/app-store/app-privacy-details/.
<2> См.: Annex 1
to Article 13 (a) of the proposed amendments from 2013 year to the draft of the
General Data Protection Regulation.
Статья 19. Меры по
обеспечению безопасности персональных данных при их обработке
1. Комментируемая статья
конкретизирует порядок исполнения ключевой обязанности оператора персональных
данных, заключающейся в реализации конкретных мер правового, организационного и
технического характера, направленных на защиту таких свойств безопасности
персональных данных, как:
- конфиденциальность - от возможных утечек (data breach) вследствие
неправомерного или случайного доступа к ним неуполномоченных лиц;
неправомерного копирования, предоставления, распространения персональных
данных;
- доступность - от неправомерного блокирования или уничтожения,
вследствие которых создается угроза возможности своевременного доступа
пользователей информационной системы персональных данных к таким данным всегда,
когда в этом возникает необходимость;
- целостность - от неправомерного изменения персональных данных, то
есть искажения их содержания.
Меры, указанные в
комментируемой статье, могут относиться к одной из трех групп:
1) правовые (подготовка
и принятие соответствующих локальных нормативных актов);
2) организационные
(назначение ответственных лиц, обучение работников, непосредственно вовлеченных
в процесс обработки персональных данных, правилам информационной безопасности и
т.п.);
3) технические (набор
мер, направленных как на уменьшение вероятности реализации угроз информационной
безопасности вследствие уязвимости информационной системы, так и на минимизацию
потерь при реализации таких угроз).
2. Для выполнения
предусмотренной в п. 1 ч. 2 комментируемой статьи обязанности по определению
угроз безопасности персональных данных необходимо разработать документ
"Модель угроз безопасности персональных данных при их обработке в
информационной системе персональных данных". При этом целесообразно
руководствоваться следующими документами ФСТЭК:
- "Методический
документ. Методика оценки угроз безопасности информации", утвержденный
ФСТЭК России 5 февраля 2021 г.;
- "Базовая модель
угроз безопасности персональных данных при их обработке в информационных
системах персональных данных", утвержденная ФСТЭК России 15 февраля 2008
г.
При разработке модели
угроз в литературе <1> рекомендуется следовать следующему алгоритму:
1) определить уровень
защищенности каждой используемой оператором информационной системы персональных
данных в соответствии с критериями, указанными в Постановлении N 1119 (см.
далее);
2) определить основные
типы потенциальных нарушителей на основании анализа круга лиц, имеющих
возможность доступа (санкционированного или несанкционированного) к
информационным системам персональных данных, перечень доверенных лиц,
актуальных нарушителей и проанализировать возможности актуальных нарушителей;
3) провести
классификацию угроз безопасности персональных данных и определить их перечень.
В этой связи крайне полезным может оказаться Банк данных угроз безопасности
информации ФСТЭК (БДУ), который содержит сведения об основных угрозах
безопасности информации и уязвимостях, в первую очередь характерных для
государственных информационных систем и автоматизированных систем управления
производственными и технологическими процессами критически важных объектов.
Данный банк данных является общедоступным источником информации <2>.
--------------------------------
<1> См.:
Практические рекомендации по соблюдению законодательства Российской Федерации о
персональных данных образовательными организациями / под ред. В.Д. Зыкова. М.,
2015. С. 12.
<2> С ним можно
ознакомиться по ссылке: https://bdu.fstec.ru/.
В качестве ориентира может
представлять интерес перечень угроз, приведенный Центральным банком РФ
<1>:
- угроза
несанкционированного доступа к персональным данным лицами, обладающими
полномочиями в информационной системе персональных данных, в том числе в ходе
создания, эксплуатации, технического обслуживания и (или) ремонта,
модернизации, снятия с эксплуатации информационной системы персональных данных;
- угроза воздействия
вредоносного кода, внешнего по отношению к информационной системе персональных
данных;
- угроза применения
методов социального инжиниринга к лицам, обладающим полномочиями в информационной
системе персональных данных;
- угроза
несанкционированного доступа к отчуждаемым носителям персональных данных;
- угроза утраты (потери)
носителей персональных данных, включая переносные персональные компьютеры
пользователей информационной системы персональных данных;
- угроза
несанкционированного доступа к персональным данным лицами, не обладающими
полномочиями в информационной системе персональных данных, с использованием
уязвимостей в организации защиты персональных данных;
- угроза
несанкционированного доступа к персональным данным лицами, не обладающими
полномочиями в информационной системе персональных данных, с использованием
уязвимостей в программном обеспечении информационной системы персональных
данных;
- угроза
несанкционированного доступа к персональным данным лицами, не обладающими
полномочиями в информационной системе персональных данных, с использованием
уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи
данных;
- угроза
несанкционированного доступа к персональным данным лицами, не обладающими
полномочиями в информационной системе персональных данных, с использованием
уязвимостей в обеспечении защиты вычислительных сетей информационной системы
персональных данных;
- угроза
несанкционированного доступа к персональным данным лицами, не обладающими
полномочиями в информационной системе персональных данных, с использованием
уязвимостей, вызванных несоблюдением требований по эксплуатации средств
криптографической защиты информации;
4) оценить вероятность
реализации угроз экспертным методом (по каждой из угроз компетентное лицо по
качественной шкале выдвигает оценочное заключение, основанное на его знаниях и
опыте, а также специфике конкретных обстоятельств);
5) рассчитать
вероятность реализации угрозы исходя из вероятности ее реализации и уровня
защищенности информационной системы персональных данных;
6) оценить экспертным
методом опасность угрозы;
7) определить
актуальность каждой из угроз и составить перечень актуальных угроз.
--------------------------------
<1> См.: указание
Банка России от 10 декабря 2015 г. N 3889-У "Об определении угроз
безопасности персональных данных, актуальных при обработке персональных данных
в информационных системах персональных данных".
3. Перечень организационных и
технических мер, необходимых в соответствии с п. 2 ч. 2 комментируемой статьи
для выполнения требований к защите персональных данных в соответствии с
уровнями защищенности персональных данных, установленными Правительством РФ,
предусмотрен в следующих актах <1>:
- Приказ ФСБ России от
10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных
и технических мер по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных с использованием
средств криптографической защиты информации, необходимых для выполнения
установленных Правительством Российской Федерации требований к защите
персональных данных для каждого из уровней защищенности". О понятии
средств криптографической защиты информации см. п. 2 Постановления
Правительства РФ от 16 апреля 2012 г. N 313;
- Приказ ФСТЭК России от
18 февраля 2013 г. N 21 "Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных данных";
- Приказ ФСТЭК России от
11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не
составляющей государственную тайну, содержащейся в государственных
информационных системах". Данный документ применяется наряду с
вышеуказанным к операторам, обрабатывающим персональные данные с использованием
государственных информационных систем.
В принципе, оператор может следовать указанным требованиям и для защиты
информации, обрабатываемой в негосударственных информационных системах, при
наличии на то его решения (п. 6 указанного документа). Указанные акты носят
достаточно технический характер и адресованы преимущественно специалистам в
области информационной безопасности.
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
Реализованные с учетом вышеуказанных
документов технические меры защиты персональных данных целесообразно отразить в
отдельном документе "Описание системы защиты персональных данных".
4. Применяемые средства
защиты информации должны в соответствии с п. 3 ч. 2 комментируемой статьи
пройти процедуру оценки соответствия. Порядок и условия проведения процедуры
оценки соответствия регулируются Федеральным законом от 27 декабря 2002 г. N
184-ФЗ "О техническом регулировании" <1> (далее - Закон о
техническом регулировании). В общем виде формы оценки соответствия указаны в
следующей схеме <2>.
--------------------------------
<1> Там же.
<2> Данная схема
взята из блога Алексея Лукацкого "Бизнес без опасности". URL:
http://lukatsky.blogspot.de/2011/04/blog-post_08.html.
Оценка соответствия
┌───────────────────┐
┌──┤
Госконтроль и │
│ │ надзор │
│
└───────────────────┘
│
┌───────────────────┐
├──┤
Аккредитация │
│
└───────────────────┘
┌───────────────────┐
│
┌───────────────────┐ ┌──┤ Добровольная │
├──┤
Испытания │ │
│ сертификация │
│
└───────────────────┘ │
└───────────────────┘
┌───────────────────┐ │
┌───────────────────┐ │
┌───────────────────┐
│
Оценка
├──┼──┤ Регистрация
├──┼──┤ Обязательная │
│
соответствия │ │
└───────────────────┘ │
│ сертификация │
└───────────────────┘ │
┌───────────────────┐ │
└───────────────────┘
│ │ Подтверждение │
│
┌───────────────────┐
├──┤
соответствия │ └──┤ Декларирование │
│
└───────────────────┘ │
соответствия │
│
┌───────────────────┐
└───────────────────┘
├──┤ Приемка и ввод в │
│ │ эксплуатацию │
│
└───────────────────┘
│
┌───────────────────┐
└──┤ В
иной форме │
└───────────────────┘
В ст. 2 Закона о техническом
регулировании указано, что оценка соответствия заключается в прямом или
косвенном определении соблюдения требований, предъявляемых к объекту согласно
техническим регламентам, положениям стандартов, сводам правил или условиям
договоров, по результатам чего выдается подтверждение соответствия.
Подтверждение соответствия может быть добровольным или обязательным (ст. 20).
Обязательное подтверждение соответствия проводится только в случаях,
установленных техническим регламентом на основании соответствия его требованиям
(п. 1 ст. 23 Закона о техническом регулировании). В настоящее время отсутствуют
специальные технические регламенты, применимые к оценке соответствия средств
защиты информации.
Тем не менее на практике
нередко встает вопрос о том, предусмотрена ли законодательством обязательная сертификация средств защиты
персональных данных, используемых оператором. Непосредственно в тексте самой ст.
19 Закона о персональных данных отсутствует данное требование. Оно
предусмотрено лишь в отношении отдельных категорий операторов:
- информационных систем,
эксплуатируемых бюро кредитных историй (ч. 2 ст. 7 Федерального закона от 30
декабря 2004 г. N 218-ФЗ);
- субъектов национальной
платежной системы в части используемых средств криптографической защиты
информации российского производства (п. 2.9.1 Положения Банка России от 9 июня
2012 г. N 382-П "О требованиях к обеспечению защиты информации при
осуществлении переводов денежных средств и о порядке осуществления Банком
России контроля за соблюдением требований к обеспечению защиты информации при
осуществлении переводов денежных средств");
- государственных и
муниципальных органов - в отношении средств защиты информации в государственных
информационных системах (ч. 5 ст. 16 Закона об информации и п. 11 Приказа ФСТЭК
России от 11 февраля 2013 г. N 17).
В отношении средств
защиты персональных данных в иных случаях законодательством РФ не установлено
обязательного требования о прохождении процедуры оценки соответствия исключительно
в форме обязательной сертификации, поэтому для указанных целей могут
применяться средства защиты информации, прошедшие процедуру соответствия в любой из предусмотренных Законом о
техническом регулировании форм. Это также означает и отсутствие запрета на
использование иностранных программных решений для целей защиты персональных
данных для большинства операторов персональных данных.
Кроме того, следует
отметить, что действующим законодательством не предусмотрено обязательной
сертификации на соответствие требованиям по безопасности информации средств
кодирования (шифрования), массово применяемых при передаче сообщений в
информационно-телекоммуникационной сети Интернет для защиты сведений, не
составляющих государственную тайну, в том числе в абонентских устройствах и
базовых станциях мобильной связи, компьютерах, оборудовании
информационно-телекоммуникационной сети Интернет <1>.
--------------------------------
<1> См.: извещение
ФСБ по вопросу использования несертифицированных средств кодирования
(шифрования) при передаче сообщений в информационно-телекоммуникационной сети
Интернет от 18 июля 2016 г. URL:
http://www.fsb.ru/fsb/science/single.htm!id=10437738@fsbResearchart.html.
5. Использование для защиты
персональных данных средств криптографической защиты информации не является
обязательным, за исключением случаев, когда соответствующие угрозы не могут
быть нейтрализованы только посредством таких средств:
- при передаче персональных
данных по каналам связи, не защищенным от перехвата или иных
несанкционированных воздействий на передаваемую информацию (в том числе
посредством сети Интернет);
- при хранении
персональных данных на носителях информации, несанкционированный доступ к
которым со стороны нарушителя не может быть предотвращен некриптографическими
методами и способами.
Соответствующие средства
криптографической защиты информации должны пройти процедуру оценки
соответствия. При этом перечень таких средств, сертифицированных ФСБ России,
опубликован на официальном сайте Центра по лицензированию, сертификации и
защите государственной тайны ФСБ России <1>.
--------------------------------
<1>
http://clsz.fsb.ru
6. Оценка эффективности принимаемых
мер, упомянутая в п. 4 ч. 2 комментируемой статьи, может быть проведена
оператором самостоятельно или с привлечением на договорной основе юридических
лиц и индивидуальных предпринимателей, имеющих лицензию ФСТЭК на осуществление
деятельности по технической защите конфиденциальной информации. Указанный
контроль проводится в сроки, определяемые оператором, но не реже чем 1 раз в 3
года <1>.
--------------------------------
<1> См.: п. 17
Требований к защите персональных данных при их обработке в информационных
системах персональных данных, утв. Постановлением Правительства РФ от 1 ноября
2012 г. N 1119.
Форма оценки эффективности, а также
форма и содержание документов, разрабатываемых по результатам оценки, актами
ФСТЭК не установлены, в связи с чем решение по форме оценки эффективности и
документов, разрабатываемых по результатам оценки эффективности, принимается
оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для
проведения оценки эффективности реализованных мер по обеспечению безопасности
персональных данных. В случае, если привлекаемая для реализации мер по
обеспечению безопасности персональных данных организация осуществляет
техническое обслуживание шифровальных (криптографических) средств,
информационных систем и телекоммуникационных систем, защищенных с
использованием шифровальных (криптографических) средств, используемых оператором
персональных данных, то она должна помимо лицензии ФСТЭК обладать лицензией ФСБ
на осуществление подобного рода действий <1>.
--------------------------------
<1> См.: Постановление
Правительства РФ от 16 апреля 2012 г. N 313 "Об утверждении Положения о
лицензировании деятельности по разработке, производству, распространению
шифровальных (криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств, выполнению работ, оказанию услуг в области
шифрования информации, техническому обслуживанию шифровальных
(криптографических) средств, информационных систем и телекоммуникационных
систем, защищенных с использованием шифровальных (криптографических) средств
(за исключением случая, если техническое обслуживание шифровальных
(криптографических) средств, информационных систем и телекоммуникационных
систем, защищенных с использованием шифровальных (криптографических) средств,
осуществляется для обеспечения собственных нужд юридического лица или
индивидуального предпринимателя)".
Оценка эффективности мер по защите
персональных данных может осуществляться в рамках работ по аттестации
информационной системы персональных данных в соответствии с национальным
стандартом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов
информатизации. Общие положения" (см. п. 3 Информационного сообщения ФСТЭК
России от 15 июля 2013 г. N 240/22/2637).
7. Учет машинных
носителей персональных данных, упомянутый в п. 5 ч. 2 комментируемой статьи,
является одной из мер, направленных на обеспечение их сохранности. Учет таких
носителей является мерой, необходимой для информационных систем персональных
данных 1-го и 2-го уровней защищенности (см. раздел 4 Приложения к Составу и
содержанию организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных Приказа ФСТЭК от 18 февраля 2013 г. N 21). В отношении съемных видов
машинных носителей (флешки, внешние жесткие диски, мобильные устройства и пр.)
следует учитывать положения п. 7 Приказа ФСБ от 10 июля 2014 г. N 378, в
соответствии с которым необходимо:
а) осуществлять хранение
съемных машинных носителей персональных данных в сейфах (металлических шкафах),
оборудованных внутренними замками с двумя или более дубликатами ключей и
приспособлениями для опечатывания замочных скважин или кодовыми замками. В
случае если на съемном машинном носителе персональных данных хранятся только
персональные данные в зашифрованном с использованием СКЗИ виде, допускается
хранение таких носителей вне сейфов (металлических шкафов);
б) осуществлять
поэкземплярный учет машинных носителей персональных данных, который достигается
путем ведения журнала учета носителей персональных данных с использованием
регистрационных (заводских) номеров.
8. Обнаружение фактов
несанкционированного доступа к персональным данным, упоминаемое в п. 6 ч. 2
комментируемой статьи, должно в соответствии с п. 8.7 Приказа ФСТЭК от 18
февраля 2013 г. N 21 обеспечиваться мерами по обнаружению (предотвращению)
вторжений. Система обнаружения вторжений должна обеспечивать обнаружение
действий в информационной системе, направленных на несанкционированный доступ к
информации, специальные воздействия на информационную систему и (или)
персональные данные в целях добывания, уничтожения, искажения и блокирования
доступа к персональным данным, а также реагирование на эти действия. Такого рода
системы можно разделить на 2 основные группы: пассивные (Intrusion Detection
System, IDS) и активные (Intrusion Prevention System, IPS). В пассивной системе
при обнаружении нарушения безопасности информация о нарушении записывается в
лог (журнал событий) приложения, а сигналы опасности отправляются на консоль
и/или администратору системы по определенному каналу связи. Активная система
ведет ответные действия на нарушение, сбрасывая соединение или перенастраивая
межсетевой экран для блокирования трафика от злоумышленника, например для
защиты от DDoS-атак <1>.
--------------------------------
<1> От англ.
denial of service (отказ в обслуживании) - хакерская атака на информационную
систему с целью довести ее до отказа, то есть создание таких условий, при
которых добросовестные пользователи системы не могут получить доступ к
предоставляемым системным ресурсам (серверам), либо этот доступ затруднен.
Системы обнаружения вторжений
позволяют отслеживать трафик в компьютерной сети и блокировать подозрительные
потоки данных или осуществлять поведенческий анализ процессов на компьютере с
целью выявления подозрительной активности. Требования к системам обнаружения
вторжений в государственных информационных системах утверждены Приказом ФСТЭК
России от 6 декабря 2011 г. N 638.
В декабре 2020 г. в
рамках законодательных инициатив, направленных на повышение уровня защиты
конфиденциальности сведений о судьях, должностных лицах правоохранительных и
контролирующих органов, были подготовлены изменения в п. 6 ч. 2 ст. 19 Закона о
персональных данных, предусматривающие в качестве дополнительной гарантии
обеспечения безопасности персональных данных указанных лиц требование об
организации взаимодействия операторов информационных систем персональных данных
с государственной системой обнаружения, предупреждения и ликвидации
компьютерных атак на информационные ресурсы РФ (ГосСОПКА) <1>. Однако,
учитывая высокие сложности, связанные с выполнением данного требования всеми
операторами персональных данных, обусловленные необходимостью использования
специального программного обеспечения, сертифицированного ФСБ, для шифрования,
автоматизации механизмов передачи данных в круглосуточном режиме и др., от этой
идеи отказались в итоговой редакции Закона <2>. Финальная формулировка
стала звучать куда более нейтрально и всего лишь немного конкретизировала,
какие именно меры должны быть приняты оператором по обнаружении факта
несанкционированного доступа к персональным данным. К ним относятся "меры
по обнаружению, предупреждению и ликвидации последствий компьютерных атак на
информационные системы персональных данных и по реагированию на компьютерные
инциденты в них".
--------------------------------
<1> См.:
законопроект N 107043-1 "О внесении изменений в отдельные законодательные
акты Российской Федерации в части обеспечения конфиденциальности сведений о
защищаемых лицах и об осуществлении оперативно-розыскной деятельности".
URL: https://sozd.duma.gov.ru/bill/1070431-7.
<2> См. ст. 3
Федерального закона от 30 декабря 2020 г. N 515-ФЗ "О внесении изменений в
отдельные законодательные акты Российской Федерации в части обеспечения
конфиденциальности сведений о защищаемых лицах и об осуществлении
оперативно-розыскной деятельности".
9. Восстановление персональных данных,
модифицированных или уничтоженных вследствие несанкционированного доступа к
ним, как техническая мера защиты персональных данных, упомянутая в п. 7 ч. 2
комментируемой статьи, может осуществляться посредством регулярного резервного
копирования персональных данных.
10. Поскольку
персональные данные являются разновидностью информации ограниченного доступа,
то по общему правилу доступ к ним должен осуществляться в силу служебной
необходимости и зависеть от характера выполняемой работником трудовой функции.
С технической точки зрения это реализуется посредством установления моделей
разграничения доступа к информационным системам персональных данных, а также
обеспечением регистрации и учета всех действий, совершаемых с персональными
данными в информационной системе персональных данных (п. 8 ч. 2 комментируемой
статьи).
Разграничение доступа
представляет собой совокупность правил, регламентирующих порядок и условия
доступа субъекта к объектам информационной системы. Существуют две основные
модели разграничения доступа:
- мандатное
разграничение доступа;
- дискреционное
разграничение доступа.
В мандатной модели обычные пользователи лишены возможности управлять
настройками политик безопасности. Например, возможность доступа к тому или
иному объекту определяется уровнем его конфиденциальности и уровнем допуска
пользователя, которые жестко заданы для каждого пользователя и объекта. Данная
модель обладает невысокой гибкостью и высокой трудоемкостью настройки политик
безопасности, но при этом позволяет достичь высокого уровня управляемости
безопасностью. Пример: субъект "Пользователь N 2", имеющий допуск
уровня "не секретно", не может получить доступ к объекту, имеющему
метку "для служебного пользования". В то же время субъект
"Пользователь N 1" с допуском уровня "секретно" право
доступа к объекту с меткой "для служебного пользования" имеет.
В дискреционной модели управление доступом субъектов к информационным
объектам базируется на том, что пользователи в том или ином объеме могут
управлять настройками политик безопасности. Уровень допуска к тому или иному
объекту определяется "суперпользователем" исходя из группы, к которой
принадлежит субъект. Например, если субъект "Пользователь N 1" входит
в группу "юристы", то он имеет доступ к сведениям о должниках, в то
же время субъект "Пользователь N 2", входящий в группу "служба
IT-поддержки", не имеет. При этом формирование и назначение ролей работников
организации следует осуществлять с учетом соблюдения принципа предоставления
минимальных прав и полномочий, необходимых для выполнения служебных
обязанностей.
В качестве ориентира при
имплементации модели разграничения доступа можно руководствоваться положениями п.
7 Стандарта Банка России "Обеспечение информационной безопасности
организаций банковской системы Российской Федерации. Общие положения" СТО
БР ИББС-1.0-2014" <1>.
--------------------------------
<1> Принят и
введен в действие распоряжением Банка России от 17 мая 2014 г. N Р-399.
11. Все принимаемые оператором
правовые, организационные и технические меры во многом утрачивают смысл, если
отсутствует надлежащий контроль за их точной и своевременной реализацией. В
этой связи п. 9 ч. 2 комментируемой статьи устанавливает необходимость
осуществления контроля за принимаемыми мерами по обеспечению безопасности персональных
данных и уровня защищенности информационных систем персональных данных. В
частности, такой контроль может осуществляться посредством внутреннего и
внешнего аудита, мониторинга реализации защитных мер, модификации системы
безопасности по результатам проведенных аудитов.
12. В соответствии с ч.
3 комментируемой статьи Правительство РФ устанавливает виды угроз безопасности
персональным данным, уровни защищенности персональных данных, требования к
защите с учетом необходимого уровня защищенности. Указанные элементы
определяются с учетом возможного вреда субъекту персональных данных, объема и
содержания обрабатываемых персональных данных, вида деятельности, при осуществлении
которого обрабатываются персональные данные, актуальности угроз безопасности
персональных данных. Во исполнение требований комментируемой статьи было принято
Постановление Правительства РФ от 1 ноября 2012 г. N 1119, утвердившее Требования
к защите персональных данных при их обработке в информационных системах
персональных данных.
В самом общем виде
алгоритм применения данного документа можно свести к следующим шагам:
1) определяются
актуальные угрозы (всего 3 типа угроз);
2) в зависимости от типа
угроз, а также количества субъектов персональных данных, видов персональных
данных (биометрические, специальные категории, общедоступные) определяется
требуемый уровень защищенности (всего 4 уровня);
3) в соответствии с Приказом
ФСБ N 378 и Приказом ФСТЭК N 21 оператором определяется состав и содержание
конкретных организационных и технических мер по обеспечению безопасности ПД для
каждого из 4 уровней защищенности.
Угрозы безопасности персональных данных определены в п. 6 Постановления N
1119:
- угрозы 1-го типа
актуальны для информационной системы, если для нее в том числе актуальны угрозы,
связанные с наличием недокументированных (недекларированных) возможностей в
системном программном обеспечении, используемом в информационной системе;
- угрозы 2-го типа
актуальны для информационной системы, если для нее в том числе актуальны
угрозы, связанные с наличием недокументированных (недекларированных)
возможностей в прикладном программном обеспечении, используемом в
информационной системе;
- угрозы 3-го типа
актуальны для информационной системы, если для нее актуальны угрозы, не
связанные с наличием недокументированных (недекларированных) возможностей в
системном и прикладном программном обеспечении, используемом в информационной
системе.
Уровни защищенности персональных данных установлены в п. 8 - 12 Постановления
N 1119.
Необходимость
обеспечения 1-го уровня защищенности
персональных данных при их обработке в информационной системе устанавливается
при наличии хотя бы одного из следующих условий:
а) для информационной
системы актуальны угрозы 1-го типа, и информационная система обрабатывает либо
специальные категории персональных данных, либо биометрические персональные
данные, либо иные категории персональных данных;
б) для информационной
системы актуальны угрозы 2-го типа, и информационная система обрабатывает
специальные категории персональных данных более чем 100 000 субъектов
персональных данных, не являющихся сотрудниками оператора.
Необходимость
обеспечения 2-го уровня защищенности
персональных данных при их обработке в информационной системе устанавливается
при наличии хотя бы одного из следующих условий:
а) для информационной
системы актуальны угрозы 1-го типа, и информационная система обрабатывает
общедоступные персональные данные;
б) для информационной
системы актуальны угрозы 2-го типа, и информационная система обрабатывает
специальные категории персональных данных сотрудников оператора или специальные
категории персональных данных менее чем 100 000 субъектов персональных данных,
не являющихся сотрудниками оператора;
в) для информационной
системы актуальны угрозы 2-го типа, и информационная система обрабатывает
биометрические персональные данные;
г) для информационной
системы актуальны угрозы 2-го типа, и информационная система обрабатывает
общедоступные персональные данные более чем 100 000 субъектов персональных
данных, не являющихся сотрудниками оператора;
д) для информационной
системы актуальны угрозы 2-го типа, и информационная система обрабатывает иные
категории персональных данных более чем 100 000 субъектов персональных данных,
не являющихся сотрудниками оператора;
е) для информационной
системы актуальны угрозы 3-го типа, и информационная система обрабатывает
специальные категории персональных данных более чем 100 000 субъектов
персональных данных, не являющихся сотрудниками оператора.
Необходимость
обеспечения 3-го уровня защищенности
персональных данных при их обработке в информационной системе устанавливается
при наличии хотя бы одного из следующих условий:
а) для информационной
системы актуальны угрозы 2-го типа, и информационная система обрабатывает
общедоступные персональные данные сотрудников оператора или общедоступные
персональные данные менее чем 100 000 субъектов персональных данных, не
являющихся сотрудниками оператора;
б) для информационной
системы актуальны угрозы 2-го типа, и информационная система обрабатывает иные
категории персональных данных сотрудников оператора или иные категории
персональных данных менее чем 100 000 субъектов персональных данных, не
являющихся сотрудниками оператора;
в) для информационной
системы актуальны угрозы 3-го типа, и информационная система обрабатывает
специальные категории персональных данных сотрудников оператора или специальные
категории персональных данных менее чем 100 000 субъектов персональных данных,
не являющихся сотрудниками оператора;
г) для информационной
системы актуальны угрозы 3-го типа, и информационная система обрабатывает
биометрические персональные данные;
д) для информационной
системы актуальны угрозы 3-го типа, и информационная система обрабатывает иные
категории персональных данных более чем 100 000 субъектов персональных данных,
не являющихся сотрудниками оператора.
Необходимость
обеспечения 4-го уровня защищенности
персональных данных при их обработке в информационной системе устанавливается
при наличии хотя бы одного из следующих условий:
а) для информационной
системы актуальны угрозы 3-го типа, и информационная система обрабатывает
общедоступные персональные данные;
б) для информационной
системы актуальны угрозы 3-го типа, и информационная система обрабатывает иные
категории персональных данных сотрудников оператора или иные категории
персональных данных менее чем 100 000 субъектов персональных данных, не
являющихся сотрудниками оператора.
Приведенные положения
могут быть продемонстрированы в виде следующей таблицы <1>.
--------------------------------
<1> Указанная
таблица взята из следующей работы: Практические рекомендации по соблюдению
законодательства Российской Федерации о персональных данных образовательными
организациями / под ред. В.Д. Зыкова. М., 2015. С. 13.
Кол-во субъектов |
Категория данных |
Категория субъектов |
Актуальные угрозы |
Уровень защищенности |
Более 100
000 |
Специальные категории |
Сотрудников |
Угрозы 1-го типа |
1 |
Угрозы 2-го типа |
2 |
|||
Угрозы 3-го типа |
3 |
|||
Не сотрудников |
Угрозы 1-го типа |
1 |
||
Угрозы 2-го типа |
1 |
|||
Угрозы 3-го типа |
2 |
|||
Биометрические данные |
Сотрудников и не сотрудников |
Угрозы 1-го типа |
1 |
|
Угрозы 2-го типа |
2 |
|||
Угрозы 3-го типа |
3 |
|||
Иные категории |
Сотрудников |
Угрозы 1-го типа |
1 |
|
Угрозы 2-го типа |
3 |
|||
Угрозы 3-го типа |
4 |
|||
Не сотрудников |
Угрозы 1-го типа |
1 |
||
Угрозы 2-го типа |
2 |
|||
Угрозы 3-го типа |
3 |
|||
Общедоступные данные |
Сотрудников |
Угрозы 1-го типа |
2 |
|
Угрозы 2-го типа |
3 |
|||
Угрозы 3-го типа |
4 |
|||
Не сотрудников |
Угрозы 1-го типа |
2 |
||
Угрозы 2-го типа |
2 |
|||
Угрозы 3-го типа |
4 |
|||
Менее 100 000 |
Специальные категории |
Сотрудников и не сотрудников |
Угрозы 1-го типа |
1 |
Угрозы 2-го типа |
2 |
|||
Угрозы 3-го типа |
3 |
|||
Биометрические данные |
Сотрудников и не сотрудников |
Угрозы 1-го типа |
1 |
|
Угрозы 2-го типа |
2 |
|||
Угрозы 3-го типа |
3 |
|||
Иные категории |
Сотрудников и не сотрудников |
Угрозы 1-го типа |
1 |
|
Угрозы 2-го типа |
3 |
|||
Угрозы 3-го типа |
4 |
|||
Общедоступные данные |
Сотрудников и не сотрудников |
Угрозы 1-го типа |
2 |
|
Угрозы 2-го типа |
3 |
|||
Угрозы 3-го типа |
4 |
13. Вследствие возможного наличия у
операторов персональных данных определенной специфики в части обрабатываемых
персональных данных и структурирования процессов их обработки, ч. 5
комментируемой статьи предоставляет государственным органам, Банку России,
государственным внебюджетным фондам право принимать в пределах своих полномочий
нормативные правовые акты, в которых они могут определять угрозы безопасности
персональных данных, актуальные для них. Такая возможность может
использоваться, в частности, для подготовки перечня актуальных угроз для
операторов (организаций), находящихся в сфере регулирования такого органа
власти или для защиты ведомственных информационных систем персональных данных.
Такого рода нормативные акты должны быть согласованы с ФСБ и ФСТЭК. Существуют
специальные Методические рекомендации ФСБ по разработке нормативных правовых
актов, определяющих угрозы безопасности персональных данных, актуальные при
обработке персональных данных в информационных системах персональных данных,
эксплуатируемых при осуществлении соответствующих видов деятельности <1>.
--------------------------------
<1> Утверждены ФСБ
России 31 марта 2015 г. N 149/7/2/6-432.
В качестве примера акта,
разработанного в порядке, предусмотренном комментируемым положением, можно
упомянуть Указание Банка России от 10 декабря 2015 г. N 3889-У "Об
определении угроз безопасности персональных данных, актуальных при обработке
персональных данных в информационных системах персональных данных".
14. Часть 6
комментируемой статьи устанавливает любопытное положение, согласно которому
ассоциации, союзы и иные объединения операторов могут определять дополнительные
угрозы безопасности персональных данных с учетом специфики деятельности таких
операторов. При этом, по всей видимости, под дополнительными угрозами
безопасности следует понимать те из них, которые не являются основными, то есть
определенными Постановлением N 1119 и подзаконными актами к нему. Такого рода
акты подлежат согласованию с ФСТЭК и ФСБ в порядке, установленном Постановлением
Правительства РФ от 18 сентября 2012 г. N 940 "Об утверждении Правил
согласования проектов решений ассоциаций, союзов и иных объединений операторов
об определении дополнительных угроз безопасности персональных данных,
актуальных при обработке персональных данных в информационных системах
персональных данных, эксплуатируемых при осуществлении определенных видов
деятельности членами таких ассоциаций, союзов и иных объединений операторов, с
Федеральной службой безопасности Российской Федерации и Федеральной службой по
техническому и экспортному контролю".
15. В соответствии с частью
8 комментируемой статьи ФСТЭК и ФСБ в пределах своих полномочий (ФСБ - в части
использования криптографических средств защиты информации; ФСТЭК - всех
остальных) вправе осуществлять контроль и надзор за выполнением организационных
и технических мер при обработке персональных данных в государственных
информационных системах персональных данных без права ознакомления с
персональными данными, обрабатываемыми в информационных системах персональных
данных. При этом ни ФСТЭК, ни ФСБ не наделены полномочиями по проведению
контрольно-надзорных мероприятий в отношении операторов персональных данных, не
являющихся государственными или муниципальными органами.
Можно привести два
исключения из данного утверждения:
1) случаи,
предусмотренные ч. 9 комментируемой статьи, когда решением Правительства РФ в
отношении негосударственных информационных систем ФСТЭК и ФСБ могут быть
предоставлены полномочия по проведению проверок на предмет их соответствия
техническим требованиям защиты информации без права ознакомления с
персональными данными, обрабатываемыми в информационных системах персональных
данных. Такое решение должно приниматься
Правительством РФ с
учетом значимости и содержания обрабатываемых персональных данных;
2) возможность
проведения проверки соблюдения оператором требований ст. 19 Закона о
персональных данных прокуратурой в рамках общего надзора за соблюдением
законодательства РФ (ст. 21 Федерального закона от 17 января 1992 г. N 2202
"О прокуратуре Российской Федерации" <1>).
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
Однако указанные исключения лишь
подтверждают общее правило, суть которого сводится к тому, что действующее
законодательство устанавливает ряд требований к операторам по принятию ими
технических мер защиты персональных данных, однако соблюдение этих мер
большинством коммерческих (негосударственных) операторов государственными
органами фактически не проверяется.
16. Требования к
материальным носителям биометрических персональных данных и технологиям
хранения таких данных вне информационных систем персональных данных утверждены
Постановлением Правительства РФ от 6 июля 2008 г. N 512. В частности,
материальный носитель с биометрическими данными должен обеспечивать:
а) защиту от
несанкционированной повторной и дополнительной записи информации после ее
извлечения из информационной системы персональных данных;
б) возможность доступа к
записанным на материальный носитель биометрическим персональным данным,
осуществляемого оператором и лицами, уполномоченными в соответствии с
законодательством Российской Федерации на работу с биометрическими
персональными данными;
в) возможность
идентификации информационной системы персональных данных, в которую была
осуществлена запись биометрических персональных данных, а также оператора,
осуществившего такую запись;
г) невозможность
несанкционированного доступа к биометрическим персональным данным, содержащимся
на материальном носителе.
При хранении
биометрических персональных данных вне информационных систем персональных
данных должна обеспечиваться регистрация фактов несанкционированной повторной и
дополнительной записи информации после ее извлечения из информационной системы
персональных данных. Оператор биометрических данных обязан: а) осуществлять
учет количества экземпляров материальных носителей; б) осуществлять присвоение
материальному носителю уникального идентификационного номера, позволяющего
точно определить оператора, осуществившего запись биометрических персональных
данных на материальный носитель; в) использовать информационные технологии,
позволяющие сохранить целостность и неизменность биометрических персональных
данных, записанных на материальный носитель, а также любой иной информации,
имеющей отношение к ним.
Подробнее о
биометрических данных см. комментарий к ст. 11 Закона.
Статья 20. Обязанности
оператора при обращении к нему субъекта персональных данных либо при получении
запроса субъекта персональных данных или его представителя, а также
уполномоченного органа по защите прав субъектов персональных данных
Комментарий к статье 20
1. Комментируемая статья
конкретизирует положения ст. 14 о праве субъекта персональных данных на доступ
к его персональным данным, устанавливая порядок исполнения оператором
обязанностей по предоставлению субъекту в ответ на его обращение возможности
ознакомления с его персональными данными. В частности, комментируемая статья
устанавливает сроки исполнения обязанности, ее безвозмездный характер, порядок
отказа оператором в удовлетворении запроса. Требования, предъявляемые к самому
запросу, содержатся в ст. 14 (см. комментарий к ней).
2. Срок исполнения
оператором обязанности по предоставлению субъекту запрошенной информации об
обрабатываемых персональных данных составляет согласно ч. 1 комментируемой
статьи 30 календарных дней с момента получения запроса от субъекта или его
представителя. Аналогичный срок дается для подготовки мотивированного
письменного отказа в предоставлении таких данных, если соответствующее
основание предусмотрено в законе (ч. 8 ст. 14 Закона о персональных данных).
Срок исполнения
оператором обязанности по уточнению неполных, неточных или неактуальных
сведений - 7 рабочих дней с момента получения от субъекта сведений,
подтверждающих, что персональные данные являются неполными, неточными или
неактуальными (ч. 3 комментируемой статьи).
Срок исполнения
оператором обязанности по удалению незаконно полученных или не являющихся
необходимыми для заявленной цели обработки персональных данных - 7 рабочих дней
с момента получения от субъекта сведений, подтверждающих, что персональные
данные являются таковыми (ч. 3 комментируемой статьи).
3. При исполнении
оператором обязанности по уточнению или удалению соответствующих персональных
данных оператор обязан уведомить субъекта персональных данных или его
представителя о внесенных изменениях и предпринятых мерах и принять разумные
меры для уведомления третьих лиц, которым персональные данные этого субъекта
были переданы. О порядке исполнения указанной обязанности см. комментарий к ст.
14 Закона.
4. Часть 4
комментируемой статьи устанавливает обязанность оператора предоставить
запрошенную Роскомнадзором информацию в течение 30 календарных дней с момента
поступления соответствующего запроса. Разумеется, запрос о предоставлении
информации должен быть сделан Роскомнадзором в пределах своей компетенции (см. комментарий
к ст. 23 Закона). В качестве примеров запросов, которые операторы могут
получить из Роскомнадзора, можно указать запросы на предоставление информации о
выполнении требований локализации персональных данных, в частности о
местонахождении базы данных, содержащей персональные данные российских граждан
(Постановление Московского городского суда от 9 июля 2019 г. N 4а-4186/2019; Постановление
Верховного суда Республики Башкортостан от 25 октября 2018 г. N 4А-2046/2018).
Также достаточно часто в адрес операторов поступают запросы о предоставлении
уведомления о намерении осуществлять обработку персональных данных либо
сведений с указанием законных оснований, в соответствии с которыми оператор
вправе осуществлять обработку персональных данных без уведомления
уполномоченного органа (Постановление Девятого кассационного суда общей
юрисдикции от 3 ноября 2020 г. N 16-1522/2020).
Непредоставление
сведений в Роскомнадзор может являться основанием для привлечения оператора к
административной ответственности по ст. 19.7 КоАП РФ.
5. Действия оператора по
предоставлению запрошенных субъектом сведений об обрабатываемых персональных
данных должны предоставляться согласно ч. 3 комментируемой статьи на
безвозмездной основе. В этой связи судом были признаны незаконными действия по
взиманию платы за выдачу справок паспортного стола, выписок из
финансово-лицевого счета, архивных справок (Апелляционное определение
Магаданского областного суда от 12 ноября 2014 г. по делу N 2-1449/2014,
33-943/2014).
6. Обязанности
оператора, указанные в комментируемой статье, носят безусловный характер и не
могут ставиться в зависимость от погашения задолженности по существующим
договорам между оператором и субъектом. Так, суд признал незаконным отказ ЖСК в
выдаче гражданину выписки из домовой книги по причине наличия у него
задолженности по коммунальным платежам (Апелляционное определение Московского
городского суда от 20 февраля 2017 г. по делу N 33-6741/2017).
7. При применении
положений о сроках необходимо учитывать положения гл. 11 ГК РФ о порядке
исчисления сроков, в частности, что течение срока, определенного периодом
времени, начинается на следующий день после календарной даты или наступления события
(ст. 191 ГК РФ). Если последний день срока приходится на нерабочий день, днем
окончания срока считается ближайший следующий за ним рабочий день (ст. 193 ГК
РФ). Для определения момента отсчета срока следует учитывать положения ст.
165.1 ГК РФ о юридически значимых сообщениях, предусматривающие, что сообщение
считается доставленным и в тех случаях, если оно поступило лицу, которому оно
направлено (адресату), но по обстоятельствам, зависящим от него, не было ему
вручено или адресат не ознакомился с ним. В частности, сообщения, доставленные
по адресу, который указан в ЕГРЮЛ, считаются полученными юридическим лицом,
даже если оно не находится по этому адресу (см., например, решение Верховного
Суда РФ от 22 октября 2015 г. N АКПИ15-908).
Статья 21. Обязанности
оператора по устранению нарушений законодательства, допущенных при обработке
персональных данных, по уточнению, блокированию и уничтожению персональных
данных
1. Рассматриваемая статья
конкретизирует обязанности оператора, возникающие в связи с выявлением
оператором фактов неправомерной обработки персональных данных или обработки
неточных персональных данных. Данные факты могут быть обнаружены оператором
самостоятельно или в результате обращения/запроса субъекта персональных данных
или Роскомнадзора. К сожалению, юридическая техника положений комментируемой статьи
оставляет желать лучшего, что проявляется как в нечеткости описания
обстоятельств, в связи с которыми возникают соответствующие обязанности, так и
в несогласованности положений данной статьи с нормами, содержащимися в ст. 5
Закона о персональных данных. Использование повторяющихся и громоздких
формулировок также не способствует ясности правовых норм, содержащихся в
комментируемой статье.
2. Часть
1 комментируемой статьи предусматривает обязанность оператора осуществить
блокирование неправомерно обрабатываемых
персональных данных на период проведения проверки соответствующих
обстоятельств. В случае если обработка осуществляется привлеченным лицом,
действующим по поручению оператора, то последний должен предпринять меры по
обеспечению блокирования, то есть дать соответствующее указание
"обработчику". Поводом для проверки могут послужить: 1) личное
обращение субъекта персональных данных или его представителя; 2) запрос
субъекта персональных данных или его представителя; 3) запрос Роскомнадзора.
Представляется, что нет никаких препятствий к тому, чтобы применять данные
положения оператору и по собственной инициативе, в случае возникновения
соответствующих подозрений в ходе проведения внутренних проверок и аудитов.
Блокировка должна быть
осуществлена непосредственно в момент обращения указанных лиц или получения от
них запроса и действовать в течение периода проверки. При этом, как справедливо
отмечается в литературе, блокирование допускается исключительно в отношении неправомерно обрабатываемых
персональных данных субъекта. Из этого следует сделать вывод, что если лицо
предоставило согласие на обработку определенных персональных данных (фамилии,
имени, отчества), но не предоставило согласие в отношении других (номер телефона,
изображение), блокироваться будут не все персональные данные указанного лица, а
лишь те, которые обрабатываются без соответствующих оснований <1>.
--------------------------------
<1> См.: Амелин
Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С. Комментарий к
Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных"
(постатейный). 2013 (СПС "КонсультантПлюс") (комментарий к ст. 21).
В случае если по результатам проверки
будет подтвержден факт неправомерной обработки определенных персональных
данных, оператор согласно ч. 3 комментируемой статьи обязан:
1) в течение трех
рабочих дней - обеспечить правомерность такой обработки, устранив тем самым
обстоятельства, которые обуславливают неправомерный характер обработки.
Например, получив соответствующее требованиям ст. 9 Закона о персональных
данных согласие от субъекта или выполнив условия, указанные в ст. 6, 10, 11
Закона о персональных данных, относительно оснований для обработки персональных
данных в отсутствие согласия субъекта, либо
2) в течение десяти
рабочих дней - уничтожить неправомерно обрабатываемые персональные данные, либо
3) если удаление
неправомерно обрабатываемых персональных данных в течение десяти рабочих дней
невозможно, то обеспечить дальнейшую блокировку неправомерно обрабатываемых
данных и осуществить их последующее уничтожение в срок, не превышающий шести
месяцев, если иное не установлено договором.
Следует отметить, что Закон
не предусматривает частичного уничтожения персональных данных оператором либо
возможности их уничтожения в зависимости от вида носителя, на котором хранится
такая информация. Поэтому не будет соответствовать требованиям закона
уничтожение персональных данных, допустим, только в некоторых электронных базах
(например, содержащих список клиентов) с сохранением их в других (Постановление
Четвертого арбитражного апелляционного суда от 9 июля 2012 г. по делу N
А10-125/2012). На практике операторы привлекаются к ответственности за
нарушение порядка обработки персональных данных в случаях, когда, несмотря на
наличие документов, подтверждающих уничтожение персональных данных, субъект
продолжает получать рекламные рассылки или ошибочные сообщения о наличии
задолженности от оператора (Апелляционное определение Алтайского краевого суда
от 27 мая 2020 г. по делу N 33-2930/2020; Постановление Девятого арбитражного
апелляционного суда от 20 июня 2012 г. по делу N А40-37604/12-154-352).
В зависимости от того,
что послужило основанием для инициирования проверки (обращение/запрос субъекта
или Роскомнадзора), оператор обязан уведомить соответствующее лицо о
предпринятых мерах. При этом закон не конкретизирует форму такого уведомления,
в связи с чем оно, в принципе, может быть сделано и в устной форме, однако для
целей обеспечения возможности подтверждения факта выполнения данной обязанности
целесообразно делать это в письменной или электронной форме. Срок
информирования законом также не установлен. По мнению представителей
Роскомнадзора, такой срок не должен превышать 30 календарных дней <1>.
--------------------------------
<1> См.:
Федеральный закон "О персональных данных": научно-практический комментарий
/ под ред. А.А. Приезжевой. С. 124.
В случае если проведенная оператором
проверка не подтвердила факта неправомерности обработки персональных данных, то
оператор прекращает блокирование таких данных. Формально закон не требует
уведомления субъекта и (или) Роскомнадзора об этом (из буквального толкования
положений ч. 3 комментируемой статьи соответствующая обязанность касается лишь
случаев "устранения допущенных нарушений" или "уничтожения
персональных данных"), но представляется, что оператору целесообразно это
сделать.
О понятии и порядке
уничтожения и блокирования персональных данных см. комментарий к ст. 3 Закона.
3. В случае обнаружения
оператором факта обработки неточных
персональных данных он обязан осуществить блокирование таких данных и
инициировать проверку данных обстоятельств. В случае если обработка
осуществляется привлеченным лицом, действующим по поручению оператора, то
последний должен предпринять меры по обеспечению блокирования, то есть дать
соответствующее указание "обработчику". В отличие от случаев проверки
факта неправомерной обработки персональных данных, где требование об их
блокировке на период проведения проверки является безусловным, в ситуации с
проверкой факта обработки неточных персональных данных оператор осуществляет
блокирование таких данных, только если это не нарушает прав и законных
интересов субъекта персональных данных или третьих лиц. Наличие обстоятельств,
которые, по мнению оператора, могут свидетельствовать о возможном нарушении
прав и законных интересов субъекта персональных данных или третьих лиц в
результате блокировки потенциально неточных персональных данных на период
проверки, должен доказывать оператор.
Поводами для проведения
соответствующей проверки оператором выступают те же основания, что и для
проверки фактов неправомерной обработки персональных данных: 1) обращение
субъекта персональных данных или его представителя; 2) запрос субъекта
персональных данных или его представителя; 3) запрос Роскомнадзора.
Представляется, что нет никаких препятствий к тому, чтобы применять данные
положения оператору и по собственной инициативе, в случае возникновения
соответствующих подозрений в ходе проведения внутренних проверок и аудитов.
В случае если по
результатам проверки будет подтвержден факт обработки неточных персональных
данных, то оператор согласно ч. 2 комментируемой статьи обязан: 1) уточнить
указанные сведения и 2) снять блокировку.
Согласно ч. 2
комментируемой статьи указанные действия должны быть совершены в течение семи
дней с момента получения сведений от субъекта персональных данных (его
представителя) и (или) Роскомнадзора. Поскольку в подавляющем большинстве
случаев такие сведения будут содержаться в исходном обращении (запросе),
исходящем от соответствующего лица, то фактически этот срок означает, что
проверка и последующие действия в случае подтверждения фактов должны быть
совершены в течение 7 рабочих дней. В отличие от случаев выявления фактов
неправомерной обработки персональных данных по результатам проверки, в случае с
неточными персональными данными оператор формально не обязан уведомлять
субъекта персональных данных или иное лицо, инициировавшее запрос, о
предпринятых мерах.
Закон не регламентирует
действия оператора на случай, если проверка не подтвердила факт обработки
неточных персональных данных. Представляется, что в таком случае оператор
вправе снять блокировку и продолжить обрабатывать соответствующие данные в том
же режиме, что и прежде. Однако поскольку проверка проводилась оператором
самостоятельно, то он несет риск того, что ее результаты могут быть оспорены
впоследствии в административном или судебном порядке.
4. Часть 4
комментируемой статьи посвящена порядку действий оператора на случай достижения
цели обработки персональных данных. Общее правило состоит в том, что оператор
обязан прекратить дальнейшую обработку и уничтожить соответствующие данные на
всех носителях, где они содержатся. Данное правило отличается от положений ч. 7
ст. 5 Закона, согласно которым обрабатываемые персональные данные подлежат
уничтожению либо обезличиванию по достижении целей обработки. Часть 4 ст. 21
Закона не упоминает возможности обезличивания в качестве допустимой опции,
имеющейся у оператора. Представляется, что данная коллизия должна разрешаться в
пользу положений ст. 5 Закона, поскольку принципы представляют собой правовые
предписания, предопределяющие содержание конкретных норм, которые не должны
вступать в противоречие с принципами.
Оператор имеет право
продолжить обработку персональных данных, цели которой были достигнуты, в тех
случаях, когда имеется другая законная цель, в частности когда дальнейшая
обработка прямо предусмотрена законом. Например, банковская организация,
несмотря на исполнение договора с клиентом, обязана продолжать хранить в
течение не менее пяти лет сведения, необходимые для его идентификации, в
соответствии с требованиями Федерального закона от 7 августа 2001 г. N 115-ФЗ
"О противодействии легализации (отмыванию) доходов, полученных преступным
путем, и финансированию терроризма" (п. 4 ст. 7).
5. Часть 4 Закона о
персональных данных устанавливает срок, в течение которого персональные данные
должны быть уничтожены в случае достижения целей их обработки, - 30 календарных
дней с такого момента.
Статья допускает
значительную степень диспозитивности при определении судьбы персональных
данных, цель обработки которых была достигнута. Соглашение оператора и субъекта
персональных данных, в том числе инкорпорированное в гражданско-правовой
договор, стороной/выгодоприобретателем/поручителем по которому является
субъект, может определять иные последствия достижения целей обработки и иные
сроки уничтожения персональных данных. Однако такое условие может быть оспорено
как обременительное в порядке ст. 428 ГК РФ или как нарушающее права
потребителей (ст. 16 Закона о защите прав потребителей).
6. Часть 5
комментируемой статьи регламентирует последствия отзыва субъектом персональных
данных согласия на их обработку. В этой связи данные положения развивают норму ч.
2 ст. 9 Закона о персональных данных, предусматривающую право субъекта
персональных данных на отзыв ранее данного согласия и обязанность оператора
прекратить дальнейшую обработку таких данных, за исключением случаев, когда
оператор может воспользоваться одним из оснований для обработки таких данных в
отсутствие согласия субъекта. Часть 5 ст. 21 Закона регламентирует срок
исполнения данной обязанности, который по общему правилу составляет 30
календарных дней с момента получения отзыва оператором. Иной срок может быть
установлен в договоре, где субъект персональных данных выступает в качестве
стороны, выгодоприобретателя или поручителя. При этом следует иметь в виду, что
установление чрезмерно больших сроков, использование мелкого шрифта или иных недобросовестных
практик может являться нарушением законодательства о защите прав потребителей (Постановление
Восемнадцатого арбитражного апелляционного суда от 14 января 2013 г. N
18АП-12864/2012 по делу N А47-8831/2012).
Кроме того,
комментируемое положение предусматривает, что иной срок может быть установлен в
"ином соглашении между оператором и субъектом персональных данных". В
этой связи возникает вопрос о том, как соотносится данное соглашение и ранее
упомянутый договор, где субъект персональных данных выступает в качестве
стороны/выгодоприобретателя/поручителя. Согласно ст. 420 ГК РФ договором
признается соглашение двух или нескольких лиц об установлении, изменении или
прекращении гражданских прав и обязанностей. Таким образом, договор является
разновидностью соглашения. Если исходить из того, что договором можно признать
только такое соглашение, которое порождает гражданские права и обязанности, то
соглашения, порождающие иные, с точки зрения правовой природы, права и
обязанности, не будут охватываться понятием "договор", но будут
признаваться соглашением. В таком случае вопрос о соотношении понятий
"договор" и "соглашение" будет зависеть от решения вопроса
об отраслевой принадлежности положений законодательства о персональных данных,
который заслуживает отдельного исследования.
Другим вариантом
толкования рассматриваемого положения является признание наличия в данном
случае "огреха" в юридической технике, отражающее стремление
предусмотреть все возможные случаи, не заботясь об их возможном соотношении.
Учитывая, что вопрос об отраслевой принадлежности законодательства о персональных
данных, судя по полному молчанию самого Закона о персональных данных, не особо
заботит законодателя, вывод о причинах появления соответствующих положений в части
5 комментируемой статьи каждый может сделать сам.
Следует отметить, что
положения ч. 2 ст. 15 Закона, предусматривающие обязанность оператора
незамедлительно прекратить обработку персональных данных в целях продвижения
товаров, работ, услуг на рынке, а также в целях политической агитации по
поступлении отзыва согласия от субъекта, носят специальный характер по
отношению к комментируемой норме и подлежат приоритетному применению.
Продолжение оператором
обработки персональных данных в отсутствие на то законных оснований после
получения от субъекта отзыва согласия на их обработку представляет собой
достаточно часто выявляемое Роскомнадзором нарушение законодательства о
персональных данных.
Статья 22. Уведомление об
обработке персональных данных
1. Уведомление оператором
уполномоченного органа о намерении осуществлять обработку персональных данных
является одним из старейших средств обеспечения контроля над деятельностью
операторов по обработке персональных данных. Предполагается, что такого рода
уведомления обеспечивают более ответственный характер обработки персональных
данных операторами, которые вынуждены выходить на контакт с
контрольно-надзорным органом <1>. Последний, в свою очередь, может
адресно подходить к надзору за деятельностью тех операторов, которые,
осуществляя обработку персональных данных за пределами обычной повседневной
деятельности любого оператора, представляют особый интерес для
контрольно-надзорных органов, и при необходимости оперативно вмешаться в такие
процессы обработки данных. Однако, если это было справедливо на ранних этапах
развития законодательства о персональных данных в условиях, когда количество
операторов персональных данных было незначительным, сейчас данная обязанность
все более вырождается в некую формальность, за которой не стоит какой-либо
реальной ценности, оправдывающей издержки, которые ее исполнение возлагает и на
операторов, и на регуляторов. Недаром новое европейское законодательство
отказалось от нее, возложив, правда, на оператора взамен целый ряд
дополнительных обязанностей: а) фиксировать процессы обработки персональных данных
и предоставлять их по требованию контрольного органа (ст. 30 GDPR); б)
уведомлять контрольно-надзорный орган о произошедших утечках персональных
данных (ст. 33 GDPR, см. далее); в) осуществлять предварительную оценку
возможных рисков и негативных последствий от деятельности по обработке
персональных данных, а в некоторых случаях - и консультации с
контрольно-надзорным органом (ст. 35, 36 GDPR).
--------------------------------
<1> См.: Bygrave
A. Data Privacy Law: An International Perspective. P. 185.
В России одним из основных
практических последствий подачи уведомления является включение оператора в
Реестр операторов, осуществляющих обработку персональных данных, и тем самым
попадание организации "на радар" Роскомнадзора, что повышает
вероятность ее последующего попадания в план проведения плановых проверок. В
случае проведения проверки в отношении оператора Роскомнадзор будет сопоставлять
сведения, указанные в уведомлении, с теми, которые выявляются в ходе проведения
проверки. Обычно в результате данной операции Роскомнадзор констатирует
расхождения, которые квалифицируются как предоставление неполных сведений в
Роскомнадзор с административной ответственностью по ст. 19.7 КоАП РФ (Постановление
Верховного Суда РФ от 10 июля 2020 г. N 56-АД20-7).
2. Согласно буквальному
тексту комментируемой статьи обязанность по подаче уведомления возлагается на
оператора. Однако практика Роскомнадзора несколько иначе подходит к сфере ее
действия. Во-первых, оператор, не зарегистрированный на территории РФ, не
должен подавать такое уведомление. Таким образом, иностранные интернет-сервисы,
осуществляющие направленную деятельность на территорию РФ и в силу этого
обязанные соблюдать требования локализации (см. комментарий к статье 1 Закона),
по факту освобождены от выполнения обязанностей, предусмотренных ст. 22 Закона
о персональных данных. Данная позиция была высказана Роскомнадзором, в
частности, на дне открытых дверей, приуроченном к дате принятия Федерального закона
"О персональных данных", который проходил 30 июля 2019 г. Во-вторых,
по мнению Роскомнадзора, третьи лица, которые осуществляют обработку
персональных данных по поручению оператора, также должны направлять уведомления
по ст. 22 Закона о персональных данных, поскольку эти лица, помимо прочего,
также являются операторами и обязаны предоставлять уведомления по общим
правилам. Исключение, предусмотренное для договорных отношений (п. 2 ч. 2 ст.
22), в этом случае не применяется, поскольку субъекты персональных данных не
являются стороной договора поручения, заключаемого оператором с таким третьим
лицом. Данный подход является крайне спорным и не основанным на положениях Закона
о персональных данных. Статус лица как оператора персональных данных
определяется критериями, указанными в дефиниции оператора персональных данных,
и никак не зависит от того, осуществляет ли это лицо обработку персональных
данных по поручению другого оператора. Иными словами, этот фактор в принципе
иррелевантен сам по себе для квалификации лица в качестве оператора и
констатации факта наличия у него обязанности по подаче уведомления по ст. 22
Закона о персональных данных. Другое дело, что такое лицо может обрабатывать
персональные данные должностных лиц заказчика такого рода услуг и в этой связи
не подпадать под действие исключений ч. 2 ст. 22 Закона о персональных данных.
Но этот вывод потенциально справедлив в отношении обработки организацией
персональных данных в контексте большинства коммерческих договоров, заключаемых
ею с иными юридическими лицами и индивидуальными предпринимателями, безотносительно
того, осуществляется ли в рамках них обработка персональных данных по поручению
таких лиц.
3. Уведомление,
предусмотренное комментируемой статьей, подлежит подаче оператором до начала им
процесса обработки персональных данных, если только она не подпадает под
какое-либо из исключений, содержащихся в ч. 2 комментируемой статьи.
Закон не связывает
признание лица оператором с фактом включения такого лица в Реестр операторов,
осуществляющих обработку персональных данных. Поэтому правовое значение для
квалификации деятельности лица в качестве оператора имеет исключительно факт
осуществления этим лицом видов деятельности, при которых оно может обрабатывать
персональные данные, а равно факт наличия намерения осуществлять такие виды
деятельности (Постановление Арбитражного суда Дальневосточного округа от 3
сентября 2020 г. по делу N А51-24867/2019). Аналогичным образом подпадание
деятельности оператора по обработке персональных данных под какое-либо из
исключений, указанных в комментируемой статье, не означает само по себе, что
лицо освобождается от необходимости обеспечения законного характера такой
обработки и соблюдения всех иных положений законодательства о персональных
данных (Постановление Арбитражного суда Дальневосточного округа от 15 июня 2020
г. по делу N А51-8682/2019).
Роскомнадзор в рамках
реализации своих полномочий (см. комментарий к ст. 23 Закона) имеет возможность
самостоятельного выявления операторов, которые должны направлять
соответствующие уведомления, в связи с чем может направлять операторам
требования о предоставлении уведомлений об обработке персональных данных (Постановление
Арбитражного суда Поволжского округа от 16 июня 2015 г. N Ф06-24503/2015 по
делу N А12-40600/2014). Оператор в течение 30 календарных дней с момента
получения запроса обязан в соответствии с ч. 4 ст. 21 Закона о персональных
данных предоставить такое уведомление либо же аргументированную позицию об
отсутствии у него обязанности по подаче такого уведомления в связи с наличием
исключений из числа указанных в ч. 2 комментируемой статьи. Непредоставление
оператором информации в адрес Роскомнадзора в указанный срок может являться
основанием для привлечения оператора к ответственности по ст. 19.7 КоАП РФ (Постановление
Арбитражного суда Дальневосточного округа от 3 сентября 2020 г. по делу N
А51-24867/2019). При этом следует отметить, что указанная статья КоАП РФ в
качестве обязательного требования указывает, что предоставление требуемых
сведений должно быть предусмотрено законом. Как следствие, некоторые суды
требуют от Роскомнадзора доказать, что оператор обязан был подавать уведомление
и что ни одно из исключений, указанных в ч. 2 ст. 22 Закона о персональных
данных, неприменимо (Постановление Вологодского областного суда от 5 апреля
2018 г. N 4А-171/2018; Постановление Арбитражного суда Северо-Кавказского
округа от 14 июня 2017 г. по делу N А63-4578/2016).
4. Перечень исключений,
указанных в ч. 2 ст. 22, является достаточно узким и формально не охватывает
большинство типовых ситуаций обработки персональных данных, с которыми имеют
дело операторы в современных реалиях. Например, случаи использования
интернет-сайтом аналитических сервисов вроде Яндекс.Метрика или Google
Analytics. Как отмечалось ранее, в контексте толкования понятия
"персональные данные" информация о пользователях, генерируемая такими
сервисами, признается Роскомнадзором персональными данными. Либо случаи
заполнения различных форм обратной связи на интернет-сайте, форм регистрации на
вебинары и маркетинговые мероприятия оператора. Обработка персональных данных
для маркетинговых целей также не охватывается ни одним из исключений, указанных
в ч. 2 ст. 22 Закона о персональных данных.
5. Одним из наиболее
распространенных исключений из обязанности по подаче уведомления об обработке
персональных данных является их обработка в соответствии с требованиями трудового
законодательства (п. 1 ч. 2 ст. 22). Под персональными данными, обрабатываемыми
в соответствии с требованиями трудового законодательства, имеются в виду
данные, обрабатываемые для целей, указанных в п. 1 ст. 86 ТК РФ: в целях
обеспечения соблюдения законов и иных нормативных правовых актов, содействия
работникам в трудоустройстве, получении образования и продвижении по службе,
обеспечения личной безопасности работников, контроля количества и качества
выполняемой работы и обеспечения сохранности имущества.
При этом вряд ли можно
согласиться с выводом, сделанным в комментарии представителей Роскомнадзора,
согласно которому "при осуществлении работодателем иных видов деятельности
с использованием персональных данных работников, в том числе в рамках
зарплатного проекта, сведения об указанных видах деятельности включаются в
уведомление" <1>. Сам факт того, что зарплатные проекты прямо не
поименованы в вышеуказанной статье ТК РФ, не означает, что они не подпадают под
него. Согласно ст. 22 ТК РФ одной из основных обязанностей работодателя
является обязанность выплачивать в полном размере причитающуюся работникам
заработную плату в сроки, установленные в соответствии с настоящим Кодексом,
коллективным договором, правилами внутреннего трудового распорядка, трудовыми
договорами. В этой связи обработка персональных данных в рамках реализации
зарплатных проектов в полной мере соответствует целям трудового
законодательства и не требует уведомления Роскомнадзора.
--------------------------------
<1> См.:
Федеральный закон "О персональных данных": научно-практический комментарий
/ под ред. А.А. Приезжевой. С. 129.
Рассматриваемое исключение не
распространяется на обработку персональных данных:
- членов семьи
работников;
- бывших работников;
- лиц, которые
осуществляют соответствующую деятельность в организациях на основании
гражданско-правовых договоров, в том числе в рамках аутстаффинга <1>;
- соискателей. Как отметил
суд, "сбор резюме предполагает, что оператор обрабатывает персональные
данные за рамками трудового законодательства, соответственно, обязан подать
уведомление об обработке персональных данных в уполномоченный орган" (Постановление
Восьмого арбитражного апелляционного суда от 16 мая 2019 г. по делу N
А70-18605/2018). Таким образом, при обработке оператором персональных данных
соискателей необходимо не только получать их согласие на такую обработку, но и
уведомлять Роскомнадзор о факте осуществления такой обработки. Аналогичную
позицию Роскомнадзор неоднократно высказывал на ряде своих мероприятий. Хотя в
практике можно встретить примеры иного подхода (Постановление Четвертого
арбитражного апелляционного суда от 7 февраля 2018 г. по делу N
А19-17054/2017).
--------------------------------
<1> Аутстаффинг
(англ. outstaffing - выведение персонала за пределы штата) - это способ
управления персоналом, предполагающий оказание одной организацией (далее -
исполнитель, организация-исполнитель) другой организации (далее - заказчик,
организация-заказчик) услуг в форме предоставления в распоряжение заказчика
определенного количества работников, не вступающих с заказчиком в какие-либо
правовые отношения (гражданско-правовые, трудовые) напрямую, но оказывающих от
имени исполнителя определенные услуги по местонахождению заказчика. Указанная
дефиниция приведена в Постановлении Одиннадцатого арбитражного апелляционного
суда от 13 апреля 2012 г. по делу N А55-17727/2011.
6. Еще одним исключением является
обработка персональных данных, полученных в связи с заключением договора,
стороной которого является субъект персональных данных (п. 2 ч. 2 ст. 22).
Таким образом, обработка персональных данных клиентов - физических лиц по
общему правилу также не требует уведомления Роскомнадзора. Это справедливо и
для B2C-сегмента электронной коммерции, в частности применительно к обработке
персональных данных пользователей онлайн-сервисов, которые приняли условия
пользовательского соглашения, однако с учетом условий, которые предусмотрены в
комментируемом положении:
1) персональные данные
не должны распространяться, то есть делаться оператором доступными
неопределенному кругу лиц. Если же оператор распространяет персональные данные,
полученные в рамках договора, то должны применяться положения п. 4 ч. 2 ст. 22,
согласно которым не требуется подачи уведомления в случаях обработки
"разрешенных субъектом персональных данных для распространения при условии
соблюдения оператором запретов и условий, предусмотренных статьей 10.1
настоящего Федерального закона";
2) передача третьим
лицам таких персональных данных осуществляется исключительно для целей
заключения или исполнения договора и с согласия субъекта персональных данных.
Если оператор осуществляет передачу персональных данных третьим лицам хотя и
для целей исполнения договора, но на ином законном основании, чем согласие
субъекта, то рассматриваемое исключение не применяется;
3) исключение не
затрагивает договоры, в которых субъект персональных данных не является
стороной, а является выгодоприобретателем или поручителем.
7. Обработка
персональных данных, обрабатываемых общественным объединением или религиозной
организацией и относящихся к их членам (участникам), для достижения
предусмотренных их учредительными документами законных целей также возможна без
уведомления Роскомнадзора (п. 3 ч. 2 ст. 22). Однако лишь при условии, что
такие персональные данные не будут распространяться или раскрываться третьим
лицам без согласия в письменной форме субъектов персональных данных. К
сожалению, закон не поясняет, является ли данное требование безусловным или
касается лишь случаев, когда оператор не имеет права обрабатывать такие данные
при отсутствии согласия субъекта на основании ч. 1 ст. 6, ч. 2 ст. 10 или ст.
11 Закона о персональных данных. Представляется, что отсутствие письменного
согласия субъекта на передачу персональных данных третьим лицам,
сопровождающееся последующей передачей им таких данных, не всегда должно влечь
необходимость подачи уведомления в Роскомнадзор, а лишь в тех случаях, когда
соответствующая передача осуществляется по инициативе самого оператора. Вряд ли
будет соответствовать целям данного положения возложение на него обязанности по
предоставлению в Роскомнадзор уведомления лишь в силу того, что он передал в
уполномоченные правоохранительные органы персональные данные члена своей
общественной организации по его запросу.
8. Обработка
персональных данных, разрешенных субъектом для распространения, не требует подачи
уведомления в Роскомнадзор, но при условии соблюдения оператором запретов и
условий, предусмотренных ст. 10.1 настоящего Федерального закона (п. 4 ч. 2 ст.
22. См. подробнее комментарий к понятию "персональные данные, разрешенные
субъектом для распространения" в ст. 3 и комментарий к ст. 10.1).
9. Еще одно исключение
из требований уведомления Роскомнадзора касается случаев, когда оператор
обрабатывает персональные данные, состоящие исключительно из фамилии, имени и
отчества субъекта (п. 5 ч. 2 ст. 22). Данное положение, как отмечалось,
является свидетельством отнесения законом Ф.И.О. лица к персональным данным
безотносительно степени их распространенности. При этом, как представляется,
оно охватывает и случаи обработки данных в виде фамилии и инициалов по принципу
"большее охватывает и меньшее".
10. Обработка
персональных данных для целей однократного пропуска субъекта на находящуюся под
контролем оператора территорию или в иных аналогичных случаях не требует подачи
уведомления в Роскомнадзор (п. 6 ч. 2 ст. 22 Закона о персональных данных).
Возникает вопрос, как быть с обработкой персональных данных для целей
оформления пропусков, которые предоставляют возможность прохода в течение
определенного периода времени, например для целей реализации какого-либо
проекта? Представляется, что, поскольку существо отношений в данном случае
аналогично ситуации, указанной в диспозиции (оформление пропуска, который не
носит постоянного характера), вряд ли целесообразно чрезмерно формально
толковать положения п. 6 ч. 2 ст. 22 и требовать от оператора подачи
уведомления в Роскомнадзор перед тем, как выдать такой пропуск. Подобная
ситуация вполне укладывается в оговорку об "иных аналогичных целях".
11. В тех случаях, когда
речь идет об обработке персональных данных в информационных системах, имеющих
статус "государственная автоматизированная информационная система",
подача уведомления в Роскомнадзор также не требуется (п. 7 ч. 2 ст. 22). Данный
статус информационная система приобретает в случаях, когда ее создание и
функционирование предусмотрено федеральным законом. В качестве примера можно
привести единую государственную автоматизированную информационную систему учета
древесины и сделок с ней, предусмотренную ст. 50.6 Лесного кодекса РФ.
Поскольку такого рода информационные системы создаются в рамках достаточно
детального правового регулирования, они и без уведомлений находятся "на
радаре" у Роскомнадзора. Кроме того, из-под сферы действия положений об
уведомлении Роскомнадзора выведена обработка персональных данных в
государственных информационных системах, осуществляемая для целей защиты
безопасности государства и общественного порядка, а также для целей обеспечения
безопасности объектов транспортной инфраструктуры (п. 9 ч. 2 ст. 22).
12.
Квазиавтоматизированная обработка персональных данных, то есть обработка без
использования средств автоматизации, но которая при этом "позволяет
осуществлять в соответствии с заданным алгоритмом поиск персональных данных,
зафиксированных на материальном носителе и содержащихся в картотеках или иных
систематизированных собраниях персональных данных, и (или) доступ к таким
персональным данным" (см. подробнее комментарий к ст. 1), не требует
подачи уведомления в Роскомнадзор (п. 8 ч. 2 ст. 22). Однако если
соответствующие персональные данные также обрабатываются с использованием
средств автоматизации и в отношении такой обработки неприменимо ни одно из иных
исключений, указанных в ч. 2 комментируемой статьи, то уведомление в
Роскомнадзор подавать нужно.
13. Уведомление
направляется оператором в территориальный орган Роскомнадзора - управление
Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе.
Оно может быть подготовлено как в виде документа на бумажном носителе, так и в
форме электронного документа. В приложении N 1 к Методическим рекомендациям
"Об утверждении методических рекомендаций по уведомлению уполномоченного
органа о начале обработки персональных данных и о внесении изменений в ранее
представленные сведения" содержится рекомендованная форма уведомления об
обработке персональных данных. Электронная форма уведомления и порядок ее
заполнения размещены на Едином портале государственных и муниципальных услуг
(функций) (www.gosuslugi.ru), а также на портале персональных данных
Роскомнадзора (www.pd.rkn.gov.ru). Никаких пошлин или иных платежей в связи с
подачей и рассмотрением уведомления в Роскомнадзор не предусмотрено (ч. 5 ст.
22).
Поданное уведомление
рассматривается Роскомнадзором в течение 30 календарных дней, в результате чего
сведения об операторе вносятся Роскомнадзором в Реестр операторов, осуществляющих
обработку персональных данных. Данные указанного реестра являются
общедоступными, за исключением сведений о средствах обеспечения безопасности
персональных данных при их обработке <1>.
--------------------------------
<1> Сам реестр
доступен по ссылке https://pd.rkn.gov.ru/operators-registry/operators-list/, и
сведения из него могут служить своего рода полезным источником примеров
формулировок и сведений, которые должны содержаться в уведомлении. Однако
крайне не рекомендуется механически копировать сведения из уведомлений других
операторов, поскольку, как отмечалось ранее, Роскомнадзор любит проверять
соответствие фактического положения с обработкой персональных данных у
оператора с информацией, указанной им в уведомлении, и выявлять несоответствия
по итогам такого сравнения.
14. Часть 3 комментируемой статьи
конкретизирует перечень сведений, которые должны содержаться в подаваемом
уведомлении безотносительно формы его подачи. При заполнении формы уведомления
целесообразно использовать Методические рекомендации по уведомлению
уполномоченного органа о начале обработки персональных данных и о внесении
изменений в ранее представленные сведения, утв. Приказом Роскомнадзора от 30
мая 2017 г. N 94, основные положения которых приводятся далее.
Под полем "Наименование (фамилия, имя, отчество),
адрес Оператора" указываются следующие сведения. Для операторов -
юридических лиц: полное наименование и сокращенное наименование юридического
лица, наименование филиалов (представительств) юридического лица, адрес
юридического лица (в соответствии с учредительными документами и свидетельством
о постановке юридического лица на учет в налоговом органе); ИНН; ОГРН. Для
операторов - физических лиц: Ф.И.О., адрес, паспортные данные, ИНН (при
наличии).
Поле "Цель обработки персональных
данных" должно содержать цели обработки персональных данных, а также
их соответствие деятельности, при которой такая обработка осуществляется. Здесь
предполагается максимально подробное описание всех возможных целей обработки
персональных данных оператором, начиная от заключения и исполнения трудовых
договоров, предоставления льгот и гарантий работникам, ведения воинского учета
и продолжая такими целями, как, например, "заключение и исполнение
договоров с контрагентами, исполнение соглашений об использовании
интернет-сервисов, предоставляемых оператором".
В поле "Категории персональных данных"
указываются все категории персональных данных, подлежащих обработке оператором,
в том числе, если применимо, специальные категории персональных данных и
биометрические данные.
В поле "Категории субъектов, персональные
данные которых обрабатываются" Роскомнадзор предлагает указывать
категории субъектов и виды отношений с субъектами, персональные данные которых
обрабатываются, например: работники, абоненты, пассажиры, заемщики, вкладчики,
страхователи, заказчики и др.
В поле "Правовое основание обработки
персональных данных" делаются ссылки на соответствующие статьи Закона
о персональных данных и статьи иного нормативно-правового акта, регулирующего
осуществляемый оператором вид деятельности, касающиеся обработки персональных
данных (например, ст. 85 - 90 ТК РФ, ст. 8 Федерального закона от 28 марта 1998
г. N 53-ФЗ "О воинской обязанности и военной службе", ст. 29
Федерального закона от 6 декабря 2011 г. N 402-ФЗ "О бухгалтерском
учете"). При этом Роскомнадзор особо подчеркивает, что не следует
указывать в качестве правового основания настолько общую норму, как ч. 1 ст. 6
Закона о персональных данных.
Поле "Перечень действий с персональными
данными, общее описание используемых Оператором способов обработки персональных
данных" предусматривает действия, совершаемые оператором с
персональными данными, а также описание используемых оператором способов
обработки персональных данных: неавтоматизированная обработка персональных
данных; исключительно автоматизированная обработка персональных данных с
передачей полученной информации по сети или без таковой; смешанная обработка
персональных данных.
Поле "Описание мер, предусмотренных статьями
18.1 и 19 Федерального закона "О персональных данных"
предполагает:
- указание
организационных и технических мер, применяемых для защиты персональных данных
от неправомерного или случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, распространения персональных данных, в том числе сведения
о наличии шифровальных средств и наименования этих средств. При использовании
оператором, осуществляющим обработку персональных данных, шифровальных средств
предоставляются следующие сведения (с учетом Приказа ФСБ России от 10 июля 2014
г. N 378): а) наименование используемых криптографических средств; б) класс
средств криптографической защиты информации (СКЗИ);
- Ф.И.О. физического
лица или наименование юридического лица, ответственных за организацию обработки
персональных данных, и номера их контактных телефонов, почтовые адреса и адреса
электронной почты.
В поле "Дата начала обработки персональных
данных" рекомендуется указать конкретную дату начала любого действия
(операции) или совокупности действий (операций), совершаемых с использованием
средств автоматизации или без использования таких средств с персональными
данными (как правило, это дата начала осуществления оператором деятельности,
закрепленной в уставных документах).
В поле "Срок или условие прекращения обработки
персональных данных" рекомендуется отражать конкретную дату (число,
месяц, год) или основание (условие), наступление которого повлечет прекращение
обработки персональных данных. Например, это может быть прекращение
деятельности организации-оператора, отзыв согласия на обработку персональных
данных или применительно к отдельным категориям персональных данных работника
прекращение трудовых отношений с таким лицом.
В поле "Сведения о наличии или об отсутствии
трансграничной передачи персональных данных" рекомендуется указывать
сведения о наличии или об отсутствии трансграничной передачи персональных
данных в процессе их обработки с указанием перечня иностранных государств, на
территорию которых осуществляется трансграничная передача персональных данных.
В поле "Сведения о месте нахождения базы
данных информации, содержащей персональные данные граждан Российской
Федерации" указываются страна (страны) размещения базы данных и
конкретный адрес (адреса) местонахождения базы данных с детализацией вплоть до
номера дома и (или) строения. При этом детальная градация сведений, которые
могут быть включены по базе данных, приведена на портале персональных данных
Роскомнадзора в электронной форме "Уведомления".
В поле "Сведения об обеспечении безопасности
персональных данных" рекомендуется указывать сведения об обеспечении
безопасности персональных данных в соответствии с требованиями к защите
персональных данных, установленными Правительством РФ. По факту это приведение
перечня всех соответствующих мер, принятых оператором. Например, указание на
наличие разработанных локальных нормативных актов об обработке персональных
данных, размещенных на интернет-сайтах политиках конфиденциальности,
предпринимаемых мерах по обучению работников оператора, предпринимаемых
технических мерах (разграничение доступа пользователей к информационным
ресурсам, средствам обработки и защиты информации; осуществление регистрации
действий пользователей информационной системы персональных данных; осуществление
резервирования технических средств и дублирования массивов информации;
использование средств антивирусной защиты; осуществление межсетевого
экранирования с целью управления доступом и проверки подлинности пользователя
при входе в информационную систему и т.п.).
15. Поскольку процессы
обработки персональных данных оператором носят динамический характер и в
процессе деятельности могут претерпевать изменения, ч. 7 комментируемой статьи
предусматривает обязанность оператора уведомить Роскомнадзор в течение десяти
рабочих дней с даты возникновения изменений в каких-либо из сведений,
предоставленных в ранее поданном уведомлении. Указанная обязанность исполняется
в форме направления информационного письма по форме, указанной в приложении N 2
к Методическим рекомендациям "Об утверждении методических рекомендаций по
уведомлению уполномоченного органа о начале обработки персональных данных и о
внесении изменений в ранее представленные сведения". Необходимость в
подаче такого информационного письма возникает, например, при изменении перечня
обрабатываемых персональных данных, местонахождения баз данных с персональными
данными, личности лица, ответственного за обработку персональных данных в
организации, появлении новых категорий субъектов, чьи данные обрабатываются
оператором. Иными словами, если оператор присутствует в реестре, информация,
отраженная в нем, должна в полном объеме отражать текущую ситуацию по обработке
персональных данных таким оператором. Нарушения, связанные с несоответствием
информации, указанной в реестре и фактически обнаруженной Роскомнадзором в ходе
проведения проверок, являются одними из наиболее частых. Нередко это
обусловлено отсутствием должного взаимодействия между различными структурными
подразделениями оператора либо произошедшей внутри него реорганизацией.
16. Непредставление в
Роскомнадзор уведомления об обработке персональных данных либо его
несвоевременное представление (т.е. уже после начала обработки персональных
данных), а равно представление уведомления, содержащего неполные или
недостоверные сведения, образует состав административного правонарушения по ст.
19.7 КоАП РФ. При этом следует отметить, что указанный состав административного
правонарушения не является длящимся, поскольку обязанность уведомить уполномоченный
орган по защите прав субъектов персональных данных о своем намерении
осуществлять обработку персональных данных определена конкретным сроком - до
начала обработки персональных данных и в течение 10 рабочих дней с момента
наступления изменений. Согласно ч. 1 ст. 4.5 КоАП РФ срок давности привлечения
к административной ответственности за совершение административного
правонарушения, предусмотренного ст. 19.7 КоАП РФ, составляет три месяца со дня
совершения административного правонарушения. В связи с этим производство по
данной статье по истечении указанного срока подлежит прекращению по основанию,
предусмотренному п. 6 ч. 1 ст. 24.5 КоАП РФ, в связи с истечением срока
давности привлечения к административной ответственности (Постановление
Новгородского областного суда от 7 ноября 2017 г. N 44А-259/2017).
В случае представления
уведомления, содержащего неполные или недостоверные сведения, Роскомнадзор
вправе потребовать их уточнения до внесения данных сведений в реестр операторов
(ч. 6 ст. 22 Закона). В таком случае уполномоченный орган направляет оператору
письмо с уведомлением о его вручении, в котором содержится запрос об уточнении
предоставленных сведений. Получив соответствующий запрос, оператор обязан
сообщить уточненные сведения (представить новое уведомление в электронной
форме) в течение 30 дней с даты получения запроса (извещения), в противном
случае ранее поданное уведомление возвращается оператору без внесения сведений
о нем в реестр (п. 3.3, 3.4 Методических рекомендаций "Об утверждении
методических рекомендаций по уведомлению уполномоченного органа о начале
обработки персональных данных и о внесении изменений в ранее представленные
сведения").
17. В случае прекращения
оператором деятельности по обработке персональных данных он обязан уведомить об
этом Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки
персональных данных (ч. 7 комментируемой статьи). Форма заявления оператора
приведена в приложении N 3 к Методическим рекомендациям "Об утверждении
методических рекомендаций по уведомлению уполномоченного органа о начале
обработки персональных данных и о внесении изменений в ранее представленные
сведения". При этом, как следует из формулировки ч. 7, она касается лишь
случаев полного прекращения оператором деятельности по обработке персональных
данных, а не просто прекращения тех ее разновидностей, которые подпадают под
обязанность уведомления Роскомнадзора. По всей видимости, это обусловлено
стремлением исключить из Реестра операторов, осуществляющих обработку
персональных данных, компании, которые уже не ведут никакой деятельности, чтобы
минимизировать захламление такого реестра и снижение его ценности.
18. Российское
законодательство о персональных данных не предусматривает обязанности
уведомления Роскомнадзора о произошедших инцидентах с персональными данными или
иных нарушениях порядка их обработки, которые могут повлечь ущерб для субъектов
персональных данных. Этим оно отличается от американского и заимствовавшего в
этой части его положения европейского подхода. Формально положения об
уведомлении контрольно-надзорного органа о произошедших инцидентах с
персональными данными отсутствовали в Директиве 1995 г., однако появились в Директиве
2002/58/EC от 12 июля 2002 г. "Об обработке персональных данных и защите
информации о частной жизни в сфере электронных коммуникаций". Положения ст.
33 GDPR предусматривают теперь уже общую обязанность оператора, безотносительно
сферы его деятельности, по уведомлению уполномоченного органа по защите
персональных данных о таких обстоятельствах без недолжного промедления, но в
любом случае не позднее 72 ч с момента наступления подобных обстоятельств.
Такое уведомление должно содержать как минимум сведения о характере нарушения;
количестве субъектов персональных данных, которое затронуто им; характере
персональных данных; возможных последствиях такого нарушения; предпринятых
мерах, направленных на минимизацию ущерба; контактных данных лица,
ответственного за организацию обработки персональных данных у оператора. При
этом оператор обязан хранить все сведения, относящиеся к инцидентам с персональными
данными, и предоставлять их по требованию контролирующих органов.
Представляется, что
подобного рода обязанности в перспективе целесообразно имплементировать в
российское законодательство, поскольку они способствуют более ответственному
отношению операторов к исполнению обязанностей по принятию соответствующих
организационных и технических мер по защите персональных данных, а также дают
возможность оценки их адекватности контрольно-надзорными органами.
Статья 22.1. Лица,
ответственные за организацию обработки персональных данных в организациях
1. В случае если в качестве оператора
выступает юридическое лицо, в том числе учреждение или иной государственный
орган, то одной из обязательных организационных мер по защите персональных
данных является назначение ответственного за обработку персональных данных
лица. В зарубежной практике подобные лица обычно именуются data protection
officer. Как правило, такое лицо назначается приказом руководителя организации.
При этом в соответствии с ч. 2 комментируемой статьи ответственное за
организацию обработки персональных данных лицо получает указания
непосредственно от руководителя и подотчетно ему.
Закон не предъявляет
каких-либо требований к квалификации такого лица. Нередко на данную позицию
назначают менеджера по персоналу, так как трудовая функция этого специалиста
предполагает непосредственное взаимодействие с личными делами и персональными
данными работников организации, однако данный вариант не является оптимальным.
Современное законодательство о персональных данных выходит далеко за рамки
обработки персональных данных работников, в связи с чем наличие глубоких
специальных познаний в нем является необходимостью.
В случае отсутствия в
штате оператора подходящих работников функции лица, ответственного за
организацию обработки персональных данных, руководитель организации должен
возложить соответствующим приказом на самого себя. Закон не предусматривает специальных
положений для групп компаний, каждая из организаций, входящих в группу, должна
иметь лицо, ответственное за организацию обработки персональных данных. Однако Закон
и не требует, чтобы такое лицо было обязательно связано трудовыми отношениями с
соответствующей организацией, поэтому вполне допустимо назначать в качестве
такового и сотрудника иной организации. Не исключена возможность назначения
одного лица в качестве ответственного за организацию обработки персональных
данных на всю группу компаний. Кроме того, возможно указание и юридического
лица, например отдельной компании в рамках группы лиц или специализированной
консалтинговой компании, в качестве лица, ответственного за обработку
персональных данных (Семинар Роскомнадзора от 26 ноября 2020 г.).
Согласно позиции
Роскомнадзора в уведомлении о намерении осуществлять обработку персональных
данных должно быть указано только одно физическое лицо, ответственное за обработку
персональных данных. Такое лицо может делегировать часть своего функционала, но
это уже внутренний вопрос, решаемый в локальных актах оператора (Семинар
Роскомнадзора от 26 ноября 2020 г.).
2. Часть 4
комментируемой статьи перечисляет примерный перечень функций лица,
ответственного за организацию обработки персональных данных, к числу которых
относятся три основные: контролирующая,
информационная и коммуникационная:
1) внутренний контроль
за соблюдением оператором и его работниками законодательства о персональных
данных;
2) информирование
работников оператора о положениях законодательства Российской Федерации о
персональных данных, локальных актов по вопросам обработки персональных данных,
требований к защите персональных данных;
3) организация приема и
обработки обращений и запросов субъектов персональных данных.
С целью обеспечения
возможности выполнения вышеуказанных функций оператор обязан предоставлять
лицу, ответственному за организацию обработки персональных данных, сведения,
аналогичные тем, которые предоставляются в Роскомнадзор перед началом обработки
персональных данных (см. комментарий к ст. 22 Закона). При этом обязанность,
предусмотренная в комментируемом положении ч. 3, является безусловной и не
может быть заблокирована внутренними инструкциями и регламентами организации
оператора. Принимая во внимание вышеуказанные положения, можно назвать лицо,
ответственное за организацию обработки персональных данных, своего рода
"роскомнадзором" в рамках отдельно взятой организации.
3. Неназначение
оператором ответственного за организацию обработки персональных данных лица в
нарушение положений комментируемой статьи не влечет само по себе
административной ответственности. Однако если в ходе проверки такой факт будет
выявлен, то Роскомнадзор выдаст предписание с указанием срока его исполнения. И
если оператор в этот срок не устранит нарушение, то будет привлечен к
административной ответственности по ст. 19.5 КоАП РФ.
4. Положения о лице,
ответственном за организацию обработки персональных данных в организации,
появились в поправках 2011 г. и являются следствием заимствования
соответствующих положений из европейского законодательства. В этой связи имеет
смысл обратиться к регулированию данного вопроса, которое содержится в GDPR.
Первое, что обращает на себя внимание, - это введение риск-ориентированного
подхода к реализации данной обязанности. Назначение такого лица не является
безусловно обязательным для любого оператора - юридического лица. Обязательным
оно является лишь для 1) органов власти, за исключением судов; 2) организаций,
для которых обработка персональных данных составляет ядро их деятельности и
сопряжена с систематическим и регулярным мониторингом деятельности
значительного количества субъектов персональных данных; 3) операторов, основными
направлениями деятельности которых является широкомасштабная обработка
персональных данных специальных категорий или сведений о судимости (ст. 37(1)).
При этом возможно назначение одного такого лица в отношении целой группы
компаний оператора. Главное, чтобы оно обладало специальными познаниями в
области законодательства о персональных данных и могло выполнять возлагаемые на
него контролирующие, информационные и коммуникационные функции.
Глава 5. ФЕДЕРАЛЬНЫЙ
ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ
(НАДЗОР) ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ
ДАННЫХ. ОТВЕТСТВЕННОСТЬ
ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕГО
ФЕДЕРАЛЬНОГО ЗАКОНА
Статья 23. Уполномоченный
орган по защите прав субъектов персональных данных
1. Комментируемая статья посвящена
одному из ключевых элементов системы защиты персональных данных -
уполномоченному органу по защите прав субъектов персональных данных. Создание
такого органа предусмотрено в Конвенции 1981 г. в общем виде (ст. 13(2)(а)),
при этом определение объема полномочий такого органа оставлено на усмотрение
национального законодательства государств - участников Конвенции.
В Российской Федерации
таким уполномоченным органом согласно п. 1 Постановления Правительства РФ от 16
марта 2009 г. N 228 "О Федеральной службе по надзору в сфере связи,
информационных технологий и массовых коммуникаций" является Федеральная
служба по надзору в сфере связи, информационных технологий и массовых
коммуникаций (Роскомнадзор).
2. Согласно ч. 2
комментируемой статьи Роскомнадзор рассматривает обращения субъекта
персональных данных о соответствии содержания персональных данных и способов их
обработки целям их обработки. По мнению представителей Роскомнадзора, в данном
случае речь идет о некоем особом виде обращения гражданина, не подпадающем под
те их разновидности, которые предусмотрены положениями Федерального закона
"О порядке рассмотрения обращений граждан Российской Федерации" в
силу "уникальности вопроса, который подлежит разрешению в связи с
рассмотрением данного обращения", а именно "просьбе заявителя
произвести экспертную оценку соответствия содержания и способа обработки
персональных данных целям их обработки" <1>. Представляется, что при
отсутствии специальных положений, применимых к такого рода обращениям, к ним в
полном объеме должны применяться нормы Федерального закона от 2 мая 2006 г. N
59-ФЗ "О порядке рассмотрения обращений граждан Российской
Федерации".
--------------------------------
<1> См.:
Федеральный закон "О персональных данных": научно-практический комментарий
/ под ред. А.А. Приезжевой. С. 142.
3. Часть 3 комментируемой статьи
перечисляет полномочия Роскомнадзора, которые данный орган вправе реализовывать
при осуществлении своей деятельности. При этом далеко не все из них реально
используются на практике в силу отсутствия необходимой нормативно-правовой
базы. Роскомнадзор вправе:
- требовать от
физических и юридических лиц предоставления информации, необходимой для
реализации Роскомнадзором своих полномочий. Указанная информация должна быть
предоставлена ими на безвозмездной основе в течение 30 календарных дней с
момента получения запроса (ч. 4 ст. 20 Закона о персональных данных). Следует
отметить, что направление Роскомнадзором запросов о предоставлении информации
представляет собой реализацию самостоятельного правомочия и может
осуществляться вне рамок контрольно-надзорных мероприятий <1>. Как
правило, Роскомнадзор реализует указанное право при рассмотрении жалоб
субъектов персональных данных, запрашивая у оператора информацию, касающуюся
обстоятельств, указанных в жалобе. Нередко Роскомнадзор направляет операторам
запросы о представлении уведомления о намерении осуществлять обработку
персональных данных либо сведений с указанием законных оснований, в
соответствии с которыми оператор вправе осуществлять обработку персональных
данных без уведомления уполномоченного органа. Непредоставление информации по
запросу Роскомнадзора или несвоевременное ее предоставление, а также
предоставление информации в неполном объеме или в искаженном виде образует
состав административного правонарушения по ст. 19.7 КоАП РФ;
- осуществлять проверку
сведений, содержащихся в уведомлении об обработке персональных данных, или
привлекать для осуществления такой проверки иные государственные органы в
пределах их полномочий. О форме, содержании и порядке подачи уведомления об
обработке персональных данных в Роскомнадзор см. комментарий к ст. 22 Закона;
- требовать от оператора
уточнения, блокирования или уничтожения недостоверных или полученных незаконным
путем персональных данных. Об обязанностях оператора, возникающих в связи с
реализацией Роскомнадзором данного полномочия, см. комментарий к ст. 21 Закона;
- ограничивать доступ к
информации, обрабатываемой с нарушением законодательства РФ в области
персональных данных. Порядок реализации данного полномочия установлен в ст.
15.5 Закона об информации. Данная статья предусматривает создание и ведение
Роскомнадзором реестра нарушителей законодательства о персональных данных, в
который вносятся сведения об операторе и соответствующем интернет-ресурсе, на
котором осуществляется обработка персональных данных с нарушением
законодательства РФ. При этом ст. 15.5 не содержит перечня конкретных
нарушений, которые могут послужить основанием для внесения в такой реестр
нарушителей. В этой связи любая информация, размещение которой на сайте в сети
Интернет нарушает права субъекта персональных данных или является следствием
несоблюдения какой-либо обязанности, возложенной на оператора персональных
данных, и которая не была устранена в процессе взаимодействия Роскомнадзора с
провайдером хостинга и владельцем сайта, может стать причиной блокировки такого
информационного ресурса.
--------------------------------
<1> См.:
Федеральный закон "О персональных данных": научно-практический комментарий
/ под ред. А.А. Приезжевой. С. 146.
При этом основанием для внесения
сведений в реестр нарушителей с последующей блокировкой может выступать только
вступившее в силу решение суда, в котором установлен факт нарушения
законодательства о персональных данных, имевший место в сети Интернет.
Нарушения, допущенные при неавтоматизированной обработке персональных данных,
не могут являться основанием для блокировки официального сайта оператора
персональных данных в порядке, установленном комментируемой статьей.
Аналогичным образом не могут являться основанием для блокировки нарушения, хоть
и связанные с автоматизированной обработкой, но не имеющие непосредственного
отношения к блокируемому информационному ресурсу. Процедура блокировки и
механизм взаимодействия Роскомнадзора с провайдером хостинга, владельцем сайта
в сети Интернет и оператором связи детально прописана в ст. 15.5 Закона об
информации;
- принимать в
установленном законодательством РФ порядке меры по приостановлению или
прекращению обработки персональных данных, осуществляемой с нарушением
требований Закона. Данная мера может быть применена при неисполнении оператором
предписания Роскомнадзора об устранении выявленных нарушений, если обработка
персональных данных нарушает права и законные интересы субъекта. В таком случае
Роскомнадзор вправе направить оператору требование о приостановлении
деятельности по обработке персональных данных до устранения нарушений,
указанных в предписании (п. 50 Постановления Правительства РФ от 13 февраля
2019 г. N 146 "Об утверждении Правил организации и осуществления
государственного контроля и надзора за обработкой персональных данных");
- обращаться в суд с
исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в
защиту прав неопределенного круга лиц, и представлять интересы субъектов
персональных данных в суде. В тех случаях, когда Роскомнадзор представляет
интересы в суде конкретных субъектов персональных данных, в суд должны быть
представлены обращения указанных граждан с просьбой о защите их прав в суде, в
противном случае иск Роскомнадзора подлежит оставлению без движения
(Апелляционное определение Суда Ямало-Ненецкого автономного округа от 3 марта
2016 г. по делу N 33-608/2016; Апелляционное определение Московского городского
суда от 29 декабря 2014 г. по делу N 33-42233/14). Такое заявление, поданное
Роскомнадзором в защиту законных интересов других лиц, рассматривается в
порядке гражданского судопроизводства, даже если в качестве требования
фигурирует признание информации, запрещенной к распространению на всей
территории Российской Федерации (Определение Судебной коллегии по гражданским
делам Верховного Суда РФ от 14 июля 2020 г. N 58-КГ20-2). Роскомнадзор при этом
пользуется всеми процессуальными правами истца, в том числе правом выбора
подсудности, предусмотренным п. 6.1 ст. 29 ГПК РФ (Апелляционное определение
Саратовского областного суда от 12 ноября 2014 г. по делу N 33-6400). Кроме
того, положения п. 10 ч. 3 ст. 402 ГПК РФ наделяют Роскомнадзор правом выбора
подсудности и в тех случаях, когда ответчиком выступает иностранное лицо
(Апелляционное определение Московского городского суда от 16 декабря 2014 г. по
делу N 33-40431/2014);
- направлять в ФСБ и (или)
ФСТЭК сведения, указанные оператором в уведомлении, указанном в ст. 22 Закона о
персональных данных, содержащие описание организационных и технических мер по
защите персональных данных, в том числе сведения о наличии шифровальных
(криптографических) средств и наименования этих средств. Такого рода сведения
могут использоваться ФСБ и ФСТЭК для проведения контрольно-надзорных
мероприятий в пределах их компетенции;
- направлять заявление в
орган, осуществляющий лицензирование деятельности оператора, для рассмотрения
вопроса о принятии мер по приостановлению действия или аннулированию
соответствующей лицензии, если имело место нарушение оператором условия
лицензии о запрете на передачу персональных данных третьим лицам без согласия в
письменной форме субъекта персональных данных. Как отмечается представителями
Роскомнадзора, на практике указанное полномочие не реализуется. Во-первых,
отсутствуют лицензии с условием запрета на передачу персональных данных третьим
лицам без согласия субъекта персональных данных. Во-вторых, отсутствует порядок
по приостановлению действия или аннулированию соответствующей лицензии по
заявлению Роскомнадзора <1>;
- направлять в органы
прокуратуры, другие правоохранительные органы материалы для решения вопроса о
возбуждении уголовных дел по признакам преступлений, связанных с нарушением
прав субъектов персональных данных, в соответствии с подведомственностью. Об
уголовной ответственности за деяния, связанные с нарушением законодательства о
персональных данных, см. комментарий к ст. 24 Закона;
- вносить в
Правительство РФ предложения о совершенствовании нормативного правового
регулирования защиты прав субъектов персональных данных. Несмотря на то что
данное право предусмотрено за Роскомнадзором федеральным законом, его
реализация во многом заблокирована существующей административной системой
государственных органов. Федеральные службы по общему правилу не наделены возможностью
вносить проекты нормативно-правовых актов, если только такие службы не
подчинены напрямую Президенту РФ или Правительству РФ. В соответствии с Постановлением
Правительства РФ от 2 июня 2008 г. N 418 "О Министерстве связи и массовых
коммуникаций Российской Федерации" функции по нормативно-правовому
регулированию в сфере обработки персональных данных осуществляет Минкомсвязи
России. Однако, несмотря на административные нюансы, Роскомнадзор de facto
играет важную роль при разработке нормативно-правовых актов, связанных с
обработкой персональных данных;
- привлекать к
административной ответственности лиц, виновных в нарушении Закона о
персональных данных. Роскомнадзор вправе составлять протоколы об
административных правонарушениях по ст. 19.7 КоАП РФ "Непредставление
сведений (информации)", при этом рассмотрение дела об административном
правонарушении осуществляется мировым судьей. С 1 июля 2017 г. полномочия по
возбуждению дел об административных правонарушениях по ст. 13.11 КоАП РФ
"Нарушение законодательства Российской Федерации в области персональных
данных" перешли от прокуратуры к Роскомнадзору (Федеральный закон от 7
февраля 2017 г. N 13-ФЗ "О внесении изменений в Кодекс Российской
Федерации об административных правонарушениях" <2>). Само дело об
административном производстве по данной статье по-прежнему подлежит
рассмотрению судом.
--------------------------------
<1> См.:
Федеральный закон "О персональных данных": научно-практический комментарий
/ под ред. А.А. Приезжевой. С. 152.
<2> См.: СПС
"КонсультантПлюс".
4. Часть 4 комментируемой статьи
возлагает на Роскомнадзор обязанность обеспечивать конфиденциальность
персональных данных, ставших доступными в ходе осуществления им своих
полномочий. В отношении таких персональных данных Роскомнадзор будет выступать
оператором со всеми вытекающими правами и обязанностями с тем изъятием, что все
соответствующие данные должны обрабатываться таким способом, который исключает
возможность доступа к ним третьих лиц, за исключением случаев, когда это
необходимо для реализации полномочий Роскомнадзора. Например, не будет
соответствовать требованиям комментируемого положения публикация в сети
Интернет, в том числе в аккаунтах Роскомнадзора, описания возникшего в практике
случая с приведением персональных данных заявителя, даже если такие данные сами
по себе являются общедоступными.
Данное положение
является имплементаций соответствующей обязанности, предусмотренной в ч. 2 ст.
15 Конвенции 1981 г. Аналогичные положения содержатся и в европейском
законодательстве.
5. Одной из основных
обязанностей Роскомнадзора является организация защиты прав субъектов
персональных данных. Указанная обязанность реализуется посредством выполнения
Роскомнадзором всего комплекса полномочий, однако ключевое значение в
достижении указанной цели имеют контрольно-надзорные мероприятия. Подробно
порядок реализации Роскомнадзором контрольно-надзорных мероприятий будет
рассмотрен в комментарии к ст. 23.1 Закона о персональных данных.
6. В соответствии с ч.
5.1 комментируемой статьи Роскомнадзор является органом, осуществляющим
сотрудничество с иностранными органами по защите персональных данных, в том
числе посредством обмена информацией с ними. Качество такого сотрудничества, в
том числе готовность иностранных органов предоставлять Роскомнадзору
запрашиваемую информацию, может оказывать влияние на принятие решения о признании
соответствующего государства предоставляющим адекватный уровень защиты и
включении его в специальный перечень Роскомнадзора (см. комментарий к ст. 12
Закона).
7. Решения
Роскомнадзора, как и иных органов государственной власти, могут быть обжалованы
в судебном порядке. Такое обжалование осуществляется в соответствии с КАС РФ
или гл. 24 АПК РФ в зависимости от статуса заявителя. Если в качестве лица,
обжалующего решение Роскомнадзора, выступает субъект персональных данных, то
процедура такого обжалования определяется КАС РФ. Если в качестве лица,
обжалующего решение Роскомнадзора, выступает оператор, и решение Роскомнадзора
затрагивает его права и законные интересы в сфере предпринимательской или иной
экономической деятельности, то процедура определяется АПК РФ.
Обжалование решения
Роскомнадзора сопряжено с необходимостью выполнения заявителем определенных
условий, а именно доказыванием им наличия определенных обстоятельств. В
соответствии с КАС РФ лицо имеет право обжаловать решение Роскомнадзора, если
оно полагает, что им нарушены или оспорены его права, свободы или законный
интерес; создано препятствие к их осуществлению или на такое лицо незаконно
возложена какая-либо обязанность (ч. 1 ст. 218 КАС РФ). В соответствии с АПК РФ
лицо имеет право обжаловать решение Роскомнадзора, если полагает, что оно не
соответствует закону или иному нормативному правовому акту и нарушает его права
и законные интересы в сфере предпринимательской и иной экономической
деятельности либо незаконно возлагает на него какие-либо обязанности, создает
иные препятствия для осуществления предпринимательской и иной экономической
деятельности (ч. 1 ст. 198 АПК РФ). Таким образом, в рамках судопроизводства по
КАС РФ бремя доказывания, возлагаемое на заявителя, несколько легче: ему
достаточно привести сведения о правах, свободах и законных интересах, которые,
по его мнению, нарушаются оспариваемым решением, и указать в общей форме
нормативные правовые акты и их положения, на соответствие которым надлежит
проверить оспариваемое решение (п. 6, 7 ч. 2 ст. 220 КАС РФ). При этом
соответствие принятого решения требованиям закона как с точки зрения процедуры
его принятия, так и по содержанию возлагается на Роскомнадзор (ч. 11 ст. 226
КАС РФ). При судопроизводстве в рамках АПК РФ заявитель, помимо описания, какие
именно права и законные интересы, по его мнению, нарушаются оспариваемым
решением, должен провести более глубокий правовой анализ ситуации и указать
законы и иные нормативные правовые акты, которым, по мнению заявителя, не соответствует
оспариваемое решение (п. 3, 4 ч. 1 ст. 199 АПК РФ). Обязанность доказывания
законности принятия оспариваемого решения и его соответствия требованиям
нормативно-правовых актов также возлагается на Роскомнадзор (ч. 5 ст. 200 АПК
РФ).
По общему правилу
заявление об обжаловании решения Роскомнадзора может быть подано в суд по
местонахождению Роскомнадзора (его территориального подразделения), вынесшего
соответствующее решение, в течение трех месяцев со дня, когда гражданину или
организации стало известно о нарушении их прав и законных интересов (ч. 1 ст.
219 КАС РФ, ч. 4 ст. 198 АПК РФ). Пропущенный по уважительной причине срок
подачи заявления может быть восстановлен судом. Общий срок рассмотрения дела -
1 месяц в рамках КАС РФ и 3 месяца в рамках АПК РФ. По итогам рассмотрения дела
суд либо признает решение незаконным, либо отказывает в удовлетворении
заявленного требования. В случае признания решения Роскомнадзора незаконным оно
утрачивает юридическую силу с момента вступления в законную силу судебного
решения (как правило, по истечении месяца с момента его принятия в
окончательной форме, если оно не было обжаловано в апелляционном порядке).
Хотя ч. 6 ст. 23 Закона
о персональных данных говорит о возможности обжалования в судебном порядке
только решений, однако и КАС РФ, и АПК РФ допускают также обжалование иных
действий (не выраженных в форме какого-либо официального акта) или бездействия
Роскомнадзора, которые затрагивают права и законные интересы заявителя. При
этом далеко не любой документ, исходящий от Роскомнадзора, может быть
обжалован.
Так, например, в
судебной практике существует позиция, согласно которой акт проверки не может
быть обжалован, так как "не обладает признаками ненормативного правового
акта, поскольку не содержит властно-распорядительных предписаний, влекущих для
заявителя юридические последствия. Акт, которым оформлены результаты проверки,
не содержит отдельных предписаний, распоряжений, влекущих какие-либо
обязанности заявителя или создающих препятствия для его деятельности, поскольку
в акте описаны установленные Управлением обстоятельства" (Постановление
Девятнадцатого арбитражного апелляционного суда от 6 октября 2015 г. N
19АП-3935/2015 по делу N А14-2475/2015; Постановление Пятнадцатого арбитражного
апелляционного суда от 13 мая 2015 г. N 15АП-5647/2015 по делу N
А32-37934/2014; Постановление Шестнадцатого арбитражного апелляционного суда от
8 февраля 2016 г. N 16АП-5150/2015 по делу N А77-716/2015 и др.).
Кроме того, важно
понимать, что в рамках процедуры обжалования суд не осуществляет проверку
целесообразности вынесения решения, принятого государственным органом в
пределах своего усмотрения в соответствии с компетенцией, предоставленной
законом или иным нормативным правовым актом (см. п. 62 Постановления Пленума
Верховного Суда РФ от 27 сентября 2016 г. N 36 "О некоторых вопросах
применения судами Кодекса административного судопроизводства Российской
Федерации"). Однако суды вполне могут оценивать исполнимость предписания
Роскомнадзора, понимаемую как "наличие реальной возможности у лица,
которому выдано предписание, устранить в указанный срок выявленные
нарушения" (Постановление Арбитражного суда Центрального округа от 15
февраля 2021 г. по делу N А14-6779/2019; Постановление Президиума Высшего
Арбитражного Суда РФ от 9 июля 2013 г. N 2423/13). При этом использование в
акте Роскомнадзора нечетких и размытых формулировок, которые допускают
различное толкование, может являться одним из факторов, которые могут послужить
основанием для его успешного обжалования. По этому поводу достаточно ярко
высказался суд: "Используемые в предписании формулировки должны исключать
возможность двоякого толкования; изложение должно быть кратким, четким, ясным,
последовательным, доступным для понимания всеми лицами. Судебная коллегия также
обращает внимание, что деятельность Управления Роскомнадзора по Центральному
федеральному округу относится к сфере публичного права. В публичном праве
органы власти имеют больше прав относительно иных лиц. Соответственно, такие
лица должны соблюдать определенные гарантии, обеспечивающие соблюдение прав и
законных интересов граждан и организаций. К указанным гарантиям относится требование
ясности, четкости, определенности, конкретности, понятности, недвусмысленности
актов органов власти" (Апелляционное определение Московского городского
суда от 18 сентября 2017 г. по делу N 33а-4308/2017).
8. В соответствии с ч. 7
комментируемой статьи Роскомнадзор подготавливает ежегодный отчет о своей
деятельности, который направляет Президенту РФ, в Правительство РФ и
Федеральное Собрание РФ. Указанный отчет подлежит опубликованию в средствах
массовой информации <1>.
--------------------------------
<1> С содержанием
данных отчетов можно ознакомиться на сайте Роскомнадзора по ссылке:
https://rkn.gov.ru/personal-data/reports/.
9. Часть 9 комментируемой статьи
предусматривает создание консультативного совета при Роскомнадзоре. Порядок его
формирования и порядок деятельности предусмотрены Приказом Роскомнадзора от 20
июня 2012 г. N 621 "Об утверждении Положения о Консультативном совете при
уполномоченном органе по защите прав субъектов персональных данных".
Консультативный совет осуществляет свою деятельность на общественных началах и
не является экспертным учреждением. Консультативный совет формируется из
представителей Роскомнадзора и федеральных органов государственной власти,
которые по своему статусу могут быть членами Общественной палаты РФ,
объединений операторов, осуществляющих обработку персональных данных и
осуществляющих сотрудничество с Роскомнадзором, экспертов в области
персональных данных и информационной безопасности, руководителей предприятий и
организаций, входящих в сферу деятельности Роскомнадзора, общественных
организаций, рекомендованных Общественной палатой РФ.
Основной задачей
Консультативного совета является подготовка предложений и рекомендаций по
вопросам:
1) гармонизации
законодательства Российской Федерации в области защиты персональных данных с
учетом общественного мнения и опыта правоприменительной практики;
2) обеспечения
соблюдения законодательства Российской Федерации в области защиты персональных
данных;
3) методического
обеспечения правоприменительной деятельности в области защиты персональных
данных;
4) содействия
распространению положительного опыта по организации защиты прав субъектов
персональных данных;
5) содействия
формированию позитивного общественного мнения, способствующего созданию и
развитию эффективной системы защиты прав субъектов персональных данных;
6) создания условий для
повышения правового уровня и активной гражданской позиции общества.
Решения, принимаемые
Консультативным советом, носят рекомендательный характер.
При Консультативном
совете в целях эффективного осуществления возложенных на него функций могут
создаваться рабочие группы, руководитель и персональный состав которых
определяются на заседании Консультативного совета и утверждаются председателем
Консультативного совета. Такие рабочие группы организуют по поручению
Консультативного совета изучение вопросов в области персональных данных и
разработку проектов документов по указанным вопросам в рамках компетенции
Консультативного совета. Так, в рамках Консультативного совета были созданы
рабочие группы по определению матрицы персональных данных <1> и критериев
направленности иностранных сайтов <2>. Отдельные результаты деятельности
данных групп нашли свое отражение в разъяснениях Минцифры РФ
(http://www.minsvyaz.ru/ru/personaldata/) и судебной практике (дело LinkedIn и
др.).
--------------------------------
<1> См.:
Федеральный закон "О персональных данных": научно-практический комментарий
/ под ред. А.А. Приезжевой. М., 2015. С. 14.
<2> См.:
Комментарий к Федеральному закону от 21 июля 2014 г. N 242-ФЗ "О внесении
изменений в отдельные законодательные акты Российской Федерации в части
уточнения порядка обработки персональных данных в
информационно-телекоммуникационных сетях". С. 15.
Статья 23.1. Федеральный
государственный контроль (надзор) за обработкой персональных данных
1. Комментируемая статья появилась в
результате реформы контрольно-надзорной деятельности, выразившейся в принятии
Федерального закона от 31 июля 2020 г. N 248-ФЗ "О государственном
контроле (надзоре) и муниципальном контроле в Российской Федерации" (далее
- Закон о госконтроле), Федерального закона от 31 июля 2020 г. N 247-ФЗ
"Об обязательных требованиях в Российской Федерации" и так
называемого закона-спутника, которым были внесены соответствующие изменения в
более чем 130 отраслевых законов (Федеральный закон от 11 июня 2021 г. N 170-ФЗ
"О внесении изменений в отдельные законодательные акты Российской
Федерации в связи с принятием Федерального закона "О государственном
контроле (надзоре) и муниципальном контроле в Российской Федерации").
2. Часть 2
комментируемой статьи конкретизирует предмет государственного контроля за
обработкой персональных данных, в качестве которого обозначено соблюдение
операторами обязательных требований в области персональных данных,
установленных Законом о персональных данных и принимаемыми в соответствии с ним
иными нормативными правовыми актами Российской Федерации.
При этом данные
обязательные требования, к которым по сути относятся все императивные положения
данных актов, следует толковать с учетом Федерального закона от 31 июля 2020 г.
N 247-ФЗ "Об обязательных требованиях в Российской Федерации", в
частности ч. 2 ст. 5, не допускающей применения таких требований по аналогии; ст.
9, предусматривающей принцип исполнимости таких требований и минимизации рисков
их избирательного правоприменения.
Следует отметить, что
сфера законодательства, выступающая предметом государственного контроля,
сформулирована в ч. 2 комментируемой статьи уже, чем законодательство о
персональных данных, под которым согласно ч. 1 ст. 4 Закона о персональных
данных понимается сам Закон о персональных данных и другие определяющие случаи
и особенности обработки персональных данных федеральные законы.
Из этого можно сделать
вывод, что установленные в гл. 14 ТК РФ положения о защите персональных данных
работников формально выпадают из сферы контрольно-надзорной деятельности, так
как они не установлены Законом о персональных данных, а ТК РФ не относится к
разряду принимаемых в соответствии с Законом о персональных данных иных
нормативных правовых актов Российской Федерации. Во-первых, ТК РФ является
федеральным законом, а не нормативным правовым актом в значении, придаваемом ч.
2 ст. 4 Закона о персональных данных, то есть актом, принятым государственным
органом, Банком России, органом местного самоуправления в пределах своих
полномочий. Во-вторых, ТК РФ был принят в 2002 г., в то время как Закон о
персональных данных - в 2006 г., в связи с чем ТК РФ даже с хронологической
точки зрения явно не мог быть принят в
соответствии с Законом о персональных данных. При таком толковании
получается, что проверка соблюдения положений ТК РФ об обработке персональных
данных будет относиться к компетенции трудовых инспекций. Однако не исключено,
что Роскомнадзор может в перспективе расширительно истолковать вышеуказанный пункт
и включить в периметр контрольно-надзорных мероприятий и вопросы соблюдения
требований к обработке персональных данных, установленных ТК РФ.
Следует также отметить,
что Положение о надзоре содержит несколько отличающуюся от содержащейся в ст. 3
Закона о персональных данных дефиницию оператора. Согласно все тому же п. 1
Положения о надзоре под оператором понимается "контролируемое лицо,
самостоятельно или совместно с другими контролируемыми лицами организующее и
(или) осуществляющее обработку персональных данных, в том числе на основании поручения (курсив мой. - А.С.), а также
определяющее цели обработки персональных данных, состав персональных данных,
подлежащих обработке, действия (операции), совершаемые с персональными
данными". Как видно, в данном случае имеет место определенное расширение
понятия оператора, по сравнению с содержащимся в Законе о персональных данных,
за счет включения в него также и лиц, осуществляющих обработку персональных
данных на основании поручения. Безусловно, определение, содержащееся в
подзаконном акте, не может противоречить определению, содержащемуся в законе.
Однако доказывание этого очевидного факта может столкнуться с рядом
препятствий. С одной стороны, Роскомнадзор, скорее всего, будет
руководствоваться тем актом, который предоставляет ему максимальную гибкость
для выполнения его функций, то есть Положением о надзоре. С другой стороны,
суды вряд ли будут разбираться в хитросплетениях соотношения понятий
"оператор" и "лицо, осуществляющее обработку по поручению
оператора", в этой связи обжалование каких-либо решений Роскомнадзора,
основанных на модифицированной дефиниции оператора, вряд ли будет иметь большие
перспективы.
3. Положения ч. 3 и 4
комментируемой статьи содержат важное изъятие из общего правила о применимости Закона
о госконтроле к мероприятиям государственного контроля, реализуемым
Роскомнадзором. Данный Закон неприменим к мероприятиям
по контролю без взаимодействия с оператором, именуемым иногда также на
практике "мероприятия систематического наблюдения".
Постановление
Правительства РФ от 29 июня 2021 г. N 1046 "О федеральном государственном
контроле (надзоре) за обработкой персональных данных", вступившее в силу с
1 июля 2021 г. (далее - Положение о надзоре), предусматривает в п. 59 два
основных вида мероприятий по контролю без взаимодействия с оператором:
а) наблюдение за
соблюдением требований при размещении информации в сети Интернет. Такого рода
наблюдение может продемонстрировать ряд нарушений, например отсутствие политики
конфиденциальности, несоблюдение требований локализации, обработку персональных
данных при отсутствии законных оснований;
б) наблюдение за
соблюдением требований посредством анализа информации о деятельности оператора,
которая предоставляется им посредством использования федеральных
государственных информационных систем в Роскомнадзор в соответствии с
нормативными правовыми актами Российской Федерации или может быть получена в
рамках межведомственного информационного взаимодействия. Данный вид мероприятий
может, например, использоваться для оценки полноты и достоверности сведений,
содержащихся в уведомлении оператора, подаваемом в порядке ст. 22 Закона о
персональных данных.
Проведение мероприятия
по контролю без взаимодействия с оператором осуществляется на основе задания,
которое выдается в случае: а) наличия поручения Президента РФ, поручения
Правительства РФ, а также руководителя Роскомнадзора; б) обращения
государственного органа, муниципального органа, юридического лица,
индивидуального предпринимателя, физического лица, публикации в СМИ и
размещения в сети Интернет информации о нарушении прав и законных интересов
субъекта (субъектов) персональных данных и (или) нарушении требований. Таким
образом, факт обсуждения на каком-либо интернет-ресурсе утечки персональных
данных или иных действий оператора, нарушающих порядок обработки персональных
данных, может стать поводом для проведения соответствующих мероприятий
Роскомнадзором.
По итогам проведения
мероприятия по контролю без взаимодействия с оператором должностными лицами
составляется докладная записка на имя руководителя Роскомнадзора или его
заместителя.
При выявлении по итогам
проведения мероприятия по контролю без взаимодействия с оператором нарушения
(признаков нарушения) требований оператору направляется требование об
уточнении, блокировании или уничтожении недостоверных или полученных незаконным
путем персональных данных в течение 10 рабочих дней Роскомнадзора об исполнении
указанного требования либо с представлением мотивированных пояснений по
существу выявленных признаков нарушения требований.
Кроме того, согласно ч.
4 комментируемой статьи выявленные нарушения могут являться основанием для
проведения одного из контрольных мероприятий (инспекционный визит,
документарная проверка, выездная проверка) или направления оператору
предостережения о недопустимости нарушения обязательных требований (ст. 60
Закона о госконтроле). Как видно, новое регулирование исключает возможность
составления протокола об административной ответственности по факту
обнаруженного нарушения (например, отсутствия политики конфиденциальности на
веб-сайте оператора). Такого рода действия могут быть совершены по результатам
проведенных впоследствии контрольных мероприятий. В этой связи не очень
понятно, как будут реализованы подобного рода контрольные мероприятия в
отношении иностранных компаний, не имеющих присутствия на территории Российской
Федерации, но осуществляющих направленную на территорию Российской Федерации
деятельность в сети Интернет. Инспекционный визит, выездную или документарную
проверку в отношении них будет проблематично организовать. Ранее привлечение к
ответственности таких компаний за нарушение требований локализации (ч. 5 ст. 18
Закона о персональных данных) осуществлялось на основании протоколов об
административном правонарушении, составленных по результатам проведения
контрольных мероприятий без взаимодействия с оператором. Как будет это
происходить в новой парадигме государственного контроля - большой вопрос. Но в
любом случае Роскомнадзор не лишен права требовать представления определенных
документов и привлекать к ответственности за их непредставление по ст. 19.7
КоАП РФ, что с учетом несопоставимости санкций, предусмотренных данной статьей
(до 5 тыс. руб. для юридических лиц) и за нарушение требований локализации (до
18 млн руб. для юридических лиц за повторное нарушение), является шагом назад.
4. Основным документом,
регламентирующим порядок осуществления Роскомнадзором деятельности по
государственному контролю, является Постановление Правительства РФ от 29 июня
2021 г. N 1046 "О федеральном государственном контроле (надзоре) за
обработкой персональных данных", вступившее в силу с 1 июля 2021 г. (далее
- Положение о надзоре). Далее будут приведены основные положения данного
документа.
Объект контроля. Положение о надзоре указывает два основных объекта
контроля:
а) деятельность
операторов и третьих лиц, действующих по поручению оператора, по обработке
персональных данных, осуществляемой с использованием и (или) без использования
средств автоматизации, а также результаты такой деятельности;
б) результаты
деятельности по разработке документов и локальных актов контролируемых лиц по
обработке персональных данных и иных мер, указанных в ч. 1 ст. 18.1 Закона о
персональных данных.
Кроме того, с учетом
того, что в числе мер, указанных в ч. 1 ст. 18.1 Закона о персональных данных,
фигурирует "применение правовых, организационных и технических мер по
обеспечению безопасности персональных данных в соответствии со ст. 19 Закона о
персональных данных", это может являться формальным основанием для
проверки Роскомнадзором технических мер по обеспечению безопасности
персональных данных, по крайней мере, в части проверки соответствующих
документов и "результатов" применения таких мер.
Риск-ориентированный подход. Одной из основных новелл нового Положения
о надзоре является применение системы оценки и управления рисками. Степень
интенсивности контроля и его формы теперь увязаны с рисками от возможного
несоблюдения операторами требований к обработке персональных данных. В
соответствии со ст. 22 Закона о госконтроле управление рисками предполагает
проведение профилактических и контрольных мероприятий с целью обеспечения допустимого
уровня риска в определенной сфере деятельности. Управление рисками происходит
на основе оценки рисков. При такой оценке контрольный орган определяет
вероятность риска и масштаб вреда для охраняемых законом ценностей.
Роскомнадзор будет
ранжировать всех операторов по определенным категориям риска (высокий,
значительный, средний, умеренный, низкий риск), и это будет непосредственно
влиять на реализуемые в отношении таких операторов меры государственного
контроля. В частности, на периодичность проведения плановых контрольных
мероприятий оператора: операторов с более высокой категорией риска будут
проверять чаще, чем с более низкой. Так, например, инспекционный визит или
выездная проверка в отношении операторов, отнесенных к категории высокого
риска, предусмотрены с периодичностью один раз в 2 года; в отношении
операторов, отнесенных к категории значительного риска, - один раз в 3 года; в
отношении операторов, отнесенных к категории среднего риска, - один раз в 4
года; в отношении операторов, отнесенных к категории умеренного риска, - один
раз в 6 лет. В отношении операторов, деятельность которых в связи с обработкой
персональных данных отнесена к категории низкого риска, плановые контрольные
мероприятия не проводятся (п. 12 Положения о надзоре).
При выборе применимого
внепланового контрольного мероприятия Роскомнадзором также проводится оценка
риска на основе индикаторов риска нарушения обязательных требований (ч. 9 ст.
23 Закона о госконтроле). Соответствующий перечень индикаторов риска,
релевантных для сферы контроля в области законодательства о персональных
данных, подлежит утверждению Минцифры России и на момент подготовки данного
издания комментария еще не был принят.
Критерии отнесения
операторов к определенной категории риска установлены в приложении к Положению
о надзоре и включают в себя две составляющие:
1) "группы
тяжести", определяемые масштабами и характером осуществляемой оператором
обработки, влияющими на объем возможных рисков для граждан;
2) "группы
вероятности" в виде наличия зафиксированных фактов нарушений оператором
законодательства о персональных данных в прошлом, на основании которых
прогнозируется вероятность материализации таких рисков в будущем.
Содержательное
наполнение данных критериев и их влияние на отнесение деятельности оператора к
определенной группе риска можно проследить в следующих таблицах:
Группы тяжести |
|||
А |
Б |
В |
Г |
Обработка
специальных категорий данных и (или) биометрических данных |
"Вторичная
обработка", то есть обработка в целях, отличных от заявленных на этапе
сбора |
Обработка
персональных данных близких родственников субъекта |
Обработка
персональных данных, полученных из общедоступных источников |
Сбор
персональных данных осуществляется с использованием баз данных за пределами
РФ |
Обработка
персональных данных несовершеннолетних, кроме случаев, предусмотренных
законом |
Обработка
оператором персональных данных более 1 000 субъектов, но менее 20 000 |
Обработка
персональных данных без уведомления Роскомнадзора |
Трансграничная
передача данных в страны, не обеспечивающие адекватный уровень защиты |
Обработка
оператором персональных данных более 20 000 субъектов |
Осуществление
трансграничной передачи данных в страны, входящие в перечень Роскомнадзора
(см. Приказ Роскомнадзора от 15 марта 2013 г. N 274) |
Обработка
оператором персональных данных менее 1 000 субъектов |
Передача
третьим лицам обезличенных данных |
Использование
иностранного ПО или сервисов для сбора персональных данных в сети Интернет |
Обезличивание
и обработка обезличенных данных без передачи их третьим лицам |
Осуществление
трансграничной передачи данных в страны - члены Конвенции N 108 |
Группа вероятности |
|||
1 |
2 |
3 |
4 |
Неоднократные нарушители. Привлечение к ответственности по ч.
1.1, 2.1, 5.1, 9 ст. 13.11 КоАП РФ в течение последних трех лет либо выдача в связи с совершением
действий, квалифицируемых по данным статьям, предписания об устранении
выявленных нарушений, требования об устранении нарушений, предупреждения о
недопущении нарушений в течение двух последних лет |
Однократные нарушители. Привлечение к ответственности по ч.
1, 2, 5, 6, 8 ст. 13.11 КоАП РФ в течение последних трех лет либо выдача в связи с совершением
действий, квалифицируемых по данным статьям, предписания об устранении
выявленных нарушений, требования об устранении нарушений, предупреждения о
недопущении нарушений в течение двух последних лет |
Однократные нарушители по "нетяжким
составам".
Привлечение к ответственности по ч. 4 или 7 ст. 13.11 КоАП РФ в течение
последних трех лет либо выдача в
связи с совершением действий, квалифицируемых по данным статьям, предписания
об устранении выявленных нарушений, требования об устранении нарушений,
предупреждения о недопущении нарушений в течение двух последних лет |
Лица, не попадавшиеся "на
радар" Роскомнадзора. Все иные лица, в отношении которых отсутствуют сведения, относящиеся
к первым трем группам |
Категории риска |
||||
Группа вероятности |
1 |
2 |
3 |
4 |
Группа тяжести |
||||
А |
Высокий |
Значительный |
Значительный |
Средний |
Б |
Высокий |
Средний |
Средний |
Низкий |
В |
Средний |
Средний |
Умеренный |
Низкий |
Г |
Умеренный |
Умеренный |
Низкий |
Низкий |
Формы государственного контроля.
При осуществлении
государственного контроля (надзора) за обработкой персональных данных могут
осуществляться три группы мероприятий: 1) профилактические мероприятия, 2)
контрольно-надзорные мероприятия и 3) мероприятия по контролю без
взаимодействия с контролируемым лицом.
К числу профилактических
мероприятий отнесены:
1) информирование (размещение в сети Интернет актуальных сведений,
предусмотренных в ст. 46 Закона о госконтроле, к числу которых относится не
только перечень нормативных правовых актов, содержащих обязательные требования,
оценка соблюдения которых является предметом контроля, а также информация о
мерах ответственности за их нарушение, но и исчерпывающий перечень сведений,
которые могут запрашиваться контрольным (надзорным) органом у контролируемого
лица);
2) обобщение правоприменительной практики, которое находит свое
отражение в докладе о правоприменительной практике, который готовится один раз
в год и утверждается приказом (распоряжением) руководителя Роскомнадзора не
позднее 31 марта года, следующего за отчетным;
3) объявление предостережения. Данная мера реализуется при наличии у
Роскомнадзора сведений о готовящихся нарушениях обязательных требований или о
признаках нарушений обязательных требований и (или) в случае отсутствия
подтвержденных данных о том, что нарушение обязательных требований причинило
вред (ущерб) охраняемым законом ценностям либо создало угрозу причинения вреда
(ущерба) охраняемым законом ценностям. Факт выдачи такого предостережения может
иметь определенные правовые последствия. По всей видимости, оно может
толковаться в качестве предупреждения о недопустимости совершения нарушения,
которое учитывается согласно приложению к Положению о надзоре для целей
определения группы вероятности и, соответственно, отнесения оператора к
определенной категории риска. В пользу этого вывода говорит тот факт, что само
по себе предупреждение о недопустимости совершения нарушения более нигде в Положении
о надзоре не упоминается и рассматриваемое предостережение является наиболее
близким по сути инструментом к нему. Хотя, конечно, подобную терминологическую
путаницу вряд ли можно приветствовать;
4) консультирование. Положение о надзоре устанавливает исчерпывающий
перечень вопросов, по которым Роскомнадзором может осуществляться
консультирование заявителей: а) наличие и (или) содержание обязательных
требований в сфере обработки персональных данных; б) периодичность и порядок
проведения контрольных (надзорных) мероприятий; в) порядок выполнения
обязательных требований в сфере обработки персональных данных; г) выполнение
предписания, выданного по итогам контрольного мероприятия. По общему правилу
такое консультирование осуществляется в устном порядке, в том числе по
видео-конференц-связи, а также в ходе личного приема. Тот факт, что данные
формы консультирования указаны в качестве предпочтительных в отношении вопросов
"а" - "в", что следует из формулировки п. 26 Положения о порядке
проведения проверок "консультирование может
осуществляться...", не означает отсутствия возможности направления
обращения в адрес Роскомнадзора с соответствующими вопросами в порядке,
предусмотренном Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке
рассмотрения обращений граждан Российской Федерации". Письменный ответ на
такое обращение, который должен быть предоставлен в течение 30 календарных
дней, может быть более полезен для последующего взаимодействия с
Роскомнадзором, судами или иными лицами, чем ссылки на устные беседы с
отдельными представителями Роскомнадзора;
5) профилактический визит. Данная мера реализуется в отношении
операторов, отнесенных к категориям высокого и значительного риска, а также в
отношении операторов, только приступающих к осуществлению деятельности в сфере
обработки персональных данных. Основной ее целью является сбор сведений,
необходимых для отнесения операторов к категориям риска. По итогам проведения
профилактического визита составляются разъяснения рекомендательного характера
по организации оператором деятельности по обработке персональных данных. В
случае если при проведении обязательного профилактического визита установлено,
что деятельность оператора представляет явную непосредственную угрозу
причинения вреда правам граждан, Роскомнадзором может быть принято решение о
проведении контрольных мероприятий (п. 35 Положения о проверках).
Положение о порядке
проведения проверок выделяет следующие контрольно-надзорные мероприятия,
которые могут носить плановый или внеплановый характер:
а) инспекционный визит;
б) документарная
проверка;
в) выездная проверка.
Инспекционный визит проводится по местонахождению (месту осуществления
деятельности) оператора, в том числе его филиалов, представительств,
обособленных структурных подразделений. В соответствии со ст. 70 Закона о
госконтроле инспекционный визит проводится без предварительного уведомления
оператора и собственника производственного объекта, которые обязаны обеспечить
беспрепятственный доступ инспектора в соответствующие помещения. В ходе
инспекционного визита инспектором Роскомнадзора могут совершаться такие
контрольные (надзорные) действия, как осмотр, опрос, получение письменных
объяснений, истребование документов, которые в соответствии с обязательными
требованиями должны находиться в инспектируемом местонахождении (месте
осуществления деятельности) оператора.
Данная форма
контрольно-надзорного мероприятия является наиболее оперативной: срок
проведения инспекционного визита в одном месте осуществления деятельности либо
на одном производственном объекте (территории) не может превышать один рабочий
день.
Закон о госконтроле
допускает возможность осуществления внеплановых инспекционных визитов, среди
которых следует особо выделить их проведение по требованию прокурора на
основании поступивших в органы прокуратуры материалов и обращений (п. 4 ч. 1
ст. 57), а также на основании сведений о непосредственной угрозе причинения
вреда охраняемым законом ценностям (ч. 12 ст. 66). В последнем случае
Роскомнадзор может приступить к его реализации незамедлительно (в течение
двадцати четырех часов после получения соответствующих сведений) с извещением
об этом органа прокуратуры по местонахождению объекта контроля.
Документарная проверка. Согласно ст. 72 Закона о госконтроле под
документарной проверкой понимается контрольное (надзорное) мероприятие, которое
проводится по местонахождению контрольного (надзорного) органа и предметом
которого являются исключительно сведения, содержащиеся в документах
контролируемых лиц, устанавливающих их организационно-правовую форму, права и
обязанности, а также документы, используемые при осуществлении их деятельности
и связанные с исполнением ими обязательных требований и решений контрольного
(надзорного) органа.
В рамках данного
мероприятия Роскомнадзор вправе затребовать у оператора определенные документы
или письменные объяснения. При этом согласно ч. 6 ст. 72 Закона о госконтроле
при проведении документарной проверки Роскомнадзор не вправе требовать у
оператора сведения и документы, не относящиеся к предмету документарной
проверки, а также сведения и документы, которые могут быть получены этим
органом от иных органов. Важно подчеркнуть, что не любой запрос Роскомнадзором
документов от оператора может быть квалифицирован как документарная проверка.
Так, направление контролируемому лицу запросов о получении информации по
существу вопросов, указанных в обращениях граждан и иных лиц, поступивших в
Роскомнадзор, не является документарной проверкой (п. 50 Положения о надзоре).
Срок проведения
документарной проверки не может превышать 10 рабочих дней.
Положение о надзоре не
содержит перечня документов, которые могут выступать предметом проверки. Однако
на практике Роскомнадзор обычно запрашивает следующие виды документов:
- локальные акты
оператора, регламентирующие порядок и условия обработки персональных данных;
- письменные согласия
субъектов персональных данных на обработку их персональных данных. Если
соответствующее согласие является составной частью договора, то обычно
анализируются и типовые формы таких договоров;
- документы,
подтверждающие соблюдение требований законодательства РФ при обработке
специальных категорий и биометрических персональных данных, в частности наличие
у оператора соответствующих оснований для их обработки;
- документы,
подтверждающие соблюдение требований локализации отдельных процессов обработки
персональных данных российских граждан (заверенные блок-схемы размещения
рабочих мест, на которых осуществляется хранение персональных данных российских
пользователей, справки о постановке на балансовый учет организации
приобретенных серверных мощностей, договоры купли-продажи серверов и пр.);
- документы,
подтверждающие уничтожение оператором персональных данных по достижении цели
обработки;
- документы,
подтверждающие выполнение оператором предписаний об устранении ранее выявленных
нарушений законодательства о персональных данных.
Данный перечень
документов не является исчерпывающим - в ходе проведения проверки Роскомнадзор
может запросить самые разнообразные документы, которые могут иметь отношение к
процессам обработки персональных данных, проверяемым оператором. К таким
документам могут относиться договоры и иные документы, в которых фигурируют
персональные данные; копии штатного расписания и т.п.
Выездная проверка. Согласно ст. 73 Закона о персональных данных под
выездной проверкой понимается комплексное контрольное (надзорное) мероприятие,
проводимое посредством взаимодействия с конкретным контролируемым лицом,
владеющим производственными объектами и (или) использующим их, в целях оценки
соблюдения таким лицом обязательных требований, а также оценки выполнения
решений контрольного (надзорного) органа. Таким образом, выездная проверка
проводится по месту фактического осуществления оператором деятельности по обработке
персональных данных, и ее предметом являются не только содержащиеся в
документах оператора сведения, но и принимаемые им меры по исполнению
требования законодательства о персональных данных.
Выездная проверка
проводится в случае, если не представляется возможным:
1) удостовериться в
полноте и достоверности сведений, которые содержатся в находящихся в
распоряжении контрольного (надзорного) органа или в запрашиваемых им документах
и объяснениях контролируемого лица;
2) оценить соответствие
деятельности, действий (бездействия) контролируемого лица и (или) принадлежащих
ему и (или) используемых им объектов контроля обязательным требованиям без
выезда на территорию оператора и совершения необходимых контрольных (надзорных)
действий, предусмотренных в рамках иного вида контрольных (надзорных)
мероприятий.
Внеплановая выездная
проверка может проводиться только по согласованию с органами прокуратуры, за
исключением случаев, указанных в законе, которые аналогичны для проведения
внепланового инспекционного визита (см. выше).
О проведении выездной
проверки контролируемое лицо уведомляется путем направления копии решения о
проведении выездной проверки не позднее чем за двадцать четыре часа до ее
начала в порядке, предусмотренном ст. 21 Закона о госконтроле. Одной из новелл
данного Закона является установление преимущественно электронной формы такого
информирования, которая может реализовываться либо посредством направления
электронного документа, подписанного усиленной квалифицированной электронной
подписью на адрес электронной почты, указанный при регистрации юрлица, либо
посредством отражения соответствующих сведений в едином реестре контрольных
(надзорных) мероприятий, а также доведения их до оператора через Единый портал государственных
и муниципальных услуг или иные схожие информационные системы.
В случае проведения
выездной проверки сотрудник Роскомнадзора может проверить достоверность и
полноту указанных сведений, что называется, на собственном опыте, попросив
продемонстрировать процедуру ввода данных в информационную систему, их
последующей обработки в ней, включая удаление.
При наличии у оператора
интернет-ресурсов или мобильных приложений, посредством которых осуществляется
сбор и обработка персональных данных, ему необходимо быть готовым, помимо
прочего, предоставить Роскомнадзору: 1) информацию о назначении и функционале
таких ресурсов; 2) перечень данных, собираемых и обрабатываемых с их
использованием; 3) сведения о привлеченных оператором обработчиках персональных
данных, обслуживающих такие ресурсы (провайдерах облачных сервисов, хостинга,
сервисов аналитики данных и т.п.), с приложением договоров, заключенных с ними;
4) сведения об используемых базах данных с указанием их местонахождения и
принадлежности, на которых хранятся и обрабатываются данные, полученные с
помощью интернет-сервисов; копии документов и локальных актов, изданных
оператором, по вопросам обработки персональных данных пользователей
интернет-сервиса или мобильного приложения; копии договоров, заключенных с
рекламными организациями и иными лицами, которым предоставляются собираемые
данные о пользователях, в том числе в обезличенном виде.
Срок проведения выездной
проверки не может превышать 10 рабочих дней.
Акты, принимаемые по результатам контрольного
мероприятия. По
окончании проведения контрольного мероприятия составляется акт. Оформление акта
производится на месте проведения контрольного мероприятия в день окончания
проведения такого мероприятия, за исключением случаев, связанных с большим
объемом проверяемых и анализируемых документов, значительным количеством
осуществляемых видов деятельности по обработке персональных данных,
разветвленностью организационно-хозяйственной структуры оператора, сложностью
технологических процессов обработки персональных данных. При наличии таких
обстоятельств оформление и вручение акта производятся не позднее 5 рабочих дней
со дня окончания контрольного мероприятия.
В тех редких случаях,
когда по результатам проведения контрольного мероприятия не было выявлено
нарушений, сведения об этом вносятся в единый реестр контрольных (надзорных)
мероприятий. При этом инспектор вправе выдать рекомендации по соблюдению
обязательных требований, провести иные мероприятия, направленные на
профилактику рисков причинения вреда (ущерба) охраняемым законом ценностям (ч.
1 ст. 90 Закона о госконтроле).
Если по результатам
проведения контрольного мероприятия было выявлено нарушение требований к
обработке персональных данных, в акте должно быть указано, какое именно
обязательное требование нарушено, каким нормативным правовым актом и его
структурной единицей оно установлено. При этом к акту прилагаются документы и
иные материалы, являющиеся доказательствами нарушения обязательных требований.
При этом акт может
сопровождаться: 1) выдачей предписания об устранении выявленных нарушений; 2)
оформлением протокола о привлечении оператора к административной
ответственности по ст. 13.11 КоАП РФ; 3) действиями по направлению материалов в
правоохранительные органы для привлечения лица к уголовной ответственности при
наличии в деятельности оператора признаков уголовного преступления; 4) выдачей
рекомендаций по соблюдению обязательных требований, проведению иных
мероприятий, направленных на профилактику рисков причинения вреда (ущерба)
охраняемым законом ценностям.
Обжалование. Жалоба на решение или действие должностных лиц Роскомнадзора
может быть подана в течение 30 календарных дней со дня, когда оператор узнал
или должен был узнать о нарушении своих прав. Жалоба на предписание
Роскомнадзора об устранении нарушения может быть подана в течение 10 рабочих
дней с момента получения оператором такого предписания.
Основанием для отмены
соответствующего решения Роскомнадзора может выступать грубое нарушение
требований к организации и осуществлению им государственного контроля,
указанное в ч. 2 ст. 91 Закона о госконтроле:
1) отсутствие оснований
проведения контрольных (надзорных) мероприятий;
2) отсутствие
согласования с органами прокуратуры проведения контрольного (надзорного)
мероприятия в случае, если такое согласование является обязательным;
3) нарушение требования
об уведомлении о проведении контрольного (надзорного) мероприятия в случае,
если такое уведомление является обязательным;
4) нарушение
периодичности проведения планового контрольного (надзорного) мероприятия;
5) проведение планового
контрольного (надзорного) мероприятия, не включенного в соответствующий план
проведения контрольных (надзорных) мероприятий;
6) принятие решения по
результатам контрольного (надзорного) мероприятия на основании оценки
соблюдения положений нормативных правовых актов и иных документов, не
являющихся обязательными требованиями;
7) привлечение к
проведению контрольного (надзорного) мероприятия лиц, участие которых не
предусмотрено настоящим Федеральным законом;
8) нарушение сроков
проведения контрольного (надзорного) мероприятия;
9) совершение в ходе
контрольного (надзорного) мероприятия контрольных (надзорных) действий, не
предусмотренных настоящим Федеральным законом для такого вида контрольного
(надзорного) мероприятия;
10) непредоставление
контролируемому лицу для ознакомления документа с результатами контрольного
(надзорного) мероприятия в случае, если обязанность его предоставления
установлена настоящим Федеральным законом;
11) проведение
контрольного (надзорного) мероприятия, не включенного в единый реестр
контрольных (надзорных) мероприятий;
12) нарушение запрета на
предъявление требования о представлении документов или информации, если они не
относятся к предмету контрольного (надзорного) мероприятия, а также изъятие
оригиналов таких документов.
Статья 24. Ответственность за
нарушение требований настоящего Федерального закона
Комментарий к статье 24
1. Комментируемая статья посвящена
ответственности за нарушение положений законодательства о персональных данных.
Традиционно российское право понимает под ответственностью определенную "меру
государственного принуждения, основанную на юридическом и общественном
осуждении поведения правонарушителя и выражающуюся в установлении для него
определенных отрицательных последствий в форме ограничений личного или
имущественного порядка" <1>.
--------------------------------
<1> Иоффе О.С.,
Шаргородский М.Д. Вопросы теории права. М., 1961. С. 318. См. также: Теория
государства и права: учебник / под ред. В.В. Лазарева. М., 1996. С. 241; Теория
государства и права: учебник / под ред. В.К. Бабаева. М., 1999. С. 506; Теория
государства и права: учебник / отв. ред. В.Д. Перевалов. М., 2004. С. 266.
Сам Закон о персональных данных не
устанавливает конкретных видов или форм ответственности за нарушение его
положений и содержит лишь отсылочную норму к иным законам. Анализ специальных
норм законодательства РФ по данному вопросу позволяет сделать вывод о том, что
за нарушение положений Закона о персональных данных потенциально применимы
следующие виды ответственности:
1) административная
ответственность, предусмотренная КоАП РФ;
2) гражданско-правовая
ответственность, предусмотренная ГК РФ;
3) дисциплинарная и
материальная ответственность, предусмотренная ТК РФ;
4) уголовная
ответственность, предусмотренная УК РФ.
При этом возможно
одновременное применение нескольких видов ответственности, например оператор
может быть привлечен за определенное нарушение к административной
ответственности, что не исключает возможности субъекта персональных данных
требовать возмещения убытков и (или) компенсации морального вреда.
Ответственные должностные лица оператора также могут быть привлечены к
дисциплинарной и (или) административной или уголовной ответственности.
Помимо собственно форм
ответственности, предусмотренных вышеуказанными актами, существуют и иные
неблагоприятные последствия нарушения законодательства о персональных данных,
которые формально нельзя отнести к какой-либо из сложившихся форм
ответственности с точки зрения общей теории права. В частности, при
определенных условиях, указанных в ст. 15.5 Закона об информации, оператор и
интернет-ресурс, на котором осуществляется неправомерная обработка персональных
данных, могут быть внесены Роскомнадзором в реестр нарушителей законодательства
о персональных данных с ограничением доступа к такому интернет-ресурсу на
территории Российской Федерации. Такого рода действия, помимо ограничений на
распространение информации в сети Интернет и ведение коммерческой деятельности
в пределах Рунета, могут влечь ощутимые репутационные риски для операторов, у
которых такая репутация есть (например, трансграничные компании или крупные
зарубежные интернет-компании). Блокировка интернет-ресурса представляет собой
достаточно эффективное средство воздействия на иностранных операторов, в отношении
которых традиционные формы ответственности вроде административных штрафов
неэффективны по причине невозможности их взыскания за пределами Российской
Федерации. Тем самым положения о блокировках, подобно нормам европейского
законодательства об ограничениях на трансграничную передачу данных, играют
важную роль в обеспечении экстерриториального действия Закона о персональных
данных.
2. Административная
ответственность, которая может возникнуть в связи с нарушением законодательства
о персональных данных, представлена следующими видами административных
правонарушений:
1) за нарушение
оператором обязанностей, предусмотренных законодательством о персональных
данных, - ст. 13.11 КоАП РФ. В данном случае объектом правонарушения являются
отношения в сфере информации, а именно нарушение прав субъектов персональных
данных или требований информационной безопасности;
2) за неисполнение
оператором обязанностей при осуществлении Роскомнадзором своих полномочий - ст.
19.4; 19.4.1; 19.5; 19.7 КоАП РФ. В данном случае объектом правонарушения
являются отношения в сфере порядка управления.
Субъектами
административного правонарушения, то есть лицами, привлекаемыми к
административной ответственности, могут выступать:
- физическое лицо;
- юридическое лицо;
- должностное лицо
оператора, ответственное за организацию процессов обработки персональных данных
(ст. 22.1 Закона о защите персональных данных).
При этом в соответствии
со ст. 2.1 КоАП РФ назначение административного наказания юридическому лицу не
освобождает от административной ответственности за данное правонарушение виновное
физическое лицо, равно как и привлечение к административной или уголовной
ответственности физического лица не освобождает от административной
ответственности за данное правонарушение юридическое лицо. Иными словами,
административной ответственности могут быть подвергнуты одновременно и оператор
- юридическое лицо, и его соответствующее должностное лицо.
3. Ключевое значение в
системе положений об ответственности за нарушение законодательства о
персональных данных имеет ст. 13.11 КоАП РФ. Указанная статья после внесения
изменений, вступивших в силу 27 марта 2021 г. (Федеральный закон от 24 февраля
2021 г. N 19-ФЗ), предусматривает 12 видов нарушений законодательства о
персональных данных и соответствующие штрафы за них. Их описание приводится в
таблице ниже.
Положение КоАП
РФ |
Описание нарушения |
Примеры |
Административное наказание |
ч. 1
ст. 13.11 |
Обработка
персональных данных в случаях, не предусмотренных законодательством РФ в
области персональных данных, либо обработка персональных данных, несовместимая
с целями сбора персональных данных, за исключением случаев, предусмотренных ч.
2 ст. 13.11 КоАП РФ, если эти действия не содержат уголовно наказуемого
деяния |
1) Обработка
персональных данных без наличия основания, указанного в ст. 6. Закона, в
частности лиц, не являющихся стороной (выгодоприобретателем или поручителем)
заключаемого с оператором договора (Постановление Седьмого кассационного суда
общей юрисдикции от 2 декабря 2020 г. N 16-4079/2020); 2)
нарушение правил трансграничной передачи персональных данных (ст. 12 Закона); 3)
обработка персональных данных в маркетинговых целях без согласия субъекта или
после отзыва такого согласия (ст. 15 Закона) |
В
отношении физических лиц: административный штраф в размере от 2 000 до 6 000
руб. В отношении юридических лиц: административный штраф в размере от 60 000
до 100 000 руб. В
отношении должностных лиц: административный штраф в размере от 10 000 до 20
000 руб. |
ч. 1.1
ст. 13.11 |
Повторное
совершение административного правонарушения, предусмотренного ч. 1 ст. 13.11 |
- |
В
отношении физических лиц: административный штраф в размере от 4 000 до 12 000
руб. В
отношении юридических лиц: административный штраф в размере от 100 000 до 300
000 руб. В
отношении должностных лиц: административный штраф в размере от 20 000 до 50
000 руб. В
отношении индивидуальных предпринимателей: административный штраф в размере
от 50 000 до 100 000 руб. |
ч. 2
ст. 13.11 |
Обработка
персональных данных без согласия в письменной форме субъекта персональных
данных на обработку его персональных данных в случаях, когда такое согласие
должно быть получено в соответствии с законодательством РФ в области
персональных данных, если эти действия не содержат уголовно наказуемого
деяния, либо обработка персональных данных с нарушением установленных
требований к составу сведений, включаемых в согласие в письменной форме
субъекта персональных данных на обработку его персональных данных |
1)
Обработка биометрических данных при отсутствии одного из законных оснований,
указанных в ст. 11 Закона; 2)
обработка персональных данных специальных категорий при отсутствии одного из
законных оснований, указанных в ч. 2 ст. 10 Закона; 3)
передача персональных данных в
страны, не обеспечивающие адекватный уровень защиты, при отсутствии
оснований, указанных в ч. 4 ст. 12 Закона; 4)
принятие юридически значимых решений в отношении субъекта на основании
исключительно автоматизированной обработки его персональных данных без
письменного согласия субъекта (ч. 2 ст. 16 Закона) |
В
отношении физических лиц: административный штраф в размере от 3 000 до 5 000
руб. В
отношении юридических лиц: административный штраф в размере от 15 000 до 75
000 руб. В
отношении должностных лиц: административный штраф в размере от 10 000 до 20
000 руб. |
ч. 2.1
ст. 13.11 |
Повторное
совершение административного правонарушения, предусмотренного ч. 2 ст. 13.11 |
- |
В
отношении физических лиц: административный штраф в размере от 10 000 до 20
000 руб. В
отношении юридических лиц: административный штраф в размере от 300 000 до 500
000 руб. В
отношении должностных лиц: административный штраф в размере от 40 000 до 100
000 руб. В
отношении индивидуальных предпринимателей: административный штраф в размере
от 100 000 до 300 000 руб. |
ч. 3
ст. 13.11 |
Невыполнение
оператором предусмотренной законодательством РФ в области персональных данных
обязанности по опубликованию или обеспечению иным образом неограниченного
доступа к документу, определяющему политику оператора в отношении обработки
персональных данных, или сведениям о реализуемых требованиях к защите
персональных данных |
Неразмещение
на интернет-сайте, посредством которого осуществляется сбор и обработка
персональных данных, политики конфиденциальности или иного подобного
документа (ч. 2 ст. 18.1 Закона) (см.: Постановление Пятого кассационного
суда общей юрисдикции от 18 февраля 2021 г. N 16-355/2021) |
В
отношении физических лиц: административный штраф в размере от 1 500 до 3 000
руб. В
отношении юридических лиц: административный штраф в размере от 30 000 до 60
000 руб. В
отношении должностных лиц: административный штраф в размере от 6 000 до 12
000 руб. В
отношении индивидуальных предпринимателей: административный штраф в размере
от 10 000 до 20 000 руб. |
ч. 4
ст. 13.11 |
Невыполнение
оператором предусмотренной законодательством РФ в области персональных данных
обязанности по предоставлению субъекту персональных данных информации,
касающейся обработки его персональных данных |
1)
Предоставление отписок в ответ на запрос субъекта, то есть непредоставление
информации по перечню, указанному в ч. 7 ст. 14 Закона о персональных данных
(Постановление Ивановского областного суда от 26 сентября 2018 г. N
4а-252/2018); 2)
неуведомление о мерах, предпринятых по результатам рассмотрения запроса об
уточнении или уничтожении персональных данных (ч. 3 ст. 20 Закона) |
В
отношении физических лиц: административный штраф в размере от 2 000 до 4 000
руб. В
отношении юридических лиц: административный штраф в размере от 40 000 до 80
000 руб. В
отношении должностных лиц: административный штраф в размере от 8 000 до 12
000 руб. В
отношении индивидуальных предпринимателей: административный штраф в размере
от 20 000 до 30 000 руб. |
ч. 5
ст. 13.11 |
Невыполнение
оператором в сроки, установленные законодательством РФ в области персональных
данных, требования субъекта персональных данных или Роскомнадзора об
уточнении персональных данных, их блокировании или уничтожении в случае, если
персональные данные являются неполными, устаревшими, неточными, незаконно
полученными или не являются необходимыми для заявленной цели обработки |
1)
Нарушение семидневного срока (в рабочих днях) на уточнение персональных
данных по запросу субъекта (ч. 2 ст. 21 Закона); 2)
нарушение трехдневного (в рабочих днях) или иного указанного в ч. 3 ст. 21
Закона срока на уничтожение персональных данных; 3)
неуничтожение персональных данных в тридцатидневный срок с момента достижения
целей обработки при отсутствии иных легитимирующих такую обработку оснований
(ч. 4 ст. 21 Закона) |
В
отношении физических лиц: административный штраф в размере от 2 000 до 4 000
руб. В
отношении юридических лиц: административный штраф в размере от 50 000 до 90
000 руб. В
отношении должностных лиц: административный штраф в размере от 8 000 до 20
000 руб. В
отношении индивидуальных предпринимателей: административный штраф в размере
от 20 000 до 40 000 руб. |
ч. 5.1
ст. 13.11 |
Повторное
совершение административного правонарушения, предусмотренного ч. 5 ст. 13.11 |
- |
В
отношении физических лиц: административный штраф в размере от 20 000 до 30
000 руб. В
отношении юридических лиц: административный штраф в размере от 300 000 до 500
000 руб. В
отношении должностных лиц: административный штраф в размере от 30 000 до 50
000 руб. В
отношении индивидуальных предпринимателей: административный штраф в размере
от 50 000 до 100 000 руб. |
ч. 6
ст. 13.11 |
Невыполнение
оператором при обработке персональных данных без использования средств
автоматизации обязанности по соблюдению условий, обеспечивающих в
соответствии с законодательством РФ в области персональных данных сохранность
персональных данных при хранении материальных носителей персональных данных и
исключающих несанкционированный к ним доступ, если это повлекло неправомерный
или случайный доступ к персональным данным, их уничтожение, изменение,
блокирование, копирование, предоставление, распространение либо иные
неправомерные действия в отношении персональных данных, при отсутствии
признаков уголовно наказуемого деяния |
1)
Размещение документов, содержащих персональные данные, в месте, не
обеспечивающем конфиденциальность таких данных (Постановление Второго
кассационного суда общей юрисдикции от 2 июня 2020 г. по делу N 163231/2020); 2)
утрата документов, содержащих персональные данные, в результате несоблюдения
условий, обеспечивающих сохранность персональных данных при хранении
материальных носителей персональных данных (Определение Четвертого
кассационного суда общей юрисдикции от 22 октября 2020 г. по делу N
88-16568/2020); 3)
отсутствие у оператора - организации, осуществляющей обработку значительного
количества персональных данных, отдельного помещения, запирающегося на ключ,
к которому имеет доступ строго определенное количество работников |
В
отношении физических лиц: административный штраф в размере от 1 500 до 4 000
руб. В
отношении юридических лиц: административный штраф в размере от 50 000 до 100
000 руб. В
отношении должностных лиц: административный штраф в размере от 8 000 до 25
000 руб. В
отношении индивидуальных предпринимателей: административный штраф в размере от
20 000 до 40 000 руб. |
ч. 7
ст. 13.11 |
Невыполнение
оператором, являющимся государственным или муниципальным органом,
предусмотренной законодательством Российской Федерации в области персональных
данных обязанности по обезличиванию персональных данных либо несоблюдение
установленных требований или методов по обезличиванию персональных данных |
Данное
основание неприменимо к операторам из негосударственного сектора. При этом
операторы - государственные и муниципальные органы должны применять указанные
методы лишь в случаях, установленных нормативными правовыми актами РФ |
В
отношении должностных лиц: предупреждение или административный штраф в
размере от 6 000 до 12 000 руб. |
ч. 8
ст. 13.11 |
Невыполнение
оператором при сборе персональных данных, в том числе посредством
информационно-телекоммуникационной сети Интернет, предусмотренной законодательством
Российской Федерации в области персональных данных обязанности по обеспечению
записи, систематизации, накопления, хранения, уточнения (обновления,
изменения) или извлечения персональных данных граждан РФ с использованием баз
данных, находящихся на территории РФ |
1)
Сбор персональных данных российских граждан иностранным интернет-сервисом,
осуществляющим направленную на территорию РФ деятельность ("дело
Twitter", Постановление Второго кассационного суда общей юрисдикции от 7
июля 2020 г. N
16-3770/2020; "дело LinkedIn", Апелляционное определение
Московского городского суда от 10 ноября 2016 г. по делу N 3338783/2016); 2)
создание интернет-сайта с функционалом регистрации пользователей и (или)
формой обратной связи на базе иностранных "облачных" сервисов, у
которых нет дата-центров в РФ; 3)
одновременное внесение собираемых персональных данных российских граждан в
иностранную и российскую базу данных; 4)
внесение изменений в ранее локализованные персональные данные напрямую в
иностранную базу данных, минуя базу данных, находящуюся в России |
В
отношении физических лиц: административный штраф в размере от 30 000 до 50
000 руб. В
отношении юридических лиц и индивидуальных предпринимателей: административный
штраф в размере от 1 000 000 до 6 000 000 руб. В
отношении должностных лиц: административный штраф в размере от 100 000 до 200
000 руб. |
ч. 9
ст. 13.11 |
Повторное
совершение административного правонарушения, предусмотренного ч. 8 ст. 13.11 |
- |
В
отношении физических лиц: административный штраф в размере от 50 000 до 100
000 руб. В
отношении юридических лиц и индивидуальных предпринимателей: административный
штраф в размере от 6 000 000 до 18 000 000 руб. В
отношении должностных лиц: административный штраф в размере от 500 000 до 800
000 руб. |
4. Новая редакция ст. 13.11 КоАП РФ
предусмотрела в качестве отдельного состава факт повторного совершения
соответствующего нарушения. Повторность совершения правонарушения определяется
в соответствии со ст. 4.6 КоАП РФ: "Лицо, которому назначено
административное наказание за совершение административного правонарушения,
считается подвергнутым данному наказанию со дня вступления в законную силу
постановления о назначении административного наказания до истечения одного года
со дня окончания исполнения данного постановления". Таким образом, если
оператор в течение года с момента уплаты штрафа совершил деяние, которое может
быть квалифицировано по той же статье, что и то, за которое было наложено административное
взыскание, то такое новое деяние квалифицируется по отдельному составу (при его
наличии).
5. Полномочия по
возбуждению дел об административных правонарушениях, предусмотренных ст. 13.11
КоАП, принадлежат должностным лицам Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП).
Однако рассмотрение дела об административном правонарушении по ст. 13.11 КоАП
РФ и назначение административного наказания осуществляется судом.
Объективную сторону
административных правонарушений, предусмотренных ст. 13.11 КоАП РФ, образуют
действия, выразившиеся в нарушении установленного порядка обработки
персональных данных. Некоторые виды обработки персональных данных носят
длящийся характер, например систематизация, накопление, хранение,
распространение, блокирование. Другие виды обработки носят дискретный характер
и ограничены во времени, например сбор, запись, извлечение, уточнение,
удаление, уничтожение. Таким образом, в зависимости от характера процессов
обработки персональных данных, совершаемых с нарушением требований закона,
правонарушение может иметь длящийся характер. Согласно разъяснению, данному в п.
14 Постановления Пленума Верховного Суда РФ от 24 марта 2005 г. N 5 "О
некоторых вопросах, возникающих у судов при применении Кодекса Российской
Федерации об административных правонарушениях", длящимся является такое
административное правонарушение (действие или бездействие), которое выражается
в длительном непрекращающемся невыполнении или ненадлежащем выполнении
предусмотренных законом обязанностей. Так, например, правонарушения,
предусмотренные ч. 3, ч. 5 - 9 ст. 13.11 КоАП РФ, однозначно носят длящийся
характер. Правонарушения, предусмотренные ч. 1 и 2 ст. 13.11 КоАП РФ, будут
иметь длящийся характер, например, при осуществлении хранения и использования
персональных данных при отсутствии законных оснований или при опубликовании
таких данных в сети Интернет с нарушением установленного порядка ст. 10.1
Закона о персональных данных.
В зависимости от того,
является ли нарушение длящимся, должен решаться вопрос об определении сроков
давности привлечения к административной ответственности. Ранее указанный срок
составлял 3 месяца с момента совершения административного правонарушения,
поскольку дела об административных нарушениях по ст. 13.11 КоАП РФ рассматриваются
судом. В этой связи очень многие нарушения, зафиксированные Роскомнадзором или
субъектом персональных данных, оставались без наказания в связи с истечением
срока давности привлечения к административной ответственности. Однако по новой
редакции ч. 1 ст. 4.5 КоАП РФ, действующей с 27 марта 2021 г., данный срок
составляет один год с момента совершения административного правонарушения. При
этом если неправомерная обработка персональных данных носит длящийся характер,
то такой годовой срок давности привлечения к административной ответственности
должен исчисляться не со дня совершения административного правонарушения, а со
дня его обнаружения.
Согласно п. 6 ч. 1 ст.
24.5 КоАП РФ производство по делу об административном правонарушении не может
быть начато, а начатое подлежит прекращению в случае истечения установленных ст.
4.5 КоАП РФ сроков давности привлечения к административной ответственности.
6. Правила определения
административного наказания за совершение нескольких административных
правонарушений определяются в соответствии со ст. 4.4 КоАП РФ. По общему
правилу при совершении лицом двух и более административных правонарушений
административное наказание назначается за каждое совершенное административное
правонарушение. Однако при совершении лицом одного действия (бездействия),
содержащего составы административных правонарушений, ответственность за которые
предусмотрена двумя и более статьями (частями статей) КоАП РФ и рассмотрение
дел о которых подведомственно одному и тому же судье, органу, должностному
лицу, административное наказание назначается в пределах санкции,
предусматривающей назначение лицу, совершившему указанное действие
(бездействие), более строгого административного наказания. Таким образом,
редакция ст. 13.11 КоАП РФ допускает возможность кумулятивного применения
санкций в случае, если речь идет о выявлении сразу нескольких разнородных
нарушений, например обработки персональных данных при отсутствии согласия
субъекта, неразмещения политики конфиденциальности в сети Интернет и
осуществления обработки персональных данных с несовместимыми целями, можно
назначить отдельный штраф за каждое из них. Таким образом, итоговый размер
штрафов для оператора может определяться количеством выявленных нарушений.
В случае если поводом
для инициирования проверки послужили жалобы субъектов, то итоговое количество
протоколов о правонарушении по ст. 13.11 будет соответствовать количеству
жалоб, признанных обоснованными.
7. Как видно из
положений ст. 13.11 КоАП РФ, она не предусматривает отдельного состава,
посвященного утечкам персональных данных, то есть неправомерной передаче
персональных данных третьим лицам. Утечка может являться следствием как
умышленных действий представителей (работников) оператора, так и неосторожных -
в результате хакерской атаки на информационные системы оператора в ситуациях,
когда оператор не предпринял достаточных и разумных мер для защиты от таких
атак. Однако, несмотря на отсутствие отдельного состава административного
правонарушения за утечки, такие действия могут квалифицироваться по ч. 1 ст.
13.11 КоАП РФ, поскольку передача или распространение персональных данных,
которые являются неотъемлемым атрибутом утечки, представляет собой
разновидность обработки. Следовательно, такая обработка должна иметь законное
основание и при отсутствии такового подпадает под действие ч. 1 ст. 13.11 КоАП
РФ как "обработка персональных данных в случаях, не предусмотренных
законодательством РФ". При этом важно добавить, что административная
ответственность за утечки данных может наступать только при отсутствии
признаков уголовной ответственности (см. далее).
8. За несоблюдение
законных требований должностных лиц Роскомнадзора при реализации ими полномочий
указанного ведомства также предусмотрена административная ответственность,
составы которой перечислены в таблице ниже.
Положение КоАП
РФ |
Описание нарушения |
Примеры |
Административное наказание |
ч. 1
ст. 19.4 КоАП РФ |
Неповиновение
законному распоряжению или требованию должностного лица органа,
осуществляющего государственный надзор (контроль) |
Непредоставление
доступа к помещениям и информационным системам, в которых осуществляется
обработка персональных данных, в ходе выездной проверки |
В
отношении физических лиц: предупреждение или административный штраф в размере
от 500 до 1 000 руб. В
отношении должностных лиц: предупреждение или административный штраф в
размере от 2 000 до 4 000 руб. |
ст. 19.4.1 КоАП РФ |
Воспрепятствование
законной деятельности должностного лица органа государственного контроля
(надзора), по проведению проверок или уклонение от таких проверок |
Создание
препятствий к допуску должностных лиц Роскомнадзора на территорию проверяемой
организации |
В
отношении физических лиц: административный штраф в размере от 500 до 1 000
руб. В
отношении юридических лиц: административный штраф в размере от 5 000 до 10
000 руб. В
отношении должностных лиц: административный штраф в размере от 2 000 до 4 000
руб. Если соответствующие действия
(бездействие) повлекли невозможность проведения или завершения проверки, то
предусмотрены более высокие штрафы. В
отношении юридических лиц: административный штраф в размере от 20 000 до 50
000 руб. В
отношении должностных лиц: административный штраф в размере от 5 000 до 10
000 руб. |
ч. 1 ст. 19.5 КоАП РФ |
Невыполнение в установленный срок законного предписания
(постановления, представления, решения) органа (должностного лица),
осуществляющего государственный надзор (контроль), об устранении нарушений
законодательства |
- |
В отношении физических лиц: административный штраф в
размере от 300 до 500 руб. В отношении юридических лиц: административный штраф в
размере от 10 000 до 20 000 руб. В отношении должностных лиц: административный штраф в
размере от 1 000 до 2 000 руб. или дисквалификация на срок до 3 лет |
ст. 19.7 КоАП РФ |
Непредоставление
или несвоевременное предоставление в государственный орган сведений
(информации), предоставление которых предусмотрено законом и необходимо для
осуществления этим органом (должностным лицом) его законной деятельности,
либо предоставление таких сведений (информации) в неполном объеме или в
искаженном виде |
Непредоставление уведомления об обработке персональных
данных (ст. 22 Закона); непредоставление информации, запрошенной
Роскомнадзором в порядке п. 1 ч. 3 ст. 23 Закона |
В отношении физических лиц: административный штраф в
размере от 100 до 300 руб. В отношении юридических лиц: административный штраф в
размере от 3 000 до 5 000 руб. В отношении должностных лиц: административный штраф в
размере от 300 до 500 руб. |
Протоколы об административных
правонарушениях по вышеуказанным составам КоАП РФ составляет согласно п. 1 ч. 2
ст. 28.3 КоАП РФ полиция. Рассмотрение дел по ним осуществляется судом (ч. 1
ст. 23.1 КоАП РФ).
9. Следует отметить, что
штрафы и санкции, установленные в российском КоАП, даже после их увеличения
существенно ниже штрафов, которые предусмотрены в Европе.
GDPR унифицировал и
существенно увеличил размеры штрафов, налагаемых на операторов, разграничив все
виды нарушений на три группы:
1) нарушения, которые
влекут максимальный штраф в размере до 10 000 000 евро или до 2% от размера
мировой годовой выручки за предыдущий фискальный год, в зависимости от того,
что выше. К таким нарушениям относится большая часть нарушений обязанностей
оператора и обработчика, предусмотренных GDPR (непринятие необходимых
организационных и технических мер по защите персональных данных; неназначение
ответственного лица за обработку персональных данных; неуведомление
контрольно-надзорного органа и (или) субъекта персональных данных об утечках
таких данных и пр.);
2) нарушения, которые
влекут максимальный штраф в размере до 20 000 000 евро или до 4% размера
мировой годовой выручки за предыдущий фискальный год, в зависимости от того,
что выше. К таким нарушениям относятся несоблюдение прав субъектов персональных
данных (непредоставление необходимой информации, нарушение требований к
согласию на обработку, профайлинг субъектов без их согласия, непредоставление
копии обрабатываемых оператором персональных данных субъекта по его запросу и
т.п.), а также нарушение базовых принципов обработки персональных данных;
3) неисполнение
предписаний контрольно-надзорного органа, которое также влечет максимальный
штраф в размере до 20 000 000 евро или до 4% от размера мировой годовой выручки
за предыдущий фискальный год, в зависимости от того, что выше.
К определению размера
штрафа контрольно-надзорный орган должен подходить индивидуально и принимать во
внимание такие факторы, как природа, тяжесть и длительность нарушения;
количество субъектов персональных данных, интересы которых затронуты
нарушением, и уровень понесенного ими вреда; форма вины (умысел,
неосторожность); действия, предпринятые оператором с целью минимизации вреда;
факты совершения соответствующих нарушений законодательства о персональных
данных в прошлом; степень сотрудничества оператора с контрольно-надзорным
органом; было ли о нарушении заявлено самим оператором, или оно было обнаружено
иным способом; иные смягчающие или отягчающие обстоятельства (ст. 83(2) GDPR).
10. Гражданско-правовая
ответственность за нарушение положений законодательства о персональных данных
возникает в рамках правоотношений между оператором и субъектом персональных
данных. Данная ответственность может иметь форму возмещения убытков или компенсации
морального вреда. Подробно условия реализации данных форм ответственности были
рассмотрены в комментарии к ст. 17 Закона.
11. Дисциплинарная
ответственность наступает за совершение дисциплинарного проступка, под которым
понимается виновное нарушение правил внутреннего трудового распорядка,
невыполнение или ненадлежащее выполнение трудовых обязанностей. В соответствии
со ст. 192 ТК РФ за совершение дисциплинарного проступка работодатель имеет
право применить следующие дисциплинарные взыскания: 1) замечание; 2) выговор;
3) увольнение по соответствующим основаниям.
ТК РФ предусматривает
возможность работодателя расторгнуть трудовой договор в случае разглашения
охраняемой законом тайны (государственной, коммерческой, служебной и иной),
ставшей известной работнику в связи с исполнением им трудовых обязанностей, в
том числе разглашения персональных данных другого работника (подп.
"в" п. 6 ч. 1 ст. 81 ТК РФ). В случае последующего оспаривания
работником данного решения бремя доказывания правомерности такого увольнения
лежит на работодателе. В таком случае работодатель обязан представить
доказательства, свидетельствующие о том, что разглашенные работником сведения
являлись персональными данными другого лица, эти сведения стали известны
работнику в связи с исполнением им трудовых обязанностей и он принял на себя обязательство
не разглашать такие сведения (п. 43 Постановления Пленума Верховного Суда РФ от
17 марта 2004 г. N 2 "О применении судами Российской Федерации Трудового
кодекса Российской Федерации").
Порядок применения
дисциплинарного взыскания должен соответствовать положениям ст. 193 ТК РФ. Так,
до применения дисциплинарного взыскания работодатель должен затребовать от
работника письменное объяснение. Если по истечении двух рабочих дней указанное
объяснение работником не представлено, то составляется соответствующий акт.
Дисциплинарное взыскание применяется не позднее одного месяца со дня
обнаружения проступка, не считая времени болезни работника, пребывания его в
отпуске, а также времени, необходимого на учет мнения представительного органа
работников. Приказ (распоряжение) работодателя о применении дисциплинарного
взыскания объявляется работнику под подпись в течение трех рабочих дней со дня
его издания, не считая времени отсутствия работника на работе. Если работник
отказывается ознакомиться с указанным приказом (распоряжением) под подпись, то
составляется соответствующий акт.
12. Материальная
ответственность стороны трудового договора наступает за ущерб, причиненный ею
другой стороне этого договора в результате ее виновного противоправного
поведения (действия или бездействия), если иное не предусмотрено ТК РФ или
иными федеральными законами. Материальная ответственность (не путать с
гражданско-правовой ответственностью), так же как и дисциплинарная
ответственность, существует только в рамках трудовых отношений. Работник обязан
возместить работодателю причиненный ему прямой действительный ущерб. Под прямым
действительным ущербом могут пониматься затраты работодателя - оператора на
возмещение ущерба, причиненного работником третьим лицам - субъектам (ст. 238
ТК РФ). Иными словами, материальная ответственность представляет собой
регрессное (обратное) требование оператора к фактическому причинителю вреда
после того, как субъект персональных данных успешно взыскал убытки или
моральный вред с оператора. При этом взыскание работодателем с работника
соответствующего ущерба является его правом, а не обязанностью (ст. 240 ТК РФ).
Следует отметить, что суммы административных штрафов, уплаченные организацией в
связи с нарушениями, допущенными работником, не являются основанием для их
возмещения в рамках материальной ответственности (Определение Четвертого
кассационного суда общей юрисдикции от 22 октября 2020 г. по делу N
88-16568/2020).
13.
Уголовная ответственность за совершение действий, связанных с незаконной
обработкой персональных данных, может наступать по различным статьям. В
настоящее время отсутствует единообразие в судебной практике по данному
вопросу. Достаточно подробное описание различных вариантов квалификации
нарушений, связанных с утечками персональных данных, содержится в материалах
telegram-канала "Утечки информации" и подготовленном на их основе
дайджесте <1>.
--------------------------------
<1> См.: Оганесян
Ашот. Поймать и наказать! Как в России ловят и наказывают за незаконную
торговлю персональными данными. 23 января 2020 г. URL:
https://dlbi.ru/%D0%BF%D0%BE%D0%B9%D0%BC%D0%B0%D1%82%D1%8C-%D0%B8-%D0%BD%D0%B0%D0%BA%D0%B0%D0%B7%D0%B0%D1%82%D1%8C-%D0%BA%D0%B0%D0%BA-%D0%B2-%D1%80%D0%BE%D1%8-1%D1%81%D0%B8%D0%B8-%D0%BB%D0%BE%D0%B2%D1%8F%D1%82-%D0%B8/.
Одним из основных составов уголовного
преступления, применимых к случаям незаконной обработки персональных данных,
содержащих сведения о частной жизни человека, является ст. 137 УК РФ
"Нарушение неприкосновенности частной жизни". Согласно ч. 1 ст. 137
УК РФ незаконное собирание или распространение сведений о частной жизни лица,
составляющих его личную или семейную тайну, без его согласия либо
распространение этих сведений в публичном выступлении, публично
демонстрирущемся произведении или средствах массовой информации может влечь
ответственность вплоть до лишения свободы на срок до двух лет с лишением права
занимать определенные должности или заниматься определенной деятельностью на
срок до трех лет.
Как указал Верховный Суд
РФ, при решении вопроса о наличии в действиях лица состава преступления,
предусмотренного ст. 137 УК РФ, суду необходимо устанавливать, охватывалось ли
его умыслом, что сведения о частной жизни гражданина хранятся им в тайне. При
этом не может повлечь уголовную ответственность собирание или распространение
таких сведений в государственных, общественных или иных публичных интересах, а
также в случаях, если сведения о частной жизни гражданина ранее стали
общедоступными либо были преданы огласке самим гражданином или по его воле (п.
2 Постановления Пленума Верховного Суда РФ от 25 декабря 2018 г. N 46 "О
некоторых вопросах судебной практики по делам о преступлениях против
конституционных прав и свобод человека и гражданина (статьи 137, 138, 138.1,
139, 144.1, 145, 145.1 Уголовного кодекса Российской Федерации)"). Также
важным является разъяснение, согласно которому распространением является
сообщение таких сведений о частной жизни даже одному лицу независимо от формы
такого сообщения, что потенциально открывает возможность ее применения в
отношении ситуаций, связанных с "пробивом" данных гражданина по
заказу конкретного лица.
Примерами действий,
которые потенциально подпадают под данный состав преступления, являются:
1) установка видеокамер
в местах, где человеку необходимо уединение. Так, например, по ч. 1 ст. 137 УК
РФ были квалифицированы действия по установке в туалете потерпевшей
видеорегистратора (Приговор Лысьвенского городского суда Пермского края от 26
сентября 2017 г. по делу N 1-212/2017), установке скрытых камер в примерочных
кабинах торгового центра (Постановление Тракторозаводского районного суда г.
Волгограда от 15 марта 2017 г. по делу N 1-96/2017). При этом использование
скрытых камер для наблюдения за гражданами может также являться основанием для
квалификации деяния по совокупности ст. 137 и 138.1 УК РФ. Так, приговором
Ленинского районного суда г. Омска лицо было осуждено по совокупности
преступлений за установку видеокамер и незаконное скрытое наблюдение в
кабинетах главного врача и заместителя главного врача больницы. Из приговора
следует, что заместитель главного врача (женщина) на двух видеороликах была
снята голой во время приема гигиенических процедур после ночного дежурства
около умывальника (Приговор районного суда г. Омска от 27 августа 2012 г. по
делу N 1-563/2012);
2) создание фейковых
страниц в социальных сетях с выкладыванием интимных фото- и видеоматериалов
других лиц, указанием номеров телефонов, адресов проживания, сообщением
недостоверной информации о предоставлении ими интимных услуг (Приговор
Торжокского городского суда Тверской области от 19 декабря 2017 г. по делу N
1-158/2017; Апелляционное определение Верховного суда Чувашской Республики от 3
июня 2013 г. по делу N 33-1796/2013; Приговор Щербинского районного суда г.
Москвы по уголовному делу N 1-395/2014) или направление интимных фото бывшего
партнера его коллегам по работе (см., например: Апелляционное определение
Брянского областного суда от 23 сентября 2014 г.). Если такие действия
сопряжены с требованием уплаты определенной суммы под угрозой распространения
таких сведений, то дополнительно они могут быть квалифицированы по ст. 163 УК
РФ ("Вымогательство").
Кроме того, ст. 137 УК
РФ имеет квалифицированный состав, касающийся распространения информации,
указывающей на личность несовершеннолетнего потерпевшего, не достигшего
шестнадцатилетнего возраста, по уголовному делу, либо информации, содержащей описание
полученных им в связи с преступлением физических или нравственных страданий,
повлекшего причинение вреда здоровью несовершеннолетнего, или психическое
расстройство несовершеннолетнего, или иные тяжкие последствия (ч. 3 ст. 137 УК
РФ). Таким образом, данный состав преступления является материальным и
обязательным признаком его объективной стороны является наступление последствий
в виде причинения вреда здоровью несовершеннолетнего, или его психического
расстройства, или иных тяжких последствий (например, покушения на
самоубийство).
14. В тех случаях, когда
нарушение неприкосновенности частной жизни осуществляется путем нарушения тайны
переписки, телефонных переговоров и т.д., действия виновного подлежат
квалификации по ст. 138 УК РФ ("Нарушение тайны переписки, телефонных
переговоров, почтовых, телеграфных и иных сообщений"), поскольку в этом
случае ст. 137 УК РФ (в части собирания сведений) можно рассматривать как общую
по отношению к ст. 138 УК РФ. Диспозиция ч. 1 ст. 138 УК РФ не ограничивает
уголовную ответственность за нарушение тайны переписки лишь наличием в ней
сведений, составляющих личную либо семейную тайну, уголовная ответственность по
данной статье наступает за нарушение права лица на тайну (конфиденциальность)
переписки, имеющей личный характер, независимо от того, составляют ли
передаваемые сведения его личную или семейную тайну (Постановление Президиума
Владимирского областного суда от 19 ноября 2018 г. по делу N 44у-40/2018).
15. Утечки персональных
данных из коммерческих структур в результате действия так называемого
человеческого фактора, то есть действий работников таких организаций, обычно
квалифицируются по ст. 183 УК РФ ("Незаконные получение и разглашение
сведений, составляющих коммерческую, налоговую или банковскую тайну").
Наказание по данной статье может достигать 7 лет лишения свободы. Так, суды
нередко квалифицируют по ст. 183 УК РФ просмотр при отсутствии служебной
необходимости и в нарушение внутренних правил организации сведений,
составляющих персональные данные граждан и охраняемых как коммерческая,
налоговая или банковская тайна, с последующей передачей их третьим лицам
(приговор Советского районного суда г. Казани от 18 января 2019 г. по делу N
1-11/2019; приговор Октябрьского районного суда г. Самары от 5 ноября 2019 г.
по делу N 1-287/2019). Например, действия сотрудника ПАО "Сбербанк",
выразившиеся в выгрузке базы данных клиентов, ее копировании на съемный
носитель с последующим предложением к продаже в Даркнете, были квалифицированы
по ч. 3 ст. 183 УК РФ. Примечательно, что, помимо наказания в виде лишения
свободы на срок 2 года 10 месяцев, суд также взыскал ущерб, причиненный
репутации Сбербанка, в размере почти 26 млн руб. <1>. О каких-либо
возмещениях в адрес 5 000 клиентов, чьи данные были скомпрометированы данной
утечкой, не сообщается.
--------------------------------
<1> См.: Приговор
Красногорского городского суда Московской области от 12 марта 2020 г. по делу N
1-222/2020.
Однако, как следует из диспозиции нормы,
соответствующие сведения должны, помимо режима персональных данных,
дополнительно подпадать под режим банковской, налоговой или коммерческой тайны.
В этой связи, если в организации не введен в отношении соответствующей
информации режим коммерческой тайны в соответствии с требованиями Федерального закона
от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне", а соответствующие
сведения охраняются в рамках некоего самостоятельно созданного режима
"конфиденциальности", то ст. 183 УК РФ не может применяться в
отношении незаконного сбора или разглашения таких сведений.
16. Утечки персональных
данных, произошедшие в результате внешних факторов (хакерских атак), а также в
результате действий работников в ситуациях, когда ст. 183 УК РФ неприменима к
таким действиям, могут быть квалифицированы по ст. 272 УК РФ
("Неправомерный доступ к компьютерной информации"), если незаконная
обработка персональных данных была сопряжена с неправомерным доступом к
охраняемой законом компьютерной информации и это повлекло уничтожение,
блокирование, модификацию либо копирование компьютерной информации. Наказание
по данной статье может достигать 7 лет лишения свободы. При неправомерном
доступе, копировании и распространении компьютерной информации о частной жизни
лица действия преступника могут квалифицироваться по совокупности ст. 272 и 137
УК РФ.
В соответствии с
Методическими рекомендациями по осуществлению прокурорского надзора за
исполнением законов при расследовании преступлений в сфере компьютерной
информации <1> неправомерным считается доступ к конфиденциальной
информации со стороны лица, не обладающего необходимыми полномочиями (без
согласия собственника или его законного представителя), при условии обеспечения
ими специальных средств ее защиты. Иными словами, неправомерный доступ к
компьютерной информации - это незаконное либо не разрешенное собственником или
иным ее законным владельцем использование возможности получения компьютерной
информации. При этом под доступом понимается проникновение в ее источник с
использованием средств (вещественных и интеллектуальных) компьютерной техники,
позволяющее использовать полученную информацию (копировать, модифицировать,
блокировать либо уничтожать ее).
--------------------------------
<1> См.: СПС
"КонсультантПлюс".
Преступление по ст. 272 УК РФ является
совершенным с момента наступления одного из следующих последствий:
а) уничтожение
информации. Данное последствие актуально применительно к неправомерному
удалению персональных данных из баз данных организации;
б) блокирование информации
- результат воздействия на компьютерную информацию или технику, последствием
которого является невозможность в течение некоторого времени или постоянно
осуществлять требуемые операции над компьютерной информацией полностью или в
требуемом режиме, то есть совершение действий, приводящих к ограничению или
закрытию доступа к компьютерному оборудованию и находящимся на нем ресурсам,
целенаправленное затруднение доступа законных пользователей к компьютерной
информации, не связанное с ее уничтожением. Такого рода последствие может
наступить в результате противоправных действий, повлекших невозможность
пользователей получить доступ к своим данным учетной записи или
онлайн-банкинга;
в) модификация
информации - внесение изменений в компьютерную информацию (или ее параметры).
Законом установлены случаи легальной модификации программ (баз данных) лицами,
правомерно владеющими этой информацией, а именно: модификация в виде
исправления явных ошибок; модификация в виде внесения изменений в программы,
базы данных для их функционирования на технических средствах пользователя;
модификация в виде частной декомпиляции программы для достижения способности к
взаимодействию с другими программами;
г) копирование
информации - создание копии имеющейся информации на другом носителе, то есть
перенос информации на обособленный носитель при сохранении неизменной
первоначальной информации, воспроизведение информации в любой материальной
форме - от руки, фотографированием текста с экрана дисплея, а также считывания
информации путем любого перехвата информации и т.п. Данное последствие наиболее
характерно при совершении действий по "пробиву" граждан из корыстной
и иной личной заинтересованности.
17. Приобретение
документа, удостоверяющего личность, или использование персональных данных,
полученных незаконным путем, для целей внесения в Единый государственный реестр
юридических лиц сведений о подставном лице, образует состав преступления по ч.
2 ст. 173.2 УК РФ, санкция которой предусматривает наказание вплоть до лишения
свободы сроком до трех лет. Под приобретением документа, удостоверяющего
личность, в настоящей статье понимается его получение на возмездной или
безвозмездной основе, присвоение найденного или похищенного документа,
удостоверяющего личность, а также завладение им путем обмана или
злоупотребления доверием. Под подставными лицами в данном случае понимаются
лица, которые являются учредителями (участниками) юридического лица или
органами управления юридического лица и путем введения в заблуждение либо без
ведома которых были внесены данные о них в Единый государственный реестр
юридических лиц, а также лица, которые являются органами управления
юридического лица, у которых отсутствует цель управления юридическим лицом.
Таким образом,
регистрация юридического лица на физических лиц по утраченным паспортам или на
основании иных сведений, которые представляют собой незаконно полученные
персональные данные, образует состав указанного преступления. Как правило,
такого рода действия совершаются для регистрации так называемых
фирм-однодневок, под которыми понимается юридическое лицо, которое не обладает
фактической самостоятельностью; создано без цели ведения предпринимательской
деятельности; не представляет налоговую отчетность; зарегистрировано по адресу
массовой регистрации (см. письмо Федеральной налоговой службы России от 24 июля
2015 г. N ЕД-4-2/13005@). Посредством таких организаций совершаются налоговые
правонарушения, действия по легализации денежных средств, полученных преступным
путем, и иные противоправные действия.
В 2014 г. в целях
обеспечения единой практики деятельности территориальных налоговых органов
Федеральная налоговая служба приняла Методические рекомендации по оформлению
материалов, направляемых в правоохранительные органы при обнаружении
обстоятельств, указывающих на признаки преступлений, предусмотренных ч. 1 ст.
170.1, ст. 173.1 и 173.2 УК РФ <1>.
--------------------------------
<1> См.: Письмо
Федеральной налоговой службы от 28 января 2014 г. N СА-4-14/1215@.
18. В качестве иных потенциально
применимых к отдельным случаям нарушения законодательства о персональных данных
составов преступлений можно отнести ст. 140 УК РФ, предусматривающую
ответственность за неправомерный отказ должностного лица в предоставлении
собранных в установленном порядке документов и материалов, непосредственно
затрагивающих права и свободы гражданина, либо предоставление гражданину
неполной или заведомо ложной информации, если эти деяния причинили вред правам
и законным интересам граждан. Однако судебной практики по применению данной статьи
к случаям отказа в предоставлении гражданам сведений об обрабатываемых
персональных данных обнаружить не удалось.
Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ
ПОЛОЖЕНИЯ
Статья 25. Заключительные
положения
Комментарий к статье 25
1. Положения данной статьи уже имеют
преимущественно исторический характер и вряд ли могут затрагивать большинство
операторов с учетом того, что с момента вступления в силу Закона о персональных
данных прошло около пятнадцати лет. Части 1 и 2 комментируемой статьи
регламентируют действие Закона о персональных данных во времени. Поскольку
датой официального опубликования данного Закона являлось 29 июля 2006 г. (день
опубликования закона в "Российской газете", как определено в Постановлении
Конституционного Суда РФ от 24 октября 1996 г. N 17-П), датой вступления
комментируемого Закона в силу будет являться 26 января 2007 г.
2. Часть 2.1
устанавливает сроки исполнения операторами обязанностей по предоставлению
дополнительных сведений в Роскомнадзор, подлежащих последующему отражению в
реестре операторов (правовое основание обработки персональных данных;
контактные данные лица, ответственного за организацию обработки персональных
данных; сведения о наличии или об отсутствии трансграничной передачи
персональных данных в процессе их обработки; сведения об обеспечении
безопасности персональных данных в соответствии с требованиями к защите персональных
данных, установленными Правительством Российской Федерации). Указанные сведения
должны были быть предоставлены не позднее 1 января 2013 г.
3. В ч. 4 рассматриваемой
статьи установлена обязанность операторов, осуществлявших обработку
персональных данных до 26 января 2007 г. и продолжающих ее осуществление после
указанной даты, направить в Роскомнадзор уведомление об обработке персональных
данных в соответствии со ст. 22 Закона не позднее 1 января 2008 г.
4. Часть 5
комментируемой статьи содержит, как справедливо отмечается в литературе
<1>, правило разрешения коллизий между двумя законами, согласно которому
приоритет над Законом о персональных данных отдается специальному и более
позднему акту - Федеральному закону от 5 апреля 2013 г. N 43-ФЗ "Об
особенностях регулирования отдельных правоотношений в связи с присоединением к
субъекту Российской Федерации - городу федерального значения Москве территорий
и о внесении изменений в отдельные законодательные акты Российской
Федерации". Однако это касается лишь отношений, связанных с обработкой
персональных данных при предоставлении государственных и муниципальных услуг,
исполнении государственных и муниципальных функций в г. Москве. По всем иным
вопросам приоритет имеет Закон о персональных данных.
--------------------------------
<1> См.: Амелин
Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С. Комментарий к
Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных"
(постатейный) // СПС "КонсультантПлюс". 2013 (п. 4 комментария к ст.
25).
Подписано
в печать
18.08.2021
|
|
Деятельность Meta Platforms Inc. по реализации
продуктов - социальных сетей Facebook и Instagram на территории РФ запрещена
по основаниям осуществления экстремистской деятельности. |
|
|
|
Религиозная организация "Свидетели Иеговы" -
запрещенная в России экстремистская организация. |
|