НАУЧНО-ПРАКТИЧЕСКИЙ ПОСТАТЕЙНЫЙ КОММЕНТАРИЙ

К ФЕДЕРАЛЬНОМУ ЗАКОНУ "О ПЕРСОНАЛЬНЫХ ДАННЫХ"

 

А.И. САВЕЛЬЕВ

 

2-е издание, переработанное и дополненное

 

Савельев Александр Иванович, кандидат юридических наук, доцент факультета права НИУ ВШЭ, юрисконсульт компании IBM (Россия/СНГ), член Консультативного совета при Роскомнадзоре.

 

Список сокращений

 

АПК РФ - Арбитражный процессуальный кодекс Российской Федерации от 24 июля 2002 г. N 95-ФЗ;

ЕСПЧ - Европейский суд по правам человека;

ГК РФ - Гражданский кодекс Российской Федерации (часть первая от 30 ноября 1994 г. N 51-ФЗ; часть вторая от 26 января 1996 г. N 14-ФЗ; часть третья от 26 ноября 2001 г. N 146-ФЗ; часть четвертая от 18 декабря 2006 г. N 230-ФЗ);

ГПК РФ - Гражданский процессуальный кодекс Российской Федерации от 14 ноября 2002 г. N 138-ФЗ;

Закон о банкротстве - Федеральный закон от 26 октября 2002 г. N 127-ФЗ "О несостоятельности (банкротстве)";

Закон о персональных данных - Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

Закон о проведении эксперимента в области ИИ - Федеральный закон от 24 апреля 2020 г. N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в ст. 6 и 10 Федерального закона "О персональных данных";

Закон о рекламе - Федеральный закон от 13 марта 2006 г. N 38-ФЗ "О рекламе";

Закон о техническом регулировании - Федеральный закон от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании";

Закон об информации - Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Закон об охране здоровья - Федеральный закон от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";

Закон об электронной подписи - Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи";

Директива 1995 г. - Директива Европейского парламента и Совета Европейского Союза 95/46/ЕС от 24 октября 1995 г. о защите прав физических лиц при обработке персональных данных и о свободном движении таких данных;

КоАП РФ - Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195-ФЗ;

Конвенция 1981 г. - Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.);

Минцифры России - Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации;

ОЭСР - Организация по экономическому сотрудничеству и развитию;

Порядок проведения проверок - Постановление Правительства РФ от 13 февраля 2019 г. N 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных";

Роскомнадзор - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций;

Руководящие принципы ОЭСР - Руководящие принципы ОЭСР по защите частной жизни и трансграничного обмена персональными данными 1980 г. (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data);

Суд ЕС - Европейский суд справедливости;

ТК РФ - Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ;

УК РФ - Уголовный кодекс Российской Федерации от 13 июня 1996 г. N 63-ФЗ;

УПК РФ - Уголовно-процессуальный кодекс Российской Федерации от 18 декабря 2001 г. N 174-ФЗ;

GDPR - General Data Protection Regulation: Регламент Европейского парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС;

EDPB - European Data Protection Board: Европейский совет по защите персональных данных.

 

Предисловие ко второму изданию

 

С момента выхода первого издания комментария прошло четыре года, и за это время произошло достаточно много изменений. Закон о персональных данных пополнился новыми положениями, в числе которых достаточно революционные нормы о порядке обработки "персональных данных, разрешенных субъектом для распространения", аналогов которым нет в зарубежных правопорядка. Появились новая судебная практика и разъяснения Роскомнадзора по применению ранее существовавших положений. Кроме того, некоторые инициативы, реализуемые в рамках национального проекта "Цифровая экономика", также имеют свое влияние на развитие законодательства в области персональных данных, что обусловливает целесообразность их анализа в данном контексте.

Не стояло на месте и зарубежное законодательство в области персональных данных. Появились практика применения GDPR, разъяснения европейских регуляторов и судебные решения Европейского суда справедливости, которые могут иметь значение и для российских операторов в силу экстерриториального характера действия данного акта. Наконец, в 2018 г. появилась модернизированная версия Конвенции N 108, которую Россия подписала со своей стороны и планирует имплементировать в национальное законодательство.

Все эти изменения обусловили целесообразность подготовки второго издания комментария. Во втором издании отражены не только актуальные по состоянию на 2 июля 2021 г. изменения в законодательстве о персональных данных, но и все релевантные разъяснения Роскомнадзора по вопросам применения законодательства о персональных данных, в том числе изложенные им в рамках серии публичных семинаров для операторов, прошедших в 2020 - начале 2021 г. Кроме того, проанализирована и отражена сформированная за последние годы доступная судебная практика по отдельным вопросам толкования и положения законодательства о персональных данных. В тех случаях, когда это релевантно для российских операторов, приведены положения GDPR и существующие разъяснения европейских регуляторов, а также судебные решения Европейского суда справедливости.

Автор выражает признательность коллегам по Консультативному совету при Роскомнадзоре, в особенности руководителю Консультативного совета Ирине Геннадьевне Алехиной и начальнику Управления Роскомнадзора по защите прав субъектов персональных данных Юрию Евгеньевичу Контемирову, которые принимают активное участие в развитии правоприменительной практики в области персональных данных. Особо хотелось бы поблагодарить и других коллег по Консультативному совету - доцента кафедры теории и истории государства и права СПбГУ Владислава Владимировича Архипова и директора юридического департамента ГК "Иннотех" Вадима Перевалова за ценные дискуссии и высказанное мнение по ряду вопросов, отраженных в данном комментарии.

Высказанные в работе суждения являются личным мнением автора и могут не совпадать с официальной позицией компании IBM, НИУ ВШЭ или какой-либо иной организации.

 

27 июля 2006 года

N 152-ФЗ

 

 

РОССИЙСКАЯ ФЕДЕРАЦИЯ

 

ФЕДЕРАЛЬНЫЙ ЗАКОН

 

О ПЕРСОНАЛЬНЫХ ДАННЫХ

 

(в ред. Федеральных законов от 25.11.2009 N 266-ФЗ,

от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ, от 27.07.2010 N 204-ФЗ,

от 27.07.2010 N 227-ФЗ, от 29.11.2010 N 313-ФЗ, от 23.12.2010 N 359-ФЗ,

от 04.06.2011 N 123-ФЗ, от 25.07.2011 N 261-ФЗ, от 05.04.2013 N 43-ФЗ,

от 23.07.2013 N 205-ФЗ, от 21.12.2013 N 363-ФЗ, от 04.06.2014 N 142-ФЗ,

от 21.07.2014 N 216-ФЗ, от 21.07.2014 N 242-ФЗ, от 03.07.2016 N 231-ФЗ,

от 22.02.2017 N 16-ФЗ, от 01.07.2017 N 148-ФЗ, от 29.07.2017 N 223-ФЗ,

от 31.12.2017 N 498-ФЗ, от 27.12.2019 N 480-ФЗ, от 24.04.2020 N 123-ФЗ,

от 08.12.2020 N 429-ФЗ, от 30.12.2020 N 515-ФЗ, от 30.12.2020 N 519-ФЗ,

от 11.06.2021 N 170-ФЗ, от 02.07.2021 N 331-ФЗ)

 

Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ

 

Статья 1. Сфера действия настоящего Федерального закона

 

Комментарий к статье 1

 

1. Несмотря на название, комментируемая ст. определяет лишь предметную сферу действия комментируемого Закона, а именно отношения, на которые он распространяется, а также перечень изъятий из сферы его действия. Сфера действия данного Закона во времени определяется в его ст. 25. К сожалению, комментируемый Закон никак не конкретизирует сферу своего действия в пространстве, что особенно актуально для определения круга иностранных лиц, на которых распространяются его требования. Как следствие, территориальная сфера действия комментируемого Закона определяется посредством системного толкования положений иных законов и конкретизирована в разъяснениях Минцифры России, которое является федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных, и уполномочено на дачу разъяснений по данным вопросам <1>. Указанные разъяснения опубликованы на официальном сайте Минцифры России <2> и будут предметом подробного анализа далее.

--------------------------------

<1> См. п. 1 и 6.6 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утв. Постановлением Правительства РФ от 2 июня 2008 г. N 418 (в ред. от 11 марта 2021 г.) (СПС "КонсультантПлюс").

<2> См.: Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года. URL: https://digital.gov.ru/ru/personaldata/.

 

1.1. Предметная сфера действия законодательства РФ о персональных данных определена в комментируемой статьи посредством указания на два основных признака правоотношений: 1) наличие связи таких отношений с процессами обработки персональных данных и 2) использование средств автоматизации или иных средств, которые по своему характеру схожи с ними и позволяют осуществлять поиск персональных данных в соответствии с заданным алгоритмом.

Первый признак будет иметь место всегда, когда положительно решен вопрос о квалификации выступающей объектом правоотношения информации в качестве персональных данных, поскольку существующая дефиниция обработки персональных данных охватывает любые действия, совершаемые с ними (о понятии персональных данных и их обработке см. комментарий к ст. 3 Закона).

Второй признак будет иметь место во всех случаях автоматизированной обработки, то есть использования средств вычислительной техники для обработки персональных данных (компьютеров, планшетов, смартфонов, "умных" часов, устройств, подключенных к сети Интернет, и т.п.). Фактически об автоматизированной обработке персональных данных можно вести речь всегда, когда такие данные выражены в цифровой форме, в том числе доступны в какой-либо форме в сети Интернет.

Кроме того, данный признак будет иметь место при осуществлении "неавтоматизированной" обработки персональных данных, удовлетворяющей в совокупности следующим условиям (далее - квазиавтоматизированная обработка):

а) поиск и (или) доступ к таким данным осуществляются в соответствии с определенным алгоритмом, что предполагает наличие систематизации соответствующих документов по конкретным критериям (например, по фамилиям в алфавитном порядке и (или) по годам);

б) использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека, независимо от того, хранятся такие сведения в информационной системе персональных данных или нет <1>.

--------------------------------

<1> См.: Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" // СПС "КонсультантПлюс".

 

1.2. В отсутствие систематизации документов по определенным критериям невозможно осуществление действий с ними по определенному алгоритму, а следовательно, такие действия не могут по своему характеру соответствовать действиям, осуществляемым при автоматизированной обработке, и не подпадают под действие Закона о персональных данных. При этом следует подчеркнуть, что буквальное толкование ч. 1 комментируемой статьи позволяет сделать вывод о том, что требование о наличии алгоритма установлено в виде альтернативы как применительно к поиску, так и к доступу к соответствующим данным, а не только к поиску, как иногда указывается в литературе <1>. Кроме того, Закон прямо указывает на то, что речь идет о доступе к "таким данным", отсылая тем самым к предыдущей фразе, в которой речь идет о "зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных". Иными словами, к хранению и иным видам обработки несистематизированных персональных данных без использования средств автоматизации Закон о персональных данных не применяется, даже если к таким сведениям возможен последующий доступ третьих лиц.

--------------------------------

<1> См.: Федеральный закон "О персональных данных": научно-практический комментарий / под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 8 - 9.

 

1.3. Примером квазиавтоматизированной обработки, подпадающей под действие комментируемого Закона, являются действия оператора, связанные с ведением разного рода картотек личных дел сотрудников организации; договоров, заключенных с физическими лицами; медицинских карт пациентов в регистратурах поликлиник; журналов выдачи одноразовых пропусков на территорию и т.п. При этом если персональные данные, содержащиеся в "бумажных" документах, систематизированные в картотеках, параллельно используются, уточняются, распространяются или уничтожаются с использованием средств вычислительной техники (например, при использовании программных продуктов по расчету зарплат и управлению персоналом), то имеет место так называемая смешанная обработка - обработка, осуществляемая оператором без использования средств автоматизации и автоматизированным способом одновременно. Данный термин хотя и не фигурирует в Законе, но используется на практике контрольно-надзорными органами и судами (Постановление Четвертого арбитражного апелляционного суда от 17 января 2011 г. по делу N А19-25289/2009; Апелляционное определение Владимирского областного суда от 20 января 2015 г. по делу N 33-139/2015). Несмотря на то что в данном случае оба средства обработки подпадают под действие Закона о персональных данных, существуют определенные различия в правовых последствиях их осуществления, которые необходимо учитывать, например, в ч. наличия или отсутствия обязанности по уведомлению Роскомнадзора об обработке персональных данных (см. подробнее комментарий к ст. 22 Закона). При этом следует учитывать п. 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствии с которым "обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее".

1.4. Если деятельность по обработке персональных данных не сопряжена с использованием автоматизированных или квазиавтоматизированных средств обработки, то она в соответствии с ч. 1 комментируемой статьи не подпадает под действие Закона о персональных данных (Постановление Арбитражного суда Центрального округа от 7 июля 2020 г. по делу N А83-12510/2018). Например, если осуществляется обработка персональных данных контрагента по "бумажному" договору при оформлении дополнительных документов к нему (актов, дополнительных соглашений, договоров уступки) без использования вычислительных средств, а также без внесения этих документов в систематизированные картотеки (Постановление Двадцатого арбитражного апелляционного суда от 12 июля 2016 г. N 20АП-3775/2016 по делу N А23-4903/2012). По тем же причинам не подпадает под действие Закона о персональных данных устное разглашение личных сведений о физическом лице в присутствии третьих лиц (Апелляционное определение Курганского областного суда от 27 марта 2014 г. по делу N 33929/2014) или разглашение личных данных посредством направления письма, содержащего их, в адрес третьих лиц (Кассационное определение Саратовского областного суда от 7 февраля 2012 г. по делу N 33-697). Однако если указанные действия совершались с использованием вычислительных средств, например, посредством сети Интернет, то они по общему правилу подпадают под действие Закона о персональных данных.

Некоторые суды со ссылкой на отсутствие факта автоматизированной или квазиавтоматизированной обработки не относят действия лица по вывешиванию в подъезде дома объявлений с персональными данными проживающего в нем лица подпадающими под Закон о персональных данных (Апелляционное определение Волгоградского областного суда от 9 января 2019 г. по делу N 33-774/2019). Вместе с тем, по мнению представителей Роскомнадзора, такие действия все же могут составлять нарушение Закона о персональных данных. Как отметила замначальника Управления по защите прав субъектов персональных данных Роскомнадзора Альфия Гафурова, выступая 26 ноября 2020 г. на онлайн-семинаре для операторов персональных данных, информация о сумме задолженности жильца вместе с Ф.И.О. или упоминанием полного адреса места жительства должника считается персональными данными. Их публикация в подъездах, на официальном сайте компании и в СМИ без согласия должника является правонарушением. При этом она отметила, что в списках можно указывать сумму задолженности вместе с номером квартиры жильца или номером его лицевого счета <1>. К сожалению, данная позиция не сопровождалась анализом применимости положений ч. 1 ст. 1 Закона о персональных данных к указанной ситуации. Представляется, что в данных случаях все же можно констатировать факт автоматизированной обработки управляющей компанией или иным схожим лицом, которое размещает данные сведения в подъезде, поскольку в подавляющем большинстве случаев они взяты из администрируемых такими лицами электронных баз данных и картотек, являясь тем самым следствием их автоматизированной обработки. Позиция же о допустимости указания суммы задолженности в совокупности с номером квартиры находит определенное отражение и в существующей судебной практике (Апелляционное определение Верховного суда Республики Бурятия от 29 мая 2017 г. по делу N 33-2132/2017).

--------------------------------

<1> См.: Роскомнадзор счел списки должников в подъездах противозаконными. 26 ноября 2020 г. URL: https://www.rbc.ru/technology_and_media/26/11/2020/5fbfa7209a7947 ba6dfa790c.

 

1.5. В судебной практике сформировалась позиция, согласно которой действие Закона о персональных данных не распространяется на "отношения по собиранию, проверке, хранению сведений в процессе возбуждения, расследования и рассмотрения уголовных дел и сам по себе он не может ограничивать права участников уголовного процесса и заявителей о преступлениях на ознакомление с материалами уголовных дел и проверок сообщений о преступлениях" (Определение Конституционного Суда РФ от 29 сентября 2011 г. N 1251-О-О; Апелляционное постановление Московского городского суда от 3 сентября 2019 г. по делу N 10-11418/2019; Апелляционное определение Санкт-Петербургского городского суда от 14 августа 2018 г. по делу N 2а-464/2018). Таким образом, наличие в материалах проверки по заявлению о правонарушении персональных данных иных лиц, при отсутствии в них сведений об их частной жизни и иных конфиденциальных сведений, не может ограничивать право гражданина на ознакомление с этими материалами, непосредственно затрагивающими его права и свободы (Апелляционное определение Верховного суда Республики Башкортостан от 18 мая 2016 г. N 33а-9145/2016). Вместе с тем данный подход имеет негативный эффект в отношении прав самих субъектов персональных данных, так как ограничивает их возможности по реализации права требовать удаления негативных сведений о них из материалов служебных проверок, по результатам которых в возбуждении уголовного дела было отказано (Определение Второго кассационного суда общей юрисдикции от 13 октября 2020 г. N 88-19712/2020). Нельзя не отметить практику чрезмерного расширения судами сферы применения позиции Конституционного Суда РФ, выраженной в Определении N 1251-О-О, в результате которой иногда практически любая обработка персональных данных, связанная со сферой уголовного судопроизводства, в частности передача данных о гражданах по запросам дознавателей и следователей, выводится судами за рамки действия Закона о персональных данных (см., например, решение Ивановского областного суда от 10 августа 2017 г. по делу N 21-210/2017; Апелляционное определение Липецкого областного суда от 23 ноября 2015 г. по делу N 33-3317/2015). Тот факт, что такого рода обработка может осуществляться без получения на то согласия гражданина правоохранительными органами и лицами, у которых такая информация была запрошена на основании п. 2 ч. 1 ст. 6 Закона о персональных данных, не означает сам по себе, что данные отношения не подпадают под действие указанного Закона. Во-первых, никаких формальных исключений в ст. 1 Закона на этот счет не указано. Во-вторых, помимо обеспечения надлежащего основания для обработки данных у оператора существует множество иных обязанностей, в том числе по принятию организационно-технических мер защиты таких данных, которые должны соблюдаться в том числе и правоохранительными органами, обрабатывающими персональные данные граждан в рамках своей компетенции.

1.6. Хотя Конвенция 1981 г. <1> формально касается лишь автоматизированной обработки персональных данных, она допускает возможность распространения ее положений не только на случаи автоматизированной обработки, но и на обработку без использования средств автоматизации, что было учтено Российской Федерацией при ее ратификации <2>. Аналогичные положения содержатся и в европейском законодательстве, оперирующем понятием "система учета документов" (filling system), под которой понимается любой структурированный массив персональных данных, доступных в соответствии с определенными критериями, безотносительно к тому, является ли он централизованным, децентрализованным или распределенным на функциональной или географической основе. В соответствии со ст. 2(1) GDPR его положения распространяются как на автоматизированную обработку персональных данных, так и на их обработку иными способами, при которых персональные данные являются частью системы учета документов. При этом отмечается, что "досье (файлы) или их наборы, а также их обложки, не являющиеся структурированными в соответствии с определенными критериями, ни при каких обстоятельствах не охватываются рамками настоящего регламента" (п. 15 Преамбулы). Данные положения аналогичны тем, которые содержались в ранее действовавшей Директиве 1995 г. Как следствие, судебная практика отдельных европейских стран не относит к системе учета документов неструктурированные массивы документов, которые по своему характеру несопоставимы с автоматизированными средствами обработки данных, например, набор документов, который бессистемно хранится в коробках (Smith v Lloyds TSB Bank Plc, [2005] EWHC 246 (Ch)), или недостаточно объемные массивы документов (например, четыре досье) (Durant v Financial Services Authority, [2003] EWCA Civ 1746).

--------------------------------

<1> См.: Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.) // СПС "КонсультантПлюс".

<2> См. п. 2 Федерального закона от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" (СПС "КонсультантПлюс").

 

1.7. Следует отметить, что цели обработки персональных данных по общему правилу не имеют значения для решения вопроса о распространении на нее положений Закона о персональных данных, за исключением случаев, прямо указанных в ч. 2 комментируемой статьи. Поэтому безотносительно того, осуществляется ли обработка данных в коммерческих, политических, научно-исследовательских, статистических и прочих целях, она подпадает под действие Закона о персональных данных.

Равным образом для определения сферы применения Закона о персональных данных не имеет значения статус субъекта, осуществляющего обработку персональных данных: в качестве такового может выступать любое лицо, обладающее правоспособностью. Часть 1 комментируемой статьи относит к ним государственные и муниципальные органы власти, юридических и физических лиц. Таким образом, российское законодательство о персональных данных носит универсальный характер и в равной степени распространяется на частный и публичный секторы, что, правда, не означает отсутствия специальных норм в отношении последнего.

2. Часть 2 комментируемой статьи устанавливает закрытый перечень видов отношений по обработке персональных данных, которые не подпадают под его действие независимо от того, какие средства используются при их обработке (автоматизированная или квазиавтоматизированная). Таким образом, ставить вопрос о применимости каких-либо из данных видов исключений можно лишь после того, как положительно решен вопрос о применимости Закона о персональных данных к соответствующим отношениям в соответствии с положениями ч. 1 комментируемой статьи.

2.1. Закон о персональных данных не распространяется на обработку персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных. Появление данного исключения в российском законодательстве является следствием оговорки, сделанной Россией при ратификации Конвенции 1981 г., о неприменении ее положений к определенным категориям автоматизированных данных <1>, в связи с чем данное исключение не противоречит международным обязательствам РФ. Аналогичное изъятие из сферы действия законодательства о персональных данных существует и в Европейском союзе (ст. 2(2)(c) GDPR).

--------------------------------

<1> См. п. "а" ст. 1 Федерального закона от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".

 

2.2. Понятие личных и семейных нужд не конкретизируется в комментируемом Законе. Представляется, что для их толкования можно обратиться к гражданскому законодательству и законодательству о защите прав потребителей, в которых также используются указанные термины. Так, одним из условий квалификации гражданина в качестве потребителя является приобретение товаров (работ, услуг) "исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности" <1>. Как следствие, не является потребителем гражданин, приобретающий товары (работы, услуги) или использующий их в деятельности, которую он осуществляет самостоятельно на свой риск с целью систематического извлечения прибыли. При этом под предпринимательской деятельностью понимается самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке (п. 1 ст. 2 ГК РФ). Таким образом, если процесс обработки персональных данных физическим лицом направлен на осуществление предпринимательской деятельности, он не охватывается понятием "личных" и "семейных" нужд и подпадает под действие Закона о персональных данных. Факт получения физическим лицом разовой прибыли от деятельности, связанной с обработкой персональных данных, не должен сам по себе лишать возможности применения рассматриваемого исключения из сферы действия Закона о персональных данных, при условии, что отсутствуют нарушения прав субъектов персональных данных.

--------------------------------

<1> Преамбула к Закону РФ от 7 февраля 1992 г. N 2300-1 "О защите прав потребителей"; ст. 1212 ГК РФ.

 

2.3. В отечественной доктрине отмечается, что понятие "личные нужды" следует понимать как "потребности, которые существуют у самого гражданина или лиц, связанных с ним личными (например, семейными) связями, и их удовлетворение никак не связано с удовлетворением потребностей неопределенного круга третьих лиц" <1>. Данная идея находит отражение в практике Суда ЕС. В деле Bodil Lindquist Суд указал, что распространение физическим лицом персональных данных третьих лиц в сети Интернет не подпадает под действие исключения об обработке данных для личных нужд, поскольку такие данные становятся доступными неопределенному кругу лиц (Bodil Lindqvist v , ECJ, Case C-101/01, 6 November 2003, [47]). Представляется, что данный подход вполне укладывается в положения российского Закона о персональных данных, который сопровождает положение о неприменении исключения об обработке персональных данных для личных нужд условием о ненарушении прав субъектов персональных данных. Распространение данных в сети Интернет, их доступность неопределенному кругу лиц означает утрату контроля над дальнейшим использованием таких данных, что в совокупности с потенциальной возможностью их последующей обработки инструментами аналитики "больших данных" определенно затрагивает права субъектов персональных данных и в ряде случаев может их нарушать (например, при публикации одним лицом совместных фотографий в отсутствие согласия других присутствующих на них лиц).

--------------------------------

<1> Эрделевский А. Банковский вклад и права потребителя // Законность. 1998. N 4. URL: https://www.lawmix.ru/comm/8066.

 

Представляется, что решение о применении или неприменении исключения об обработке персональных данных для личных нужд должно приниматься с учетом всех обстоятельств конкретного случая, при этом целесообразно учитывать степень доступности содержимого интернет-ресурса, в частности, настройки приватности (при их наличии) <1>.

--------------------------------

<1> К примеру, в практике уполномоченного органа по защите персональных данных Норвегии обработка персональных данных на странице социальной сети, доступ к которой ограничен только зарегистрированным пользователям, подпадает под действие рассматриваемого исключения. См.: Bygrave A. Data Privacy Law: An International Perspective. Oxford University Press, 2014. P. 144.

 

2.4. В судебной практике возник вопрос о возможности применения исключения об обработке для личных нужд применительно к случаям установки лицом для целей охраны своей собственности камеры видеонаблюдения, которая осуществляет циклическую запись на жесткий диск. В Европе такая практика была признана недопустимой Европейским судом Справедливости. В деле  Суд признал недопустимым распространение рассматриваемого исключения на подобного рода ситуации, поскольку такая обработка не ограничена пределами частных владений лица, направлена за его пределы и касается данных, полученных из публичных мест (улица), в связи с чем не является обработкой, осуществляемой исключительно для личных и семейных нужд (  v  pro ochranu  , ECJ, Case C-212/13, 11 December 2014). Тем самым была подтверждена правомерность решения национального уполномоченного органа по защите персональных данных о нарушении субъектом, установившим камеру, положений об обработке персональных данных (отсутствие согласия прохожих на обработку, непредоставление им информации о целях и иных условиях обработки, неподача уведомления об обработке в уполномоченный орган). Фактически Суд исходил из максимально ограничительного толкования исключения об обработке для личных нужд и высказался о несовместимости личных и семейных нужд с обработкой данных из публичных мест, особенно в тех случаях, когда она осуществляется на систематической основе <1>.

--------------------------------

<1> Данный подход нашел свою детализацию и развитие в разъяснениях EDPB. См.: Guidelines 3/2019 on processing of personal data through video devices, EDPB, 10 July 2019. P. 6.

 

Российские суды придерживаются схожей позиции по данному вопросу, приходя к аналогичным выводам через нарушение права на неприкосновенность частной жизни. Так, суд признал установку видеокамер наблюдения в направлении домовладения истца с возможностью наблюдения и фиксирования событий, связанных с личностью истца, членов его семьи, их имуществом, неправомерным вмешательством в частную жизнь гражданина, поскольку отсутствовали доказательства того, что лицом, установившим камеру, было получено согласие от наблюдаемых лиц на видеонаблюдение за их семьей и домовладением. Как следствие, требование о понуждении демонтировать видеокамеру системы наблюдения было судом удовлетворено (Определение Четвертого кассационного суда общей юрисдикции от 16 июля 2020 г. по делу N 88-9915/2020). Аналогичная позиция была высказана и в другом деле, где видеокамера была направлена на домовладение соседа, при этом суд также сослался и на нарушение законодательства о персональных данных (Определение Шестого кассационного суда общей юрисдикции от 23 декабря 2020 г. по делу N 88-25139/2020). Установка камер видеонаблюдения в местах общего пользования коммунальной квартиры (Апелляционное определение Санкт-Петербургского городского суда от 26 ноября 2013 г. N 33-17730/2013), подъезде многоквартирного дома (Определение Четвертого кассационного суда общей юрисдикции от 18 февраля 2020 г. по делу N 88-2378/2020; Апелляционное определение Ульяновского областного суда от 2 июня 2015 г. по делу N 33-2182/2015) без предварительного согласования с соседями также признается судами недопустимой. Если решение о допустимости установки камер видеонаблюдения для обеспечения безопасности общего имущества принято на общем собрании жильцов многоквартирного дома, то суды признают это допустимым (Определение Восьмого кассационного суда общей юрисдикции от 19 ноября 2019 г. N 88-100/2019). Однако сам по себе факт установки видеокамер в таких случаях с соблюдением установленного порядка использования общего имущества многоквартирного дома не освобождает эксплуатирующих их лиц от соблюдения положений законодательства о персональных данных в отношении зафиксированной такими камерами информации, которая может быть отнесена к персональным данным.

В этой связи можно сделать вывод, что и по российскому законодательству рассматривать установку камер видеонаблюдения в качестве обработки персональных данных, осуществляемой для личных и семейных нужд, нельзя в тех случаях, когда в поле зрения такой камеры попадают места общего пользования или принадлежащие третьим лицам, поскольку такие действия будут нарушать права и законные интересы третьих лиц, в том числе их право на неприкосновенность частной жизни. Данный тезис достаточно четко был обозначен одним из судов: "Осуществление видеоконтроля за территорией, относящейся к земельному участку, где находится жилой дом другого лица, в отсутствие правовой основы и законной цели представляет собой вмешательство в осуществление этим лицом своего права на уважение его частной жизни вне зависимости от того, осуществляется ли при этом сбор и использование информации о частной жизни этого лица" (Апелляционное определение Омского областного суда от 28 ноября 2018 г. по делу N 33-7783/2018).

Вместе с тем если в обзор такой камеры территория третьих лиц будет попадать лишь в незначительной и несущественной части (например, забор и незначительная часть посадок соседнего земельного участка), то суд с учетом всех иных обстоятельств дела может счесть установку такой камеры допустимой (Апелляционное определение Верховного суда Республики Коми от 4 февраля 2019 г. по делу N 33-640/2019; см. также Апелляционное определение Алтайского краевого суда от 11 декабря 2018 г. N 33-11159/2018).

Возникает вопрос о правовом статусе доказательств, полученных посредством такой камеры, в случаях, когда положения законодательства о персональных данных были нарушены. Формально такие доказательства могут считаться полученными с нарушениями требований закона и, как следствие, недопустимыми в рамках судопроизводства (ч. 3 ст. 26.2 КоАП РФ, ч. 3 ст. 64 АПК РФ, ч. 2 ст. 55 ГПК РФ). В случае с уголовным процессом ситуация не столь очевидна, поскольку ст. 75 УПК РФ признает недопустимыми доказательства, полученные с нарушением требований именно УПК, а не любого закона (ч. 1 ст. 75 УПК РФ), но нельзя целиком исключать ситуации, при которых нарушение требований законодательства о персональных данных в отношении участника уголовного процесса может быть "подогнано" под нарушение какого-либо требования УПК РФ.

2.5. Принимая во внимание вышеизложенные соображения, представляется, что под обработку персональных данных для личных и семейных нужд будут подпадать организация и использование списка контактов в телефоне или коммуникационных сервисах; хранение писем, содержащих персональные данные, на компьютерных устройствах; съемка видеороликов в отпуске с последующим просмотром их в кругу семьи и друзей и т.д. При этом представляется, что использование чужих визитных карточек не подпадает под данное исключение, поскольку, с одной стороны, обычно сопряжено с профессиональной деятельностью субъекта персональных данных, а с другой - не подпадает под понятие автоматизированной обработки или обработки без использования средств автоматизации и тем самым исключено из-под действия Закона о персональных данных в силу ч. 1 комментируемой статьи, а не ее п. 1 ч. 2.

2.6. Согласно п. 2 ч. 2 комментируемой статьи действие Закона о персональных данных не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации. Данное положение корреспондирует ч. 3 ст. 4 Закона об информации, согласно которой порядок хранения и использования включенной в состав архивных фондов документированной информации устанавливается законодательством об архивном деле в Российской Федерации.

Указанное законодательство представлено Федеральным законом от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации" <1> и принятыми в соответствии с ним подзаконными нормативными правовыми актами и законами и иными нормативными правовыми актами субъектов Российской Федерации. Субсидиарного применения законодательства о персональных данных к указанным отношениям не предусмотрено, информационному законодательству, в отличие от гражданского законодательства, неизвестно понятие применения закона по аналогии при наличии пробела в регулировании.

--------------------------------

<1> См.: СПС "КонсультантПлюс".

 

В соответствии со ст. 3 вышеуказанного Закона под архивным делом понимается деятельность государственных органов, органов местного самоуправления, организаций и граждан в сфере организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов. При этом под архивным документом понимается материальный носитель с зафиксированной на нем информацией, который имеет реквизиты, позволяющие его идентифицировать, и подлежит хранению в силу значимости указанных носителя и информации для граждан, общества и государства.

Разновидностью архивных документов являются так называемые документы по личному составу, которые отражают содержание трудовых отношений работника и работодателя. Государственные органы, органы местного самоуправления, организации и индивидуальные предприниматели обязаны обеспечивать сохранность архивных документов, в том числе документов по личному составу, в течение сроков их хранения: для документов по личному составу, созданных до 2003 г., - не менее 75 лет с момента создания; для документов, созданных после 2003 г., - не менее 50 лет с момента создания <1>. В отношении иных документов необходимо руководствоваться специальными перечнями <2>.

--------------------------------

<1> См. ст. 22.1 Федерального закона от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации".

<2> См.: Приказ Минкультуры России от 31 июля 2007 г. N 1182 "Об утверждении Перечня типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения" // СПС "КонсультантПлюс".

 

Порядок передачи документов, содержащих персональные данные, в архив определяется в порядке, установленном организацией, если специальный порядок не установлен Федеральным законом "Об архивном деле в Российской Федерации". Как правило, такая передача осуществляется специальной экспертной комиссией, назначенной руководителем оператора, и признанием такой комиссией по результатам экспертизы соответствующих документов архивными <1>. До передачи документов, содержащих персональные данные, в архив в установленном порядке на их обработку в полном объеме распространяются требования законодательства о персональных данных (Постановление Девятого арбитражного апелляционного суда от 2 августа 2016 г. по делу N А40-32030/16). Последующее неприменение к отношениям по обработке персональных данных при организации хранения, комплектования, учета и использования архивных документов не означает, что право граждан на частную жизнь никак не учитывается. В данном случае применяется специальная норма ч. 3 ст. 25 Федерального закона "Об архивном деле в Российской Федерации", согласно которой существует ограничение на доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности. Данное ограничение устанавливается на срок 75 лет со дня создания указанных документов. С письменного разрешения гражданина, а после его смерти - с письменного разрешения наследников данного гражданина ограничение на доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, может быть отменено ранее чем через 75 лет со дня создания указанных документов.

--------------------------------

<1> См. подробнее: Пономарева Н.Г. Как избежать ошибок в кадровом делопроизводстве. М.: Альфа-Пресс, 2005 (разд. 1.9) (СПС "КонсультантПлюс").

 

Оценивая данное исключение из-под сферы действия Закона о персональных данных, нельзя не отметить его достаточно спорный характер. Оно не упоминается в Законе о ратификации Конвенции 1981 г., отсутствуют схожие положения и в общеевропейском законодательстве, напротив, GDPR прямо упоминает архивные цели в качестве возможных целей обработки персональных данных (п. 73, 153 Преамбулы и другие положения). Вряд ли данное изъятие можно объяснить отсутствием в законодательстве об архивной деятельности понятия "электронный архив", в связи с чем оно не может регулировать автоматизированную обработку данных <1>, поскольку законодательство о персональных данных распространяется в том числе и на обработку персональных данных без средств автоматизации, поэтому отсутствие понятия "электронный архив" не может само по себе препятствовать его применению. По всей видимости, включение данного положения было продиктовано желанием сохранить сложившееся регулирование в области архивного дела и не инициировать глубокую его переработку в связи с появлением нового пласта регулирования. Однако подпадание под действие архивного законодательства отношений, которые при прочих равных относятся к компетенции законодательства о персональных данных, например сведений о трудовых правоотношениях ("документов по личному составу"), может повлечь правовые коллизии и правоприменительные ошибки. Куда более логичным было бы введение отношений по обработке персональных данных в архивной деятельности в общую орбиту законодательства о персональных данных с установлением ряда специальных норм, учитывающих особенности данной сферы.

--------------------------------

<1> См.: Федеральный закон "О персональных данных": научно-практический комментарий / под ред. А.А. Приезжевой. С. 10.

 

2.7. Еще одним исключением из сферы действия Закона о персональных данных являются отношения по обработке персональных данных, составляющих государственную тайну, то есть защищаемых государством сведений в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-разыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Данное исключение было предусмотрено в оговорке, сделанной при ратификации Конвенции 1981 г., о неприменении ее положений к определенным категориям автоматизированных данных <1>, в связи с чем данное исключение не противоречит международным обязательствам РФ. Порядок отнесения сведений к государственной тайне и их правовой режим устанавливаются Законом РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне" <2>.

--------------------------------

<1> См. п. "б" ст. 1 Федерального закона от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".

<2> См.: СПС "КонсультантПлюс".

 

3. До 2017 г. существовало еще одно изъятие из сферы действия Закона о персональных данных в виде отношений, связанных с предоставлением уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 г. N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации" <1>. Однако впоследствии данное исключение было исключено из ч. 2 ст. 1 Закона, и вместо него в текст Закона о персональных данных была введена ч. 3 ст. 1, согласно которой предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, осуществляются в соответствии с ФЗ от 22 декабря 2008 г. N 262-ФЗ. Указанный закон тем самым устанавливает особенности обработки персональных данных и составляет законодательство РФ в области персональных данных наряду с Законом о персональных данных и иными федеральными законами, упомянутыми в ч. 1 ст. 4 Закона о персональных данных. При этом положения ФЗ от 22 декабря 2008 г. N 262-ФЗ, регламентирующие объем персональных данных, указываемых в судебных актах, являются специальными по отношению к ч. 2 ст. 8 Закона о персональных данных, в соответствии с которой сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов (Апелляционное определение Свердловского областного суда от 5 апреля 2017 г. по делу N 33а-5540/2017).

--------------------------------

<1> См. там же.

 

3.1. Ключевое значение для целей комментируемого положения имеют ч. 2 - 4 ст. 15 ФЗ от 22 декабря 2008 г. N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации", которые устанавливают дифференцированный правовой режим обработки персональных данных при размещении текстов судебных актов в сети Интернет в зависимости от типа суда, вынесшего такой акт.

3.1.1. Так, тексты решений арбитражных судов, а также акты, принятые Верховным Судом РФ в соответствии с арбитражным процессуальным законодательством, публикуются в полном объеме, то есть без обезличивания персональных данных участников процесса. Как отметил в свое время Высший Арбитражный Суд РФ, опубликование судебных актов, содержащих персональные данные лиц, участвующих в производстве по делу об административном правонарушении, не может само по себе рассматриваться как наносящее ущерб безопасности таких лиц, членов их семей, их близких, а также их чести и достоинству. При этом содержание персональных данных в судебных актах арбитражных судов не препятствует их размещению в сети Интернет в полном объеме. В случае необходимости сохранения коммерческой или иной охраняемой законом тайны разбирательство дел об административных правонарушениях осуществляется в закрытом судебном заседании при удовлетворении судом соответствующего ходатайства лица, участвующего в деле <1>.

--------------------------------

<1> См. п. 17 Постановления Пленума ВАС РФ от 8 октября 2012 г. N 61 "Об обеспечении гласности в арбитражном процессе" (СПС "КонсультантПлюс").

 

3.1.2. Тексты судебных актов, принятых судами общей юрисдикции, подлежат обезличиванию посредством исключения из них тех видов персональных данных, которые указаны в ч. 4 ст. 15 ФЗ от 22 декабря 2008 г. N 262-ФЗ: Ф.И.О. участников судебного процесса, дата и место рождения, место жительства или пребывания, номера телефонов, реквизиты паспорта или иного документа, удостоверяющего личность, ИНН физического лица, ОГРН индивидуального предпринимателя, СНИЛС; сведения о месте нахождения земельного участка, здания, сооружения, жилого дома, квартиры, транспортного средства, иные сведения об имуществе и о находящихся в банках или иных кредитных организациях денежных средствах участников судебного процесса, если эти сведения относятся к существу дела.

Вместо исключенных персональных данных используются инициалы, псевдонимы и другие обозначения, не позволяющие идентифицировать участников судебного процесса. Однако в любом случае не подлежат исключению ИНН индивидуального предпринимателя, ОГРН индивидуального предпринимателя, фамилии, имена и отчества истца, ответчика, третьего лица, гражданского истца, гражданского ответчика, административного истца, административного ответчика, заинтересованного лица, лица, в отношении которого ведется производство по делу об административном правонарушении, фамилии, имена и отчества осужденного, оправданного, секретаря судебного заседания, судьи (судей), рассматривавшего дело, а также прокурора, адвоката и представителя. Как отмечается, в данном случае речь идет об установлении законодателем своего рода "исключения из исключений", поскольку некоторые персональные данные в контексте вынесенных судебных актов могут представлять достаточно большой общественный интерес, в частности, персональные данные индивидуальных предпринимателей <1>.

--------------------------------

<1> См.: Гриценко Е.В., Ялунер Ю.А. Право на судебную защиту и доступ к суду в условиях информатизации и цифровизации: значение опыта стран общего права для России // Сравнительное конституционное обозрение. 2020. N 3. С. 97 - 129.

 

Правда, следует отметить, что на практике опубликованные в сети Интернет судебные решения обычно не содержат фамилий и инициалов участников процесса вопреки требованиям ч. 3 ст. 15 вышеуказанного Закона. Во многом это связано с тем, что перед публикацией судебные акты проходят процедуру деперсонификации в автоматизированном режиме с использованием соответствующего модуля сопряжения подсистемы "Интернет-портал" с базой данных подсистемы "Банк судебных решений (судебная практика)" ГАС "Правосудие" <1>.

--------------------------------

<1> См.: Регламент организации размещения сведений о находящихся в суде делах и текстов судебных актов в информационно-телекоммуникационной сети Интернет на официальном сайте суда общей юрисдикции, утв. Постановлением Президиума Совета судей РФ от 27 января 2011 г. N 253 (СПС "КонсультантПлюс").

 

Некоторые судебные решения судов общей юрисдикции в целях защиты прав граждан на неприкосновенность частной жизни, личную и семейную тайну, защиту их чести и деловой репутации не подлежат публикации в сети Интернет (например, решения по делам, возникающим из семейно-правовых отношений, в том числе по делам об усыновлении (удочерении) ребенка, другим делам, затрагивающим права и законные интересы несовершеннолетних; по делам о преступлениях против половой неприкосновенности и половой свободы личности; об ограничении дееспособности гражданина или о признании его недееспособным; о принудительной госпитализации гражданина в психиатрический стационар и принудительном психиатрическом освидетельствовании; о внесении исправлений или изменений в запись актов гражданского состояния). Также в силу указания Закона не подлежат размещению в сети Интернет тексты судебных приказов, вынесенных в порядке ГПК РФ и Кодекса административного судопроизводства РФ.

В тех случаях, когда третьи лица размещают на своих интернет-ресурсах полные версии судебных решений, в которых персональные данные участников процесса не были надлежащим образом обезличены, это может рассматриваться как нарушение прав субъектов персональных данных и являться основанием для предъявления требований о возмещении морального вреда (Апелляционное определение Московского городского суда от 8 июля 2020 г. по делу N 33-16956/2020, 2-3910/2019).

3.1.3. Тексты судебных актов, принятых Конституционным Судом РФ и конституционными (уставными) судами субъектов Российской Федерации, подлежат обезличиванию по тем же правилам, что и тексты судебных актов судов общей юрисдикции, за исключением фамилий, имен и отчеств заявителей, представителей сторон, приглашенных в заседание представителей государственных органов, экспертов и специалистов.

3.2. Последующее размещение текстов судебных решений, размещенных в соответствии с требованиями ФЗ от 22 декабря 2008 г. N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации", иными лицами допустимо в силу п. 11 ч. 1 ст. 6 Закона о персональных данных без согласия субъекта персональных данных, так как "осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом". Однако, согласно существующей практике, если судебный акт вопреки данным требованиям содержит больший объем персональных данных, последующая публикация таких актов третьими лицами, в том числе СМИ, является незаконной и может повлечь принятие Роскомнадзором мер реагирования. Как в этой связи отметил Конституционный Суд РФ, "факт ошибочного размещения судебного решения на сайте суда на определенное время вопреки этим требованиям в любом случае не может отменять прямое действие данных положений Закона, направленных на обеспечение баланса между правом граждан на доступ к информации о деятельности судов и иными конституционно значимыми ценностями" (Определение Конституционного Суда РФ от 28 июня 2018 г. N 1662-О). В ином судебном решении отмечается, что "опубликованный судебный акт, независимо от источника его опубликования, должен соответствовать требованиям закона, предъявляемым к официальному опубликованию судебных актов судами, и при последующем опубликовании судебных актов в них не могут быть указаны сведения, не подлежащие опубликованию при размещении судебного акта" (Апелляционное определение Санкт-Петербургского городского суда от 17 октября 2016 г. по делу N 2а-3426/2016).

4. Сфера действия Закона о персональных данных в пространстве. Как отмечалось ранее, ни комментируемая статья, ни иные положения Закона о персональных данных не содержат каких-либо положений, регламентирующих данный вопрос. В то же время ясное понимание сферы применения законодательства о персональных данных по территории и кругу лиц является необходимым условием обеспечения правовой определенности для всех участников отношений, регулируемых законодательством о персональных данных: субъектов персональных данных, использующих интернет-ресурсы в своей повседневной деятельности; операторов персональных данных, использующих инструментарий сети Интернет для осуществления своей деятельности; уполномоченных органов по контролю и надзору за соблюдением законодательства о персональных данных. В этой связи необходимо отметить следующее.

4.1. Гражданство или местожительство субъекта персональных данных, данные которого обрабатываются, не имеют значения при решении вопроса о применимости российского законодательства о персональных данных. Данный подход соответствует цели Конвенции 1981 г., которая согласно ст. 1 "состоит в обеспечении на территории каждой Стороны для каждого физического лица, независимо от его гражданства или местожительства, уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в отношении автоматизированной обработки касающихся его персональных данных" (курсив мой. - А.С.).

4.2. Требования Закона о персональных данных распространяются на лиц, осуществляющих обработку персональных данных, которые являются гражданами РФ и юридическими лицами, созданными по законодательству РФ, в силу того, что юрисдикция Российской Федерации распространяется по общему правилу на всех граждан государства безотносительно к их фактическому месторасположению (так называемая личная юрисдикция) <1>. Кроме того, поскольку понятия физического и юридического лица, упомянутые в комментируемой статье, включают в себя, поскольку прямо не указано иное, и иностранных лиц, которым в соответствии со ст. 2 ГК РФ предоставляется национальный режим, можно сделать вывод, что Закон о персональных данных может распространяться и на иностранных физических и юридических лиц, осуществляющих обработку персональных данных. Если иностранное лицо физически присутствует на территории России в форме представительства или иного обособленного подразделения, это является достаточным условием для распространения на него положений российского законодательства как минимум в части деятельности, осуществляемой через такое обособленное подразделение, и, соответственно, обработки персональных данных, осуществляемой в связи с деятельностью, осуществляемой посредством такого обособленного подразделения. Если лицо, обрабатывающее персональные данные, не имеет физического присутствия на территории России, Закон о персональных данных может применяться к нему в случае установления факта "виртуального" присутствия такого лица на территории Российской Федерации.

--------------------------------

<1> См.: Международное право: учебник / Б.М. Ашавский, М.М. Бирюков, В.Д. Бордунов и др.; отв. ред. С.А. Егоров. М., 2015.

 

Концепция "виртуального" присутствия связана с осуществлением лицом деятельности в информационно-телекоммуникационной сети Интернет, которая в силу своего трансграничного, децентрализованного и виртуального характера не позволяет четко обозначить географические границы осуществления такой деятельности. Одной лишь доступности интернет-сайта на территории Российской Федерации недостаточно для вывода о том, что на него распространяется законодательство Российской Федерации, в том числе о персональных данных, поскольку в таком случае сфера его применения носила бы по существу всемирный характер и делала бы практически невозможным контроль за его исполнением.

Принимая во внимание указанные обстоятельства, Минцифры России конкретизировало условия, при наличии которых Закон о персональных данных распространяется на иностранных лиц <1>. В их основе лежит критерий направленности деятельности, который используется в международном частном праве, а также в европейской практике <2>. Так, согласно ст. 1212 ГК РФ выбор права, подлежащего применению к договору, стороной которого является потребитель, не может повлечь за собой лишение такого лица защиты его прав, предоставляемой императивными нормами права страны места жительства потребителя, если контрагент потребителя любыми способами направляет свою деятельность на территорию этой страны. Кроме того, критерий направленности деятельности получил отражение и в информационном законодательстве применительно к "праву быть забытым". В соответствии со ст. 10.3 Закона об информации соответствующие обязанности по удалению ссылок на информацию о заявителе возлагаются на операторов поисковых систем, распространяющих в сети Интернет "рекламу, которая направлена на привлечение внимания потребителей, находящихся на территории Российской Федерации".

--------------------------------

<1> См.: Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года. URL: https://digital.gov.ru/ru/personaldata/.

<2> См. ст. 3(2) Регламента 2016 г.; ст. 15(1)(c) Регламента ЕС N 44/2001 от 22 декабря 2000 г. о юрисдикции, признании и исполнении судебных решений по гражданским и торговым делам; ст. 6 Регламента EC N 593/2008 от 17 июня 2008 г. о праве, подлежащем применению к договорным обязательствам.

 

Для определения направленности деятельности в указанных разъяснениях выделены два базовых и ряд дополнительных факторов (критериев), которые были сформулированы с учетом европейского опыта толкования положений о направленной деятельности (Joined cases: Peter Pammer v Reederei Karl  GmbH & Co. KG (C-585/08) and Hotel Alpenhof GesmbH v Oliver Heller (C-144/09), 7 December 2010).

Базовые критерии:

1) использование географического доменного имени, связанного с РФ (.ru, .рф., .su) или ее отдельными регионами (например, .moscow, .москва).

Данный критерий основан на презумпции, что регистрация и фактическое использование доменного имени в указанных зонах являются проявлением намерения владельца интернет-ресурса осуществлять свою деятельность с прицелом на Россию, что обусловлено сильной географической привязкой данных доменов к ее территории. В качестве исключения можно рассматривать регистрацию доменного имени без его последующего фактического использования, когда такая регистрация осуществляется в защитных целях для предотвращения захвата такого доменного имени конкурентами или киберсквоттерами.

Схожий критерий применения российского законодательства в сети Интернет используется Федеральной антимонопольной службой РФ для определения сферы применения в сети Интернет законодательства о рекламе <1>. Наличие зарегистрированного доменного имени в зоне "ru" признается достаточным для установления юрисдикции российских судов и в отечественной судебно-арбитражной практике (см., например, Постановление Суда по интеллектуальным правам от 2 октября 2014 г. N С01-856/2014 по делу N А40-102183/2013: "Поскольку доменное имя, о запрете администрирования которого ответчиком просит истец, зарегистрировано в доменной зоне ".ru", рассматриваемый спор относится к компетенции арбитражных судов Российской Федерации").

--------------------------------

<1> См.: Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года. URL: https://digital.gov.ru/ru/personaldata/.

 

Критерий использования географического доменного имени, связанного с территорией России, носит самодостаточный характер и может применяться вне зависимости от наличия иных критериев. В частности, данному критерию будет удовлетворять использование такого доменного имени для целей переадресации на иной интернет-ресурс, который может располагаться под функциональным доменом типа .com. Например, в случае использования доменного имени abc.ru, с которого осуществляется переадресация на abc.com;

2) наличие русскоязычной версии интернет-ресурса (в совокупности с одним из вторичных критериев, указанных ниже).

Наличие русского языка на интернет-ресурсе является сильным аргументом в пользу наличия направленной деятельности такого сайта на территорию РФ безотносительно к используемому доменному имени (т.е. данный критерий применим и к случаям, когда интернет-сайт использует функциональный домен типа .com, .org). При этом во внимание должна приниматься именно целенаправленная локализация интернет-сайта, осуществленная самим владельцем или иным привлеченным им лицом, использование систем автоматического перевода не должно приниматься во внимание. Однако необходимо учитывать, что использование русского языка во многих, но не во всех случаях свидетельствует о направленности на территорию РФ. Например, если из содержания сайта очевидно, что в качестве целевой аудитории могут выступать граждане Белоруссии, Казахстана, русскоязычное население Европы, Канады или других стран. В этой связи базовый критерий использования русского языка подлежит применению при наличии как минимум одного из дополнительных (вторичных) критериев.

Вторичные критерии:

1) возможность заключения и исполнения договора с российским резидентом, в частности осуществление доставки товара или цифрового контента на территорию России;

2) возможность осуществления расчетов в российских рублях;

3) использование контекстной или баннерной рекламы на русском языке, включающей ссылку на соответствующий интернет-ресурс;

4) иные обстоятельства, которые явно свидетельствуют о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию. Например, к ним может быть отнесено наличие на интернет-ресурсе способов обратной связи, связанных с территорией Российской Федерации, например, номера телефона, на который можно бесплатно позвонить с территории России (общефедерального бесплатного номера (8-800...) или телефона с кодом российского города). Факт приобретения владельцем интернет-сайта соответствующих услуг связи, готовность оформлять документацию с отечественным оператором связи и нести расходы по оплате услуг, подобных номеру 8-800, говорят о высокой заинтересованности владельца в российских потребителях.

Следует отметить, что схожие по существу критерии направленности деятельности также приведены в комментариях, размещенных на официальном сайте Роскомнадзора <1>.

--------------------------------

<1> См.: Комментарий к Федеральному закону от 21 июля 2014 г. N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях". С. 15. URL: https://pd.rkn.gov.ru/library/p195/. К сожалению, этот документ не содержит указания на авторов данного комментария.

 

4.3. Вышеуказанные критерии были впервые применены на практике при рассмотрении спора о внесении интернет-сайта социальной сети LinkedIn в Реестр нарушителей прав субъектов персональных данных и блокировании доступа к нему на территории РФ в связи с нарушением обязанности по локализации отдельных процессов обработки персональных данных в соответствии с ч. 5 ст. 18 Закона о персональных данных (см. комментарий к ней). Удовлетворяя указанное требование, суд указал на то, что "о направленности интернет-сайта www.linkedin.com на территорию РФ свидетельствует наличие русскоязычной версии интернет-сайта. При этом интернет-сайт допускает возможность использования рекламы на русском языке, что дополнительно свидетельствует о включении российской аудитории в сферу бизнес-интересов владельца сайта" (Апелляционное определение Московского городского суда от 10 ноября 2016 г. по делу N 33-38783/2016). Как видно, суд руководствовался вторым базовым критерием в совокупности с дополнительным критерием в виде наличия рекламы на русском языке. К этому следует добавить, что пользовательские соглашения указанного сервиса были также доступны на русском языке, а также наличие факта использования географического доменного имени linkedin.ru, с которого осуществлялась переадресация на сайт linkedin.com, что позволяло говорить о наличии и первого базового критерия направленности деятельности на территорию России.

Данная практика получила свое дальнейшее распространение. Так, Верховный Суд РФ, оставляя в силе принятые нижестоящими судами судебные акты о привлечении социальной сети Twitter к ответственности за несоблюдение требований локализации персональных данных, указал, что "о направленности сайта www.twitter.com в информационно-телекоммуникационной сети Интернет на территорию Российской Федерации свидетельствует, в частности, наличие русскоязычной версии данного сайта", а также тот факт, что "использование социальной сети Twitter предполагает обработку личной информации, предоставляемой российскими пользователями в учетных данных" (Постановление Верховного Суда РФ от 27 декабря 2019 г. N 5-АД19-239).

4.4. Следует также рассмотреть вопрос об условиях применения GDPR к иностранным операторам, поскольку в некоторых случаях его действие может распространяться на российские организации. Территориальная сфера действия GDPR в общем виде определена в ст. 3 и конкретизирована в разъяснениях о применении данных положений, подготовленных EDPB <1>.

--------------------------------

<1> См.: Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - version adopted after public consultation, EDPB, 12 November 2019. URL: https://edpb.europa.eu/our-work-tools/our-documents/riktlinjer/guidelines-32018-territorial-scope-gdpr-article-3-version_en.

 

Согласно данным документам применимость GDPR к процессам обработки персональных данных основана на следующих критериях:

1) физическом присутствии оператора или обработчика на территории как минимум из одной стран, входящих в Европейскую экономическую зону (страны ЕС, а также Норвегия, Лихтенштейн, Исландия) <1>, выражающемся в наличии локального юридического лица, филиала, представительства или иного подразделения (establishment) и осуществлении обработки персональных данных в контексте деятельности такого подразделения. При этом критерии наличия такого физического присутствия являются достаточно гибкими и подразумевают не только его стабильность, но и возможность осуществления экономической деятельности посредством него. В контексте интернет-отношений это может быть и один работник или агент, физически присутствующий на территории ЕС и координирующий процесс оформления или исполнения заказов, осуществляющий поддержку клиентов на этой территории, и т.п. <2>. Следует подчеркнуть, что критерий присутствия применим в равной степени как к операторам, так и к обработчикам. В этой связи, если российское юридическое лицо является оператором, но привлекает обработчика, имеющего подразделение на территории страны - члена ЕС, то к обработке персональных данных, осуществляемой таким обработчиком, будут применяться требования GDPR, распространяясь тем самым и на российского оператора как минимум в части необходимости заключения соглашения о порядке обработки персональных данных, соответствующего ст. 28 GDPR;

2) осуществлении направленной деятельности иностранным оператором, не имеющим физического присутствия на территории страны - члена ЕС. В соответствии со ст. 3(2) GDPR распространяется на иностранных операторов, не имеющих стабильного физического присутствия на территории ЕС в виде локального юридического лица или иного подразделения, если осуществляемые ими процессы обработки персональных данных связаны с a) предложением товаров или услуг (безотносительно к наличию встречной обязанности по их оплате) лицам, проживающим на территории Европейского союза, или b) мониторингом поведения таких лиц в той мере, в которой такое поведение имеет место на территории Европейского союза.

--------------------------------

<1> Далее в настоящем комментарии для простоты сфера применения GDPR будет привязываться к странам ЕС. Кроме того, необходимо отметить, что вследствие Brexit с 1 января 2021 г. GDPR не применяется в Великобритании. Вместо него там действует национальное законодательство в области персональных данных (Data Protection Act, 2018), которое в значительной степени схоже с положениями GDPR. Сам же GDPR как акт европейского законодательства может применяться к английским операторам в случаях, указанных в ст. 3, то есть на тех же началах, что и в отношении иных иностранных операторов.

<2> См.: Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - version adopted after public consultation, EDPB, 12 November 2019. P. 5.

 

Для уяснения смысла применяемых норм критическое значение имеют вышеуказанные разъяснения EDPB, некоторые из которых следует выделить особо.

Во-первых, применимость GDPR не поставлена в зависимость от обработки персональных данных исключительно граждан ЕС. GDPR использует более широкий подход, основанный на присутствии лица на территории страны ЕС (data subjects who are in the Union). Согласно п. 14 Преамбулы GDPR положения данного акта применяются к субъектам персональных данных безотносительно их гражданства или резидентства. Таким образом, неверным является мнение, согласно которому, как только российский оператор начинает обрабатывать персональные данные европейского гражданина, к нему автоматически начинает применяться GDPR <1>. Сам по себе факт обработки персональных данных такого лица недостаточен для применения GDPR. Помимо него должно быть еще что-то, свидетельствующее о направленности деятельности оператора на ЕС: либо посредством предложения товаров или услуг на территории ЕС, или посредством мониторинга поведения таких лиц.

--------------------------------

<1> "Игнорировать GDPR не получится ни у кого. Ни одна, даже самая маленькая, компания, ничего не продающая в ЕС, не может быть уверена в том, что у одного из ее клиентов не окажется второго гражданства - одной из европейских стран". См.: Балашов А. GDPR меняет правила / Российский совет по международным делам, 17 апреля 2018 г. URL: https://russiancouncil.ru/analytics-and-comments/analytics/gdpr-menyaet-pravila/.

 

Во-вторых, критерии направленности в общем виде изложены в п. 23 Преамбулы, где они сведены к наличию у интернет-сайта или сервиса языка или валюты, характерной для одной или нескольких стран ЕС в совокупности с возможностью заказа товара или услуги с использованием такого языка и (или) валюты, а также упоминанию на нем клиентов из стран ЕС. Более подробно возможные критерии направленности изложены Европейским судом справедливости в деле Pammer v Reederei Karl  GmbH & Co and Hotel Alpenhof v Heller (Joined cases C-585/08 and C-144/09), и среди них следует особо отметить использование географических доменов, связанных с территорией отдельных стран ЕС (.de, .au, .fr и т.п.), а также рекламных кампаний, ориентированных на индивидов, находящихся на территории ЕС. При этом сам по себе факт предоставления товара или услуги лицу, находящемуся на территории ЕС на случайной и нерегулярной основе, не свидетельствует о направленности деятельности оператора на территорию ЕС <1>. Однако, если, к примеру, российский интернет-сервис имеет англоязычную версию, на регулярной основе принимает заказы от клиентов из Европейского Союза, предоставляя им возможность оплаты в евро, вполне можно говорить о направленной деятельности такого сервиса на территорию ЕС. Как следствие, обработка персональных данных таких клиентов должна осуществляться с соблюдением положений GDPR. В частности, такой оператор должен назначить представителя на территории ЕС в соответствии с требованиями ст. 27 GDPR.

--------------------------------

<1> Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - version adopted after public consultation, EDPB, 12 November 2019. P. 18.

 

В-третьих, если обработка персональных данных осуществляется в контексте предоставляемого сервиса, который предлагается индивидам исключительно за пределами ЕС и не прекращается после их въезда в ЕС, то такая обработка не подпадает под действие GDPR. Например, если мобильное приложение, функционал которого связан со сбором и обработкой геолокационных данных, распространяется исключительно в российском Google Play и App Store, и впоследствии использующий его гражданин России въезжает на территорию ЕС и использует его там, то к обработке собранных в период его пребывания на территории ЕС данных GDPR применяться не будет <1>.

--------------------------------

<1> Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - version adopted after public consultation, EDPB, 12 November 2019. P. 15 - 16.

 

В-четвертых, мониторинг лиц, находящихся на территории ЕС, также может являться основанием для применения GDPR. Понятие мониторинга носит достаточно широкий характер и может охватывать использование оператором таких технологий, как показ таргетированной рекламы на основе поведения пользователя в сети Интернет, отслеживание поведения лица по геолокационным данным с последующим использованием их в маркетинговых целях, активное использование файлов cookie, видеонаблюдение (CCTV), трекинг посредством использования "умных" устройств. При этом EDPB со ссылкой на п. 24 Преамбулы подчеркивает, что и в данном случае необходима определенная степень направленности такой деятельности на территорию ЕС со стороны иностранного оператора, поскольку сам по себе факт сбора и анализа персональных данных лиц, находящихся на территории ЕС, не является достаточным для применения GDPR <1>. О такой направленности может свидетельствовать последующее использование оператором собранных в результате мониторинга данных для целей профайлинга граждан.

--------------------------------

<1> Ibid. P. 20.

 

Как видно из приведенных положений GDPR и разъяснений EDPB, российские операторы могут подпасть под действие GDPR, однако преимущественно вследствие своих конкретных и умышленных действий, направленных на сбор и обработку персональных данных лиц, находящихся на территории ЕС. Иными словами, потому что такой оператор сам пришел на виртуальную территорию ЕС, но не потому, что европейский гражданин по собственной инициативе в отсутствие предшествующих целенаправленных действий со стороны оператора заказал товар, стал использовать какой-либо сервис или приложение такого оператора. В этой связи у российских компаний сохраняется достаточная степень гибкости и контроля при решении вопроса о применимости GDPR к их активностям. GDPR не имеет всемирной юрисдикции и в целом основан на существующих принципах международного права <1>.

--------------------------------

<1> Данный тезис подробно обосновывается Европейской Комиссией в: Amicus Brief of the European Commission on behalf of the European Union as Amicus Curiae in support of neither party in: United States v Microsoft Corporation, US 584 (2018). URL: https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20Europe-an%20Commission%20for%20filing.pdf.

 

В завершение следует отметить еще один возможный случай, когда российское лицо будет вынуждено соблюдать требования GDPR, даже если критерии физического присутствия и направленной деятельности формально отсутствуют. Речь идет о ситуациях, когда такое российское лицо осуществляет обработку персональных данных в интересах оператора, уже на которого распространяются требования GDPR. Например, если российская компания оказывает хостинговые услуги группе компаний, часть из которых находится в странах ЕС, и на серверы российской компании могут попадать персональные данные, на обработку которых уже распространяются требования GDPR. В таких случаях основную ответственность за соблюдение его требований, в том числе к трансграничной передаче данных, несет оператор. Но поскольку он будет вынужден в силу ст. 28 GDPR заключить соглашение об обработке персональных данных, многие обязанности, установленные GDPR, будут ретранслированы на его российское лицо в договорном порядке, расширяя тем самым сферу применения GDPR.

4.5. В ноябре 2017 г. на VIII Международной конференции "Защита персональных данных" действовавший на тот момент руководитель Роскомнадзора Александр Жаров отметил, что требования GDPR не будут распространяться на российских операторов, осуществляющих деятельность на территории России, поскольку Российская Федерация не является участницей международных договоров с ЕС. На них распространяется действие только российских законов в этой сфере в соответствии с общепринятыми международными принципами обработки персональных данных <1>. Данное заявление верно, если на ситуацию с возможной применимостью требований GDPR к российским операторам смотреть исключительно изнутри, через призму российского права. Однако европейские регуляторные органы в области персональных данных не будут руководствоваться российским правом при решении вопроса о применении санкций или иных мер реагирования в отношении российских организаций, не соблюдающих требования GDPR, в тех случаях, когда он к ним применим. Они будут исходить исключительно из требований европейского законодательства. В этой связи вышеуказанный комментарий г-на Жарова не будет являться аргументом в общении с европейскими регуляторами и не сможет освободить российского оператора от возможной ответственности за несоблюдение требований GDPR.

--------------------------------

<1> См.: Жаров А. Требования Регламента Европейского союза по защите персональных данных не будут распространяться на российских операторов, работающих в России. URL: https://rkn.gov.ru/news/rsoc/news51780.htm.

 

Вышеуказанный комментарий следует толковать в том ключе, что российский оператор, с точки зрения Роскомнадзора, должен соблюдать требования российского законодательства о персональных данных, и Роскомнадзор будет проверять такого оператора именно на предмет соблюдения данного законодательства. Что само по себе не исключает возможности параллельного применения к такому оператору требований GDPR, на предмет соблюдения которых такого оператора будут проверять уже другие органы.

 

Статья 2. Цель настоящего Федерального закона

 

Комментарий к статье 2

 

1. Комментируемая статьи обозначает цели, преследуемые законодательством о персональных данных, конкретизируя их через призму обеспечения реализации конституционных прав на неприкосновенность частной жизни, личную и семейную тайну, а также защиты иных прав и свобод человека и гражданина при обработке его персональных данных. Формулировка данной статьи весьма схожа с положениями ст. 1 Конвенции 1981 г., согласно которой ее цель "состоит в обеспечении на территории каждой Стороны для каждого физического лица, независимо от его гражданства или местожительства, уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в отношении автоматизированной обработки касающихся его персональных данных". Фактически в центре законодательства о персональных данных стоит английское понятие privacy <1> (фр. la vie , нем. die ), наиболее адекватным эквивалентом которого в русском языке и является понятие "неприкосновенность частной жизни".

--------------------------------

<1> Подробный анализ происхождения и эволюции данного понятия см.: Дмитрик Н.А. История, смысл и перспективы института персональных данных // Вестник гражданского права. 2020. N 3. С. 43 - 82.

 

Право на неприкосновенность частной жизни является достаточно многогранным. В американской доктрине выделяется как минимум шесть возможных подходов к его определению: 1) право быть оставленным в покое (the right to be left alone) <1>; 2) возможность ограничивать доступ к своей личности; 3) возможность сокрытия определенных сведений от окружающих; 4) возможность осуществления лицом контроля над распространением информации о себе; 5) право на защиту своей личности, индивидуальности и достоинства; 6) право на защиту интимных сведений о себе и своей жизни <2>. Как видно, некоторые из этих подходов пересекаются друг с другом, но при этом они по-разному расставляют акценты в понимании термина privacy, и, как будет продемонстрировано далее, суды инстинктивно в зависимости от обстоятельств дела придерживаются той или иной концепции при наполнении права на неприкосновенность частной жизни содержанием в конкретном споре.

--------------------------------

<1> См.: Warren S., Brandeis L. The Right to Privacy // Harvard Law Review. 1890. Vol. 4. No. 5. P. 193. Подробный анализ генезиса института защиты неприкосновенности частной жизни см.: Дмитрик Н.А. История, смысл и перспективы института персональных данных.

<2> См.: Solove D. Conceptualizing privacy // California Law Review. 2002. Vol. 90. No. 4. P. 1088.

 

Согласно позиции Конституционного Суда РФ право на неприкосновенность частной жизни, личную и семейную тайну означает предоставленную человеку и гарантированную государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера; в понятие "частная жизнь" включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если не носит противоправный характер (Постановления Конституционного Суда РФ от 25 мая 2021 г. N 22-П и от 16 июня 2015 г. N 15-П; Определение Конституционного Суда РФ от 24 декабря 2013 г. N 2128-О). Некоторые суды более развернуто определяют данное понятие. Так, в одном из решений отмечается, что "гарантируемое ч. 1 ст. 23 Конституции РФ право на неприкосновенность частной жизни распространяется на ту сферу жизни, которая относится к отдельному лицу, касается только этого лица и охватывает охрану всех тех сторон личной жизни лица, оглашение которых лицо по тем или иным причинам считает нежелательным. Право на неприкосновенность частной жизни означает предоставленную человеку и гарантированную государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера" (Апелляционное определение Нижегородского областного суда от 2 февраля 2016 г. по делу N 33-1362/2016(33-15085/2015). Представляется, что наиболее емко суть изложенных судами подходов к определению понятия "частная жизнь" можно выразить словами М.В. Баглая, который понимает под частной жизнью "своеобразный суверенитет личности, означающий неприкосновенность его "среды обитания" <1>.

--------------------------------

<1> Баглай М.В. Конституционное право Российской Федерации. М., 2005. С. 185.

 

Вместе с тем говорить о наличии в российской судебной практике, даже на уровне Верховного Суда РФ, некоего единообразного понимания понятия частной жизни на данный момент преждевременно. В качестве иллюстрации можно привести две не очень сочетающиеся друг с другом позиции. В одном случае Верховный Суд РФ признал допустимым доказательством аудиозапись телефонного разговора, сделанную одним из лиц, участвовавших в таком разговоре, и касающуюся договорных взаимоотношений между сторонами, несмотря на возражения другой стороны о тайном характере создания такой аудиозаписи. По мнению Верховного Суда РФ, в данном случае нельзя говорить о нарушении неприкосновенности частной жизни, по всей видимости, потому что данная сфера жизни гражданина не относится к личной (Определения Судебной коллегии по гражданским делам Верховного Суда РФ от 14 апреля 2015 г. N 33-КГ15-6 и от 6 декабря 2016 г. N 35-КГ16-18). В другом случае Верховный Суд РФ признал сведения, которые характеризуют профессиональную деятельность лица, в качестве потенциально подпадающих под понятие частной жизни (Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 12 ноября 2019 г. N 14-КГ19-15, 2-2794/18). При этом арбитражные суды иногда признают переписку по электронной почте охраняемой нормами о неприкосновенности частной жизни, даже если она имеет коммерческий контекст, и, как следствие, отказывают в ее приобщении в связи с недопустимостью таких доказательств в отсутствие согласия участников такой переписки на получение доступа к ней (Постановление Девятого арбитражного апелляционного суда от 4 июня 2019 г. по делу N А40-122683/18). В другом деле суд констатировал, что "информация, указанная в доверенности, не является информацией о частной жизни истцов, защищаемой законом, ни сбор, ни ее использование не являются нарушением закона. Участие гражданина в судебных разбирательствах по гражданским делам не может являться составляющей частной жизни гражданина" (Определение Первого кассационного суда общей юрисдикции от 29 января 2020 г. по делу N 2-1295/2019). При этом некоторые суды более "топорно" выражают эту мысль, ставя знак равенства между персональными данными лица и информацией, составляющей частную жизнь ("сведения о лице, которое в силу закона или учредительных документов юридического лица выступает от его имени, либо сведения об уполномоченном представителе юридического лица, полномочия которого основаны на доверенности, не подпадают под понятие персональных данных". См.: Постановление Московского городского суда от 30 ноября 2017 г. N 4а-6980/2017). И это далеко не полный перечень примеров казуистического подхода судов к содержанию понятия "частная жизнь".

Противоречива судебная практика и применительно к возможности квалификации факта размещения сведений, ранее сделанных общедоступными, в качестве нарушения права на неприкосновенность частной жизни. Одни суды полагают, что общедоступность таких сведений исключает возможность такой квалификации (Апелляционное определение Московского городского суда от 26 апреля 2017 г. по делу N 33-11364/2017). Другие суды, напротив, допускают такую возможность. Как указал суд, "при сборе данных о каком-либо человеке, обработке или использовании персональных данных или публикации соответствующих материалов способом или в объеме, который выходит за рамки того, что обычно можно предвидеть, могут возникнуть доводы о защите частной жизни. Тот факт, что сведения о частной жизни и персональные данные получены из открытых источников, сам по себе не лишает гражданина права на защиту частной жизни и защиту своих персональных данных" (Определение Девятого кассационного суда общей юрисдикции от 12 мая 2020 г. по делу N 2-8287/2019). Представляется, что на фоне внесенных в Закон о персональных данных изменений, связанных со значительным ужесточением порядка обработки данных, сделанных общедоступными, гражданином (см. комментарии к п. 1.1 ст. 3 и ст. 10.1 Закона), последний подход является более правильным и станет основным для последующего развития судебной практики.

Таким образом, понятие частной жизни в российском праве и судебной практике не имеет четких контуров, в силу чего может быть истолковано судом как достаточно широко, так и достаточно узко, что предоставляет простор для его "творческого" применения участниками судопроизводства.

2. Противоправный характер действий лица, согласно существующей судебной практике, лишает такое лицо возможности ссылаться на нарушение права на неприкосновенность его частной жизни. Например, в одном из решений суд указал, что "информация о распространении гражданином контрафактной продукции не является информацией о его частной жизни, в том числе информацией, составляющей личную или семейную тайну" (Постановление Десятого арбитражного апелляционного суда от 26 января 2021 г. по делу N А41-55623/2020). В другом деле суд указал на отсутствие нарушений данного права со стороны антимонопольного органа при сборе информации со служебных компьютеров сотрудников организации для целей выявления признаков нарушения ею требований антимонопольного законодательства (Постановление Девятого арбитражного апелляционного суда от 16 октября 2020 г. по делу N А40-14932/2020).

3. В результате реформы гражданского законодательства в числе поправок в ч. 1 ГК РФ появилась ст. 152.2, посвященная охране частной жизни гражданина, согласно которой "если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни". При этом статья предусматривает ряд исключений из данного правила: публичный интерес, общедоступность соответствующей информации, ее раскрытие по воле гражданина. Понятие частной жизни сам ГК РФ не раскрывает, что обусловливает необходимость толкования данного понятия на основе иных источников. Поскольку право на уважение частной и семейной жизни также предусмотрено в ст. 8 Европейской Конвенции о защите прав человека и основных свобод 1950 г., стороной которой является Российская Федерация <1>, при толковании понятий частной жизни, личной и семейной тайны, помимо вышеупомянутого Определения Конституционного Суда РФ, необходимо учитывать практику ЕСПЧ по данному вопросу. В этой связи необходимо отметить следующие ее отличительные черты:

1) ЕСПЧ рассматривает положения Конвенции 1950 г. как "живой инструмент, который должен толковаться с учетом реалий сегодняшнего дня" (Постановление ЕСПЧ от 25 апреля 1978 г. по делу "Тайрер против Соединенного Королевства", жалоба N 5856/72), в связи с чем ст. 8 достаточно легко применяется ЕСПЧ к современным технологиям (электронной почте, GPS-технологиям, видеонаблюдению и пр.) <2>;

2) согласно позиции ЕСПЧ, дать исчерпывающее определение понятия privacy ("личная жизнь") невозможно и нецелесообразно, однако одно вполне очевидно: данное понятие толкуется ЕСПЧ весьма широко по сравнению с классическим американским пониманием термина "приватность" (privacy) как "права быть оставленным в покое" (right to be left alone) <3>. Ключевой идеей, лежащей в основе категории "личная жизнь", является идея личной автономии. Так, понятие "личная жизнь" охватывает физическую и моральную стороны жизни индивида, включая сексуальную жизнь (Постановление ЕСПЧ от 26 марта 1985 г. "X и Y против Нидерландов", жалоба N 8978/80); физическую и психологическую неприкосновенность индивида при оказании ему медицинской помощи или психиатрическом обследовании (Постановление ЕСПЧ от 22 июля 2003 г. "И.Ф. (Y.F.) против Турции", жалоба N 24209/94; Постановление ЕСПЧ от 27 ноября 2003 г. "Ворва (Worwa) против Польши", жалоба N 26624/95); право индивида знать свое происхождение (Постановление ЕСПЧ от 13 февраля 2003 г. "Одьевр (Odievre) против Франции", жалоба N 42326/98); вопросы публикации фотографий повседневной жизни индивида (Постановление ЕСПЧ от 24 июня 2004 г. "Дело "Фон Ганновер (Принцесса Ганноверская) (Von Hannover) против Германии", жалоба N 59320/00) и ряд других вопросов <4>;

3) ЕСПЧ охватывает правом на личную жизнь не только свободу от воздействия извне на личную сферу индивида, но и отношения с другими людьми, в том числе "возможность устанавливать и поддерживать отношения с другими людьми в профессиональном и деловом плане, как и в любом другом" (Постановление ЕСПЧ от 16 декабря 1992 г. "Нимитц (Niemietz) против Германии", жалоба N 13710/88);

4) ЕСПЧ подчеркивает, что право на частную жизнь хотя главным образом и состоит в защите личности от произвольного вмешательства органов государственной власти, оно не ограничивается обязанностью государства воздерживаться от такового вмешательства. Оно также предполагает, что государство должно предпринимать меры, направленные на обеспечение уважения частной жизни даже в сфере отношений лиц между собой (Постановление ЕСПЧ от 24 июня 2004 г. "Дело "Фон Ганновер (Принцесса Ганноверская) (Von Hannover) против Германии", жалоба N 59320/00). Тем самым имплементация государством специальных законодательных норм, регламентирующих как вертикальные отношения между государством и индивидом, так и горизонтальные отношения между частными лицами - операторами и субъектами персональных данных по поводу личной информации, вполне укладывается в обязанности государства по обеспечению права на частную жизнь в понимании ЕСПЧ.

--------------------------------

<1> Конвенция вступила в силу для Российской Федерации 5 мая 1998 г. (СПС "КонсультантПлюс").

<2> См. подробнее: Ефремов А.А. Новые информационные технологии в практике Европейского суда по правам человека // Прецеденты Европейского суда по правам человека. 2016. N 6. С. 10 - 15.

<3> См.: Warren S., Brandeis L. The Right to Privacy. P. 193.

<4> См. подробнее: Рожкова М.А., Афанасьев Д.В., Тай Ю.В. Порядок рассмотрения жалоб в Европейском суде по правам человека. М., 2013. Серия "Практика Европейского суда по правам человека: комментарии, судебные прецеденты". Кн. 2 (СПС "КонсультантПлюс").

 

Таким образом, право на неприкосновенность частной жизни представляет собой комплекс целого ряда правомочий, обеспечивающих свободу реализации личности, содержание которых эволюционирует с развитием общества, технологий и морали (право на тайну переписки, телефонных переговоров, личную неприкосновенность, сексуальное самоопределение, защиту чести и достоинства и пр.).

В качестве примеров, признанных ЕСПЧ вмешательством в личную жизнь, которые нарушали требования Конвенции 1950 г., можно привести ситуации, при которых осуществляется слежка за индивидом как посредством контроля его коммуникаций и телефонных переговоров, в том числе с использованием системы тайного прослушивания вроде СОРМ (Постановление ЕСПЧ от 4 декабря 2015 г. "Роман Захаров (Roman Zakharov) против Российской Федерации", жалоба N 47143/06), так и посредством спутниковых систем навигации (Постановление ЕСПЧ от 2 сентября 2010 г. "Узун против Германии", жалоба N 35623/05). В качестве иных примеров нарушения права на частную жизнь ЕСПЧ указал опубликование видеозаписей наблюдения в общественных местах (Постановление ЕСПЧ от 28 января 2003 г. "Пек (Peck) против Соединенного Королевства", жалоба N 44647/98), нерегламентированный контроль работодателя за использованием средств коммуникаций (служебного телефона, электронной почты, Интернета) работников (Постановление ЕСПЧ от 3 апреля 2007 г. "Дело "Копланд (Copland) против Соединенного Королевства", жалоба N 62617/00).

4. Рассмотрение законодательства о персональных данных как результата эволюции права на неприкосновенность частной жизни, личную и семейную тайну не означает, что право на защиту персональных данных должно рассматриваться исключительно как модернизированная манифестация этого права. Анализ положений законодательства о персональных данных позволяет сделать вывод, что регулируемые им отношения, с одной стороны, не в полной мере охватывают ситуации, которые подпадают под действие права на неприкосновенность частной жизни, а с другой - выходят за его рамки. Тем самым право на защиту персональных данных приобрело во многом самостоятельное значение. Графически соотношение права на защиту персональных данных и права на неприкосновенность частной жизни можно обозначить следующим образом:

 

 

Во-первых, как следует из ст. 1 Закона о персональных данных, он не регулирует отношения, связанные с обработкой данных, которые могут составлять личную или семейную тайну, если такая обработка не осуществляется с использованием средств автоматизации или без таковых - применительно к систематизированным картотекам или иным собраниям персональных данных. Однако при этом лицо не лишено возможности защиты своих прав в порядке, установленном гл. 8 ГК РФ. Согласно ст. 152.1 и 152.2 ГК РФ по общему правилу распространение сведений (в том числе в виде фотографий), информирующих о частной (личной) либо семейной жизни гражданина, без его согласия является нарушением права на неприкосновенность частной жизни безотносительно к применению автоматизированных или квазиавтоматизированных средств обработки (Апелляционное определение Санкт-Петербургского городского суда от 24 июня 2015 г. N 33-10102/2015 по делу N 2-1450/2014). В рамках реализации прав, предоставленных ГК РФ, гражданин вправе требовать в судебном порядке удалить соответствующую информацию с материальных носителей, пресечь и запретить дальнейшее ее распространение, а также использовать иные средства защиты, указанные в п. 2 ст. 150 ГК РФ.

Во-вторых, законодательство о персональных данных регулирует более широкий круг информационных отношений, включая отношения по поводу публичной и общедоступной информации, которая не может являться личной или семейной тайной в силу своей природы. Как метко отметил один суд, "частная жизнь и семейная тайна человека и гражданина включены в состав сведений, представляющих персональные данные, а не ограничивают данное понятие" (Постановление Суда Ханты-Мансийского автономного округа - Югры от 26 апреля 2013 г. по делу N 4А-75/2013). Например, информация лица о себе и о своем опыте работы в определенной сфере, размещенная им в специализированной социальной сети с целью поиска работы. Обработка подобного рода сведений не может рассматриваться как вторжение в личную сферу гражданина или как нарушение права на неприкосновенность его частной жизни, поскольку лицо само вывело указанные данные из-под режима личной тайны, сделав их общедоступными. Также вряд ли возможно рассматривать в качестве вторжения в личную или семейную сферу лица, к примеру, действия работодателя по обработке данных о зарплате своего работника - субъекта персональных данных, однако данные действия все же охватываются нормами законодательства о персональных данных. По сути, законодательство о персональных данных предоставляет субъекту совокупность специальных прав по управлению такими данными и контролю за порядком использования таких данных (право получения доступа к информации об их обработке, право на уточнение таких данных, прекращение такой обработки и пр.), исполнение которых обеспечивается возложением на оператора ряда обязанностей.

В-третьих, право на неприкосновенность частной жизни, личную и семейную тайну исходит из необходимости обеспечения максимальной конфиденциальности таких данных, пребывания их "в тумане" для окружающих. Одной из основных задач законодательства о защите персональных данных является обеспечение прозрачности осуществляемых процессов обработки персональных данных для субъекта персональных данных и предоставление ему возможности контроля над их обработкой в определенной степени - определять, кому, когда и в каком объеме могут быть предоставлены персональные данные, если иное не предусмотрено законом.

В-четвертых, права субъекта, вытекающие из законодательства о защите персональных данных, носят относительный характер и могут быть реализованы только в отношении специального субъекта - оператора персональных данных, соответственно только оператор может нарушить право субъекта фактом осуществления незаконной обработки его персональных данных. Лицо, которое осуществляет обработку персональных данных по поручению оператора, не несет ответственности непосредственно перед субъектом (ч. 5 ст. 6 Закона о персональных данных). Право на неприкосновенность частной жизни, личную и семейную тайну носит, по общему правилу, абсолютный характер и действует erga omnes ("против всех"). В частности, это проявляется в порядке защиты данного права как личного нематериального блага в порядке, предусмотренном гл. 8 ГК РФ. Кроме того, абсолютному характеру данного права корреспондируют положения ч. 8 ст. 9 Закона об информации, устанавливающие общий запрет "требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами".

В-пятых, порядок защиты права на неприкосновенность частной жизни и права субъекта персональных данных различаются и с точки зрения подсудности. Так, согласно ч. 6.1 ст. 29 ГПК РФ иски о защите прав субъекта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, могут предъявляться также в суд по месту жительства истца. В то же время иски, связанные с защитой права на неприкосновенность частной жизни, предъявляются по общим правилам подсудности, то есть по местожительству или местонахождению ответчика (Апелляционное определение Московского городского суда от 10 сентября 2019 г. по делу N 33-39728/2019). При этом следует указать, что если требования истца, связанные с защитой персональных данных, носят вторичный характер по отношению к иным требованиям, например, связанным с признанием договора недействительным, то подсудность должна определяться по правилам, применимым к основному требованию. В качестве иллюстрации можно привести дело, в котором истец заявил требования о признании договора обязательного пенсионного страхования недействительным и прекращении незаконной обработки персональных данных ответчиком. Суд установил, что данный иск должен рассматриваться по местонахождению ответчика, а не по правилам ч. 6.1 ст. 29 ГПК РФ об альтернативной подсудности по выбору истца, поскольку суть исковых требований обусловлена нарушениями, имевшими место при заключении договора (Апелляционное определение Суда Ханты-Мансийского автономного округа - Югры от 18 сентября 2018 г. по делу N 33-6290/2018).

5. В праве Европейского союза право на неприкосновенность частной жизни и право на защиту персональных данных разделены и закреплены в различных ст. Хартии Европейского Союза об основных правах - ст. 7 и 8 соответственно <1>. В этой связи GDPR как документ, принятый уже после вступления в силу данной Хартии, в качестве своей цели предусматривает уже не защиту "права на неприкосновенность частной жизни" (right to privacy), а "защиту фундаментальных прав и свобод человека, в том числе право на защиту персональных данных" (ст. 1).

--------------------------------

<1> См.: Charter of Fundamental Rights of the European Union. 2000/C 364/01. URL: www.europarl.europa.eu/charter/pdf/text_en.pdf. Данный документ был принят в 2000 г. и вступил в силу в 2009 г.

 

Таким образом, право на защиту персональных данных и право на неприкосновенность частной жизни, личную и семейную тайну не являются тождественными, они имеют различия как в части объема и природы подпадающей под охрану информации, так и в части принципов, лежащих в основе регулирования. С определенной долей условности можно констатировать, что право на неприкосновенность частной жизни, личную и семейную тайну защищает частную информационную сферу гражданина, в то время как право на защиту персональных данных направлено на защиту личной информационной сферы гражданина. Как следствие, правовой режим защиты персональных данных, установленный Законом о персональных данных, и правовой режим защиты неприкосновенности частной жизни, установленный ГК РФ, носят параллельный характер. Тот факт, что гражданин может не иметь возможности защитить свои права в рамках норм ст. 152.1 или 152.2 ГК РФ, не означает, что он лишен такой возможности в рамках Закона о персональных данных, и наоборот.

В отечественной судебной практике иногда можно встретить подобный дифференцированный подход. Так, суд указал, что "спорные правоотношения, а именно сбор в отношении заявителя персональных данных и распоряжение ими, не подпадают под сферу регулирования Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", заявитель не лишен возможности защиты своих прав в порядке, установленном гл. 8 Гражданского кодекса Российской Федерации" (Апелляционное определение Санкт-Петербургского городского суда от 24 июня 2015 г. N 33-10102/2015 по делу N 2-1450/2014).

6. Формулировка комментируемой статьи формально не ограничивает цели Закона о персональных данных лишь защитой прав на неприкосновенность частной жизни, личную и семейную тайну, упоминая их не иначе как в числе защищаемых прав и свобод человека и гражданина при обработке его персональных данных. К таким иным правам и свободам человека, связанным с обработкой персональных данных, можно отнести право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ч. 2 ст. 23 Конституции РФ); право лица требовать от органов государственной власти и органов местного самоуправления, их должностных лиц обеспечения возможности ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом (ч. 2 ст. 24 Конституции РФ).

7. Сведение всех целей законодательства о персональных данных исключительно к защите права на неприкосновенность частной жизни является существенным упрощением природы существующих правоотношений по поводу персональных данных и игнорирует не только тот факт, что оно может обеспечивать защиту иных конституционных прав гражданина (например, права на защиту от дискриминации посредством положений ст. 16 Закона о персональных данных), но и необходимость учета и защиты прав и законных интересов иных участников отношений в указанной области: общества, государства и бизнеса.

Так, общество заинтересовано в обеспечении реализации его членами конституционных прав на свободу слова и свободу поиска, получение и распространение информации любым законным способом (ст. 29 Конституции РФ), в том числе на получение информации от государственных органов, на свободу литературного, художественного, научного, технического и других видов творчества (ст. 44 Конституции РФ) и ряда других конституционных прав. Во многом именно этими соображениями объясняется наличие специальных оснований для обработки персональных данных без согласия субъекта для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности (п. 8 ч. 1 ст. 6 Закона о персональных данных).

Государство заинтересовано в сборе и обработке персональных данных с целью обеспечения реализации своих публичных функций, в том числе обеспечения безопасности своих граждан и национального суверенитета. Указанными целями продиктованы такие положения Закона о персональных данных, как, например, возможность обработки специальных ("чувствительных") категорий данных без согласия субъекта, если такая обработка осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности (п. 7 ч. 2 ст. 10). Во многом именно соображениями национальной безопасности можно объяснить введение обязанности операторов по локализации отдельных процессов обработки персональных данных российских граждан (ч. 5 ст. 18 Закона о персональных данных).

Коммерческий сектор заинтересован в сборе и обработке персональных данных с целью создания новых бизнес-моделей, персонализации предоставляемых товаров и услуг, в максимально эффективном использовании новых инновационных технологий в конкурентной борьбе. Учет данных интересов иллюстрируют, в частности, положения о трансграничной передаче данных, возможности обработки персональных данных без согласия их субъекта для целей заключения или исполнения договора, а также для осуществления прав и законных интересов оператора (п. 5, 7 ч. 1 ст. 6 Закона о персональных данных). В некоторых случаях законодательство о персональных данных может быть использовано и для целей экономического протекционизма, что признавалось еще при разработке Руководящих принципов ОЭСР <1>. Положения о локализации отдельных процессов обработки персональных данных, недавно имплементированные в Закон о персональных данных (ч. 5 ст. 18), вполне могут рассматриваться как имеющие своей целью, помимо прочего, поддержку отечественного рынка дата-центров.

--------------------------------

<1> Как отметил Майкл Кирби, глава рабочей группы по разработке Руководящих принципов ОЭСР, "существует опасение, что национальное законодательство о защите неприкосновенности частной жизни будет на самом деле использоваться для целей экономического протекционизма". См.: Kirby M. Legal Aspects of Transborder Data Flows // International Computer Law Adviser. 1991. No. 5. P. 4 ff.

 

Таким образом, законодательство о персональных данных направлено не только на защиту неприкосновенности частной жизни физических лиц, оно также имеет важные экономические, социальные и политические функции, в связи с чем должно учитывать права и законные интересы всех участников отношений и обеспечивать баланс между ними.

Данное обстоятельство подчеркивается в ряде международных документов. Так, например, в Руководящих принципах ОЭСР указано на необходимость нахождения баланса между противоречивыми интересами - защитой неприкосновенности частной жизни, с одной стороны, и уважением права на свободный обмен информацией - с другой, для полномасштабного использования потенциала современных технологий обработки данных в той мере, в которой это представляется желательным <1>. При этом ОЭСР прямо признает, что "существует внутренний конфликт между защитой персональных данных и свободным обменом этими данными... интересы, связанные с защитой неприкосновенности частной жизни, может быть трудно отделить от прочих интересов, относящихся к торговле, культуре, национальному суверенитету и пр." <2>. Директива 1995 г. прямо указывала в числе своих целей не только защиту права на неприкосновенность частной жизни, но и обеспечение свободного движения данных. Именно соображениями необходимости гармонизации законодательств стран - членов ЕС в области защиты персональных данных для целей построения единого европейского рынка и было во многом обусловлено ее принятие <3>. Аналогичные соображения лежали и в основе принятия GDPR, направленного уже не на гармонизацию, а на унификацию законодательства в указанной сфере. Это лишний раз подтверждает тот факт, что законодательство о персональных данных нельзя рассматривать в отрыве от экономической составляющей, которая присутствовала с самого момента его становления. Как указал Европейский суд справедливости, "право на защиту персональных данных не является абсолютным правом и должно рассматриваться в контексте выполняемых им функций в обществе" <4>.

--------------------------------

<1> См.: Explanatory Memorandum to OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 1980, § 3. URL: https://goo.gl/bAksLQ.

<2> Ibid., § 11(h).

<3> См.: Lynskey Orla. The Foundations of EU Data Protection Law. Oxford University Press, 2015. P. 47 ff. При этом подготовительные материалы свидетельствуют о намерении Европейской комиссии использовать данное законодательство для стимулирования развития европейской IT-индустрии. См.: Bygrave A. Data Privacy Law: An International Perspective. P. 125.

<4> См.: Volker and Markus Schecke GbR and Hartmut Eifert v. Land Hessen, ECJ, Joined Cases C-92/09 and C-93/09, 9 November 2010.

 

8. Реализуя одну из своих основных целей - защиту права на неприкосновенность частной жизни, личную и семейную тайну, законодательство о защите персональных данных имеет своей задачей минимизацию ряда рисков, связанных с ненадлежащей и (или) недобросовестной обработкой персональных данных: 1) дискриминации субъекта персональных данных; 2) мошенничества ("кражи личности" - identity theft); 3) причинения вреда жизни и здоровью субъекта персональных данных в результате получения злоумышленниками данных о его местонахождении и иной информации, которая может способствовать насильственным действиям в отношении данного лица; 4) морального дискомфорта, который возникает от ощущения постоянной "слежки" и является причиной самоцензуры лица. При этом для применимости законодательства о персональных данных не требуется, чтобы данные последствия фактически наступили, достаточно лишь гипотетической возможности их наступления. Средствами решения данных задач являются принципы обработки персональных данных (в частности, принципы минимизации обрабатываемых данных, ограничения процессов обработки заявленной целью, недопустимости совместной обработки данных, собранных с несовместимыми целями, и пр. - см. ст. 5 и комментарий к ней); нормы о запрете на принятие юридически значимых решений в отношении субъектов персональных данных исключительно автоматизированными способами (ст. 16); возложение на операторов обязанностей по принятию организационных и технических мер по защите персональных данных (ст. 19) и ряд других положений.

 

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

 

Комментарий к статье 3

 

Понятие персональных данных.

1. Понятие персональных данных является наиболее фундаментальным для всего законодательства в указанной сфере, поскольку именно квалификация информации в качестве персональных данных выступает своего рода спусковым механизмом, приводящим его в действие.

До 1 сентября 2011 г. дефиниция персональных данных звучала как "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация" <1>. Новая дефиниция расширила понятие персональных данных за счет: 1) добавления возможности косвенной идентификации лица; 2) удаления словосочетания "на основе такой информации", что обусловило необходимость принятия во внимание не только данного конкретного массива данных для решения вопроса об их квалификации как персональных данных, но и иной информации; 3) удаления приблизительного перечня персональных данных. Тем самым новое понятие персональных данных, приведенное в комментируемой статье, привело его в соответствие с положениями Конвенции 1981 г., согласно ст. 2(a) которой термин "персональные данные" означает любую информацию об определенном или поддающемся определению физическом лице ("субъект данных").

--------------------------------

<1> См.: Федеральный закон от 25 июля 2011 г. N 261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" // СПС "КонсультантПлюс".

 

Таким образом, дефиниция данного понятия, выступающая предметом немалой критики в силу ее недостаточной определенности, является не изобретением российского законодателя, а следствием имплементации в российское право положений международного договора. Схожие по сути дефиниции персональных данных содержатся и в иных правопорядках.

Так, в ст. 4(1) GDPR персональные данные означают "любую информацию, связанную с определенным или определяемым физическим лицом ("субъектом данных"); лицо признается определяемым, если оно может быть определено прямо или косвенно, в частности, посредством ссылки на идентификаторы, такие как его имя, идентификационный номер, данные о местоположении, онлайн-идентификатор либо один или несколько факторов, характерных для его физической или физиологической, ментальной, экономической, культурной или социальной идентичности". Таким образом, файлы cookie, являющиеся онлайн-идентификатором, и геолокационные данные прямо отнесены GDPR к числу персональных данных.

Одно из наиболее подробных определений персональных данных содержится в Законе Калифорнии о защите частной жизни потребителей, вступившем в силу 1 января 2020 г. Под персональными данными (personal information) понимается "любая информация, которая идентифицирует, относится, описывает или может быть ассоциирована или связана прямо или косвенно с конкретным потребителем или домовладением. Персональная информация включает, но не ограничивается следующими данными:

a) идентификаторы, такие как реальное имя, псевдоним, почтовый адрес, уникальный личный идентификатор, онлайн-идентификатор, IP-адрес, адрес электронной почты, номер карты социального страхования, номер водительского удостоверения, номер паспорта или иные подобные идентификаторы;

b) информацию, указанную в секции 1798.80 Свода законов Калифорнии (помимо указанных выше, к ней относится подпись, описание физических характеристик лица, номер телефона, номер страхового полиса, сведения о стаже работы, номер счета, номер кредитной карты и иная финансовая информация, медицинские данные и данные, связанные со страхованием здоровья);

c) сведения, относящиеся к особо защищаемым для целей применения антидискриминационной политики (сведения о расовой, национальной принадлежности, возрасте для лиц старше 40 лет, религиозных, политических взглядах, сексуальной жизни, сведения о состоянии здоровья, в том числе о беременности; о прохождении военной службы, генетическая информация и др.);

d) коммерческую информацию, включая сведения о личной собственности, приобретенных или планируемых к приобретению товарах и услугах;

e) биометрические данные, понимаемые как физиологические, биологические, поведенческие характеристики лица, включая данные ДНК, которые могут быть использованы самостоятельно или в совокупности друг с другом или иной идентифицирующей информацией для целей установления личности индивида. К биометрической информации относится, в частности, радужная сетчатка глаза, отпечатки пальцев, паттерны лица, руки, ладони, вен, записи голоса, на основании которых можно создать шаблон личности лица; параметры нажатия клавиш, сведения о здоровье или физических занятиях, которые содержат идентифицирующую информацию;

f) информацию об активностях в сети Интернет, включая, но не ограничиваясь историей посещения сайтов, поисковые запросы, информацию о взаимодействии пользователя с интернет-сайтами, приложениями и рекламой;

g) геолокационные данные;

h) аудио, электронную, визуальную, термальную, обонятельную информацию;

i) информацию о профессиональных интересах и о трудовых отношениях;

j) информацию об образовании;

k) выводы и заключения, сделанные на основе информации, указанной в данном определении, с целью создания профайла о пользовательских предпочтениях, характеристиках, физиологическом развитии, предрасположенностях, поведении, отношении, уровне умственного развития, способностях и склонностях" <1>.

--------------------------------

<1> См.: Section 1798.140 (o) California Consumer Privacy Act 2018.

 

В Сингапуре под персональными данными признаются сведения о физическом лице (безотносительно их достоверности), которое может быть идентифицировано либо на основании самих этих данных, либо на основании этих данных в совокупности с другой информацией, к которой оператор имеет или может получить доступ <1>. В проекте закона о персональных данных КНР персональные данные рассматриваются как все виды информации в электронном или ином виде, относящейся к определенному или определяемому физическому лицу, за исключением информации, прошедшей процесс анонимизации (ст. 4) <2>.

--------------------------------

<1> См.: Section 2 of the Personal Data Protection Act.

<2> С переводом на английский язык проекта Закона КНР о защите персональных данных можно ознакомиться по ссылке: https://www.newamerica.org/cybersecurity-initiative/digichina/blog/chinas-draft-personal-information-protection-law-full-translation/.

 

Как видно из приведенных примеров, в ключевых правопорядках как западных, так и азиатских стран используется широкий подход к дефиниции персональных данных. Даже Китай во многом следует европейской традиции при формулировании данного понятия <1>. В этой связи можно говорить о том, что российская дефиниция персональных данных, содержащаяся в Законе о персональных данных, находится в русле мировых трендов.

--------------------------------

<1> См.: Gil Zhang, Kate Yin. A look at China's draft of Personal Information Protection Law // IAPP. 26 October 2020. URL: https://iapp.org/news/a/a-look-at-chinas-draft-of-personal-data-protection-law/.

 

Следует отметить, что еще одна дефиниция персональных данных содержится в Указе Президента РФ от 6 марта 1997 г. N 188 "Об утверждении Перечня сведений конфиденциального характера", согласно которому под персональными данными понимаются "сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях". Как видно, данное определение носит более узкий характер и не охватывает информацию, из которой можно определить лицо косвенным образом. Несмотря на то что данный Указ формально не отменен, указанная дефиниция не подлежит применению, поскольку противоречит положениям нормативного правового акта более высокой юридической силы, носящего специальный характер и принятого позднее. К этому следует также добавить, что более узкая дефиниция персональных данных вступила бы в противоречие с международными обязательствами РФ, вытекающими из ее присоединения к Конвенции 1981 г.

2. Дефиниция персональных данных состоит из нескольких составных частей. Это: а) любая информация; б) имеющая отношение к в) прямо или косвенно определенному или определяемому г) физическому лицу.

а) Персональные данные представляют собой информацию, то есть "сведения (сообщения, данные) независимо от формы их представления" (п. 1 ст. 2 Закона об информации). Форма отображения информации не имеет значения: это могут быть сведения в текстовой, графической, звуковой форме, воспринимаемой человеком или устройством. Носитель таких данных также не имеет значения: они могут быть зафиксированы на бумаге, в иной аналоговой форме (например, на видеокассете) или существовать в электронной форме. При этом не имеет значения, является ли такая информация достоверной или нет, а равно носит ли она объективный или оценочный характер. Например, информация о том, что у Иванова Ивана Ивановича диагностирован рак головного мозга, носит объективный характер и является персональными данными специальной категории (данные о состоянии здоровья, см. комментарий к ст. 10 Закона), даже если впоследствии данный диагноз будет опровергнут. Информация о том, что Иванов Иван Иванович является ненадежным и недобросовестным должником, носит оценочный характер, но при этом также охватывается понятием персональных данных.

Сам по себе носитель данных не является персональными данными, хотя в некоторых случаях разделить их весьма сложно. Главным образом речь идет о биологическом материале (ткани, выделения человека), который содержит геномную информацию - персональные данные, включающие кодированную информацию об определенных фрагментах дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, не характеризующих их физиологические особенности (п. 3 ст. 1 Федерального закона от 3 декабря 2008 г. N 242-ФЗ "О государственной геномной регистрации в Российской Федерации"). Принимая во внимание, что единственной причиной сбора и хранения подобного рода биологического материала является наличие в нем информации, составляющей персональные данные, приравнивание биологического материала к персональным данным не лишено определенной логики. Так, ЕСПЧ в одном из решений указал, что "учитывая характер и объем информации личного характера, которая содержится в образцах клеток, их хранение должно само по себе считаться вмешательством государства в осуществление человеком права на уважение его личной жизни. В связи с этим не имеет значения, что в действительности из них извлекается или используется властями для создания профиля ДНК лишь ограниченная часть этой информации и что в каком-то конкретном случае не произошло немедленного ухудшения положения человека", как следствие, указанные объекты были отнесены к персональным данным (см. § 68, 73 Постановления ЕСПЧ от 4 декабря 2008 г. по делу "S. и Марпер (S. and Marper) против Соединенного Королевства", жалобы N 30562/04, 30566/04).

В контексте российской правовой системы данные вопросы могут быть не столь актуальны по причине наличия специального регулирования порядка сбора, хранения и использования биологического материала. Однако его проработанность сильно уступает степени детализации законодательства о персональных данных, в связи с чем приравнивание биологического материала к персональным данным могло бы способствовать восполнению возможных пробелов в регулировании.

На момент подготовки данного издания комментария Государственной Думой РФ был принят в первом чтении законопроект, который направлен на корректировку понятия биометрических данных, относя к таковым сведения, характеризующие не только физиологические и биологические особенности человека, но и генетические <1>. Данный подход видится ошибочным, поскольку одним из ключевых признаков биометрических данных является особая цель их обработки оператором - идентификация субъекта. Вместе с тем в пояснительной записке к вышеуказанному законопроекту обозначается несколько иная проблема: наличие пробела "в части защиты информации о человеке, полученной из его биоматериала, который содержит генетическую информацию, позволяющую получить о нем дополнительные сведения (о состоянии здоровья, питания, образа жизни, поведенческих особенностях, чувствительности к фармакологическим препаратам или аллергенам и других индивидуальных характеристиках)". Иными словами, анализ генетической информации может использоваться не столько для идентификации гражданина, сколько для выявления его отдельных характеристик и последующего профайлинга гражданина на их основе. Правовой режим биометрических данных не улавливает данные цели обработки, в этой связи более предпочтительным видится отнесение генетической информации к специальным категориям персональных данных, возможно с установлением в отношении них более жесткого режима. Нечто подобное сейчас реализовано в GDPR, где генетические данные рассматриваются не в качестве разновидности биометрических, а в качестве специальной ("чувствительной") категории данных (ст. 9(1)).

--------------------------------

<1> См.: Законопроект N 744029-7 "О внесении изменений в статью 11 Федерального закона "О персональных данных" в части обработки биометрических персональных данных". Принят в первом чтении 22 октября 2019 г. URL: https://sozd.duma.gov.ru/bill/744029-7.

 

б) Информация должна иметь определенное отношение к физическому лицу. Такое отношение может иметь место в случаях, когда такая информация:

1) в силу своего содержания касается определенного лица (например, результаты медицинских анализов конкретного лица);

2) имеет своей целью оценку деятельности некоего лица или может повлиять на восприятие такого лица, в том числе посредством принятия каких-либо решений в отношении него (например, сведения о посещенных лицом страницах в сети Интернет и (или) участии в определенных группах в социальных сетях в тех случаях, когда они используются для целей составления профайла пользователя для направления ему таргетированной рекламы, принятия решения о его трудоустройстве или определения индивидуальной цены товара (услуги));

3) имеет технический характер (например, данные устройств, используемых физическим лицом) и используется для технических целей, но может при желании оператора применяться для целей, которые имеют влияние на права и обязанности индивида. Например, геолокационные данные машин, входящих в таксопарк, могут использоваться преимущественно для целей обеспечения бизнес-процессов таксопарка: сокращения времени ожидания, оптимизации маршрутов, экономии бензина и пр. При этом одновременно они могут использоваться для оценки качества труда таксистов. В этой связи указанные данные также имеют отношение к физическому лицу <1>. Однако документы, представляющие собой правовой анализ соответствия индивида требованиям законодательства для целей получения им определенного статуса, по мнению Суда ЕС, не являются персональными данными, представляя собой акт правоприменения и толкования закона <2>.

--------------------------------

<1> См.: Opinion 4/2007 on the concept of personal data. WP 136, 20 June 2007. Article 29 Data Protection Working Party. P. 11.

<2> См.: YS v. Minister voor Immigratie, ECJ Joined Cases C-141/12 & C-372/12, 17 July 2014.

 

в) Информация относится к прямо или косвенно определенному или определяемому лицу, то есть обладает определенным идентифицирующим потенциалом. Данный элемент является самым сложным и запутанным для понимания и интерпретации. В самом общем виде он предполагает, что на основании информации можно либо точно идентифицировать лицо ("прямо определенное" лицо), либо имеется возможность это сделать с привлечением иных данных ("косвенно определяемое" лицо). Точная идентификация лица будет иметь место в случае соотнесения соответствующей информации с фамилией, именем и отчеством (при наличии) лица. Именно данные сведения являются основным идентификатором гражданина в гражданском обороте, поскольку гражданин приобретает и осуществляет права и обязанности под своим именем (п. 1 ст. 19 ГК РФ). Косвенная идентификация предполагает возможность отнесения к персональным данным информации, которая сама по себе хотя и не указывает однозначно на имя конкретного лица, но содержит описание каких-либо его индивидуальных характеристик, позволяющих отграничить его от других субъектов, выделить его из круга лиц, к которому он принадлежит, или по крайней мере сузить такой круг лиц <1>. Например, лицо может быть косвенно идентифицировано на основании данных о трафике (метаданных), в частности, сведений об установленных соединениях с указанием времени и продолжительности соединения, номеров или IP-адреса устройств, участвующих в коммуникации <2>. Также лицо может быть косвенно идентифицировано на основании данных его логина (никнейма), используемых в различных интернет-сервисах; данных с камер видеонаблюдения, реквизитов банковской карты, сведений о принадлежащей лицу собственности и пр. Все это позволяет отнести указанные данные к категории персональных данных, учитывая существующие формулировки их дефиниции. В качестве некоторого консервативного и относительно безопасного ориентира для определения критерия косвенной идентификации можно предложить следующий: если данные позволяют выделить некоего индивида из множества лиц и использовать в отношении него особую модель взаимодействия, то такое лицо является определяемым, а соответствующая информация - персональными данными. Данный тест находит свое отражение в Пояснительном меморандуме к Модернизированной Конвенции N 108, которую РФ подписала 10 октября 2018 г. <3>.

--------------------------------

<1> В некоторых странах, например в Финляндии и Норвегии, законодательство о персональных данных допускает признание информации персональными данными, даже если она относится не к конкретному индивиду, а к семье или домовладению. См.: Bygrave A. Data Privacy Law: An International Perspective. P. 135.

<2> Так, Стэнфордский университет опубликовал исследование, согласно которому метаданные телефонных переговоров (номера телефонов абонентов, время и продолжительность звонка либо время и количество символов sms-сообщений) позволяют без особых проблем идентифицировать личность абонента, устанавливать его связи с другими лицами, а также выводить "чувствительные" персональные данные: политические, религиозные, сексуальные взгляды и предпочтения субъекта, состояние его здоровья и ряд других. См.: Mayer J. et al. Evaluating the Privacy Properties of Telephone Metadata. Stanford University. 1 March 2016. URL: http://www.pnas.org/content/113/20/5536.

<3> См.: Explanatory Report to the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data. Strasbourg, 2018, § 17 - 18.

 

Ключевую роль в квалификации информации, позволяющей косвенно определить физическое лицо, в качестве персональных данных играет анализ средств, которые позволяют это сделать. К сожалению, Закон о персональных данных не содержит никаких указаний на них, в этой связи целесообразно обратиться к положениям европейского права. В п. 26 преамбулы GDPR указано, что "для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть вероятно (likely) и разумно (reasonably) использованными либо оператором, либо любым иным лицом для идентификации указанного лица". Исходя из анализа этого положения можно сделать два основных вывода:

1) в качестве идентифицирующего лица может выступать любое лицо, а не только оператор, что расширяет понятие "персональные данные", поскольку не требуется концентрироваться исключительно на анализе возможностей отдельно взятого оператора;

2) в качестве критериев, которыми надо руководствоваться при анализе вероятности отнесения данных к личности субъекта таким "любым лицом", фигурируют: (а) вероятность и (б) разумность их использования.

Вероятность использования должна оцениваться с учетом всех обстоятельств. К примеру, она гораздо выше у компаний, использующих продвинутые технологии анализа данных в своих бизнес-процессах (финансовые организации, организации связи, социальные сети, крупные онлайн-магазины и т.п.), чем у небольших организаций, которые не могут позволить себе использование таких технологий (риск-ориентированный подход в действии). Разумность, по общему правилу, должна предполагать возможность идентификации лица с привлечением правомерных средств, т.е., например, без взлома компьютерных систем или незаконного доступа к базам данных третьих лиц, в том числе государственных органов <1>.

--------------------------------

<1> См.: Bygrave A. Data Privacy Law: An International Perspective. P. 132.

 

Если у оператора данных есть два набора данных, каждый из которых не позволяет определить лицо, но в совокупности они создают такую возможность, то каждый из таких наборов данных может быть квалифицирован как персональные данные, поскольку является информацией, относящейся к косвенно определяемому лицу. Как отметил Европейский суд справедливости, "использование слова "косвенно" в дефиниции персональных данных означает, что для квалификации информации в качестве персональных данных не обязательно, чтобы ее самой по себе было достаточно для идентификации индивида" (Patrick Breyer v. Bundesrepublik Deutschland, ECJ, Case C-582/14, 19 October 2016, § 41).

В этой связи возникает вопрос: следует ли при решении вопроса о квалификации данных в качестве персональных принимать во внимание массивы данных, находящиеся только во владении у конкретного оператора, или же следует учитывать потенциальную возможность совместного использования их с информацией, находящейся во владении других операторов? Согласно позиции Суда ЕС данные о динамических IP-адресах, собранные онлайн-сервисом, являются персональными данными при одновременном выполнении следующих условий: а) они могут идентифицировать конкретного субъекта в совокупности с данными, которые имеются у интернет-провайдера такого субъекта, и б) у онлайн-сервиса есть потенциальный доступ к таким данным интернет-провайдера. В данном случае Суд счел, что такой доступ у онлайн-сервиса был, поскольку указанные сведения могли быть запрошены у интернет-провайдера в случае расследований неправомерных действий третьих лиц в отношении онлайн-сервиса, например DDoS-атак <1>. Учитывая, что благодаря технологиям "больших данных" существует потенциальная возможность сотрудничества в сфере совместной обработки массивов данных, которые могут принадлежать различным операторам, данное решение выглядит вполне логичным. Однако не менее очевидно, что оно чрезмерно расширяет понятие персональных данных, увеличивая как издержки операторов, связанные с исполнением законодательства о персональных данных, так и риски принятия ими неправильных решений о статусе обрабатываемой информации.

--------------------------------

<1> См.: Patrick Breyer v. Bundesrepublik Deutschland, ECJ, Case C-582/14, 19 October 2016. Следует отметить, что ранее Европейский суд справедливости уже указывал, что IP-адрес относится к персональным данным. См.: Scarlet Extended SA v. SABAM, ECJ, Case C 70/10, 24 November 2011.

 

г) Субъектами персональных данных могут выступать только физические лица. Контактные данные и реквизиты юридического лица, а также иные сведения, по которым можно его определить, не подпадают под понятие персональных данных. Во многом это связано с тем, что основной вид персональных данных юридического лица - фирменное наименование обладает защитой в рамках специального правового режима, а данные о представителях юридического лица - физических лицах охватываются общим правовым режимом законодательства о персональных данных. Кроме того, отнесение юридических лиц к числу субъектов персональных данных могло бы повлечь негативные последствия для коммерческого оборота как посредством создания дополнительных условий для недобросовестной конкуренции, так и вследствие дополнительных ограничений на трансграничный обмен информацией.

Персональными данными могут признаваться сведения не только о живом, но и об умершем физическом лице. Данный вывод следует из положений ст. 9 Закона о персональных данных, в которой говорится, что "в случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни". Материалы судебной практики демонстрируют актуальность вопроса об обеспечении надлежащей защиты персональных данных умерших лиц. В ряде случаев организация на основании достигнутых с медицинскими учреждениями договоренностей на безвозмездную перевозку тел умерших получает приоритетный доступ к персональным данным умерших и их родственников, что дает ей возможность в первоочередном порядке предлагать свои услуги родственникам умерших. И хотя судами данная ситуация рассматривается преимущественно через призму законодательства о защите конкуренции (см. Постановления Семнадцатого арбитражного апелляционного суда от 28 августа 2014 г. по делу N А50-2319/2014, Федерального арбитражного суда Уральского округа от 26 марта 2013 г. по делу N А60-25035/2012; решения Арбитражного суда Республики Бурятия от 29 декабря 2014 г. по делу N А10-4767/2014, Арбитражного суда Свердловской области от 26 декабря 2013 г. по делу N А60-22167/2013), она неплохо иллюстрирует возможную ценность персональных данных умерших лиц и возможное их использование для вторжения в личную сферу родственников умершего и причинения им моральных страданий.

В судебной практике встречаются также случаи взыскания наследниками морального вреда за факт незаконного размещения третьими лицами персональных данных умершего в социальных сетях (Постановление Президиума Верховного суда Республики Башкортостан от 8 августа 2018 г. по делу N 44Г-300/2018). При этом сам факт получения таких данных из общедоступных источников, например с надгробий захоронений на кладбище, не имеет значения (Решение Обнинского городского суда Калужской области от 24 декабря 2020 г. по делу N 2-1238/20).

С учетом вышеизложенного персональные данные можно разделить на три группы: 1) персональные данные, которые предоставляются самим субъектом (например, размещаются им в социальной сети); 2) персональные данные, которые появляются в процессе использования субъектом определенного сервиса (например, геолокационные данные или метаданные); 3) персональные данные, которые являются результатом анализа данных первых двух групп, в том числе посредством инструментов аналитики "больших данных", и представляют собой оценку субъекта персональных данных (например, его кредитный рейтинг) <1>.

--------------------------------

<1> См.: Personal Data: The Emergence of a New Asset Class. World Economic Forum, January 2011. URL: https://www.weforum.org/reports/personal-data-emergence-new-asset-class; Recommendation 1/2001 on Employee Evaluation Data. Article 29 Data Protection Working Party. 22 March 2001.

 

3. Судебная практика по вопросам квалификации персональных данных не отличается единообразием. Некоторые суды исходят из основанного на устаревших нормативных актах узкого понимания понятия персональных данных как информации, которая позволяет однозначно идентифицировать лицо. В частности, они не признают персональными данными ИНН (Апелляционное определение Санкт-Петербургского городского суда от 3 февраля 2015 г. по делу N 2-3097/2014), СНИЛС (Решение Белоглинского районного суда Краснодарского края от 22 июня 2014 г. по делу N 2-300/2014), номер паспорта (Определение Московского городского суда от 29 февраля 2012 г. N 33-6709; Постановление Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу N А56-4788/2010), поскольку, по их мнению, на основании такой информации нельзя идентифицировать конкретное лицо. В качестве яркой иллюстрации данной логики можно привести мотивировку одного из решений, в котором суд пришел к выводу об отсутствии нарушений Закона о персональных данных, "поскольку запрашиваемая сотрудниками банка информация в отношении В., высказывания работников ответчиков не содержат персонифицированных и детализированных данных, работниками ответчиков не назывались ни адрес места проживания лица, ни год, месяц, дата и место рождения, семейное, социальное, имущественное положение, образование, профессия, доходы, а также другая информация, по которой возможно идентифицировать конкретное лицо" (Апелляционное определение Московского городского суда от 28 января 2014 г. по делу N 33-5461). В другом деле суд не признал персональными данными имя, отчество, название улицы и номер дома, где проживает данное лицо, поскольку в совокупности они не позволяют достоверно установить, о каком именно человеке идет речь на страницах форума, а также поскольку "отсутствует указание на фамилию, что не позволяет идентифицировать лицо, о котором идет речь" (Определение Приморского краевого суда от 9 сентября 2013 г. по делу N 33-7063).

Напротив, информация, включающая Ф.И.О. субъекта, обычно признается судами в качестве персональных данных, например, информация о задолженности по коммунальным платежам, включающая в себя Ф.И.О. лица, адрес проживания и размер задолженности по уплате коммунальных платежей (Постановление Нижегородского областного суда от 12 мая 2015 г. по делу N 4а-288/2015; Кассационное определение Пермского краевого суда от 1 августа 2011 г. по делу N 33-7668); данные в заявке на выдачу кредита, в которой фигурировали Ф.И.О. лица, его паспортные данные, место жительства, дата рождения и другие данные (Апелляционное определение Тульского областного суда от 28 апреля 2015 г. по делу N 33-850); информация, содержащаяся в техническом паспорте на дом, включающая Ф.И.О. лица, паспортные данные, документ о праве собственности (Определение Приморского краевого суда от 28 апреля 2014 г. по делу N 33-3718).

Примеры подобного узкого подхода к понятию персональных данных в последние годы встречаются в судебной практике уже крайне редко. В качестве примера можно привести следующую достаточно противоречивую позицию суда: "Фамилия и инициалы гражданина относятся к персональным данным субъекта. Однако без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. Фамилия, имя, отчество наряду с другими способами используются для идентификации отдельного гражданина среди других. По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать. Таким образом, указание фамилии человека с инициалами не является нарушением Закона "О персональных данных" (Апелляционное определение Верховного суда Республики Татарстан от 24 октября 2019 г. по делу N 2-5801/2019, 33-18168/2019). Фиксация в автоматизированной системе времени прохода сотрудника через пропускную систему на территорию организации также не признается некоторыми судами в качестве персональных данных (Апелляционное определение Московского городского суда от 28 марта 2018 г. по делу N 33-8775/2018; Апелляционное определение Верховного Суда Республики Саха (Якутия) от 15 ноября 2017 г. по делу N 33-4401/2017).

На смену узкому подходу начиная с 2016 г. в судебной практике вслед за изменением подхода Роскомнадзора стал доминировать широкий подход к толкованию понятия персональных данных, исходя из которого под персональными данными понимаются сведения, хотя и не позволяющие однозначно определить конкретное лицо, но позволяющие сделать это косвенным образом. Как отметил один суд, персональными данными являются сведения, направленные "на идентификацию личности в широком смысле данного понятия", данные "не только об идентификационных характеристиках личности как физического лица, т.е. фамилии, имени, отчестве, дате рождения и т.п., но и о ее биографии, навыках, профессиональных характеристиках" (Определение Восьмого кассационного суда общей юрисдикции от 25 февраля 2020 г. N 88-4063/2020).

Согласно такому широкому подходу к персональным данным судами были отнесены следующие сведения:

- информация о соединениях и трафике абонента при отсутствии имени конкретного абонента (Решение Арбитражного суда г. Москвы от 25 мая 2016 г. по делу N А40-51869/2016-145-449);

- статистическая информация, необходимая для последующего предоставления адресной рекламы физическому лицу, состоящая из сведений о его поисковых запросах и просмотренных страницах. При этом данных Ф.И.О. конкретного абонента также не фигурировало, а использовался хеш-ID пользователя, что, по мнению судов, относилось к косвенно определяемому лицу (Постановление Тринадцатого апелляционного арбитражного суда от 1 июля 2016 г. по делу N А56-6698/2016; решения Арбитражного суда г. Москвы от 11 марта 2016 г. по делу N А40-14902/2016-84-126 и от 29 марта 2016 г. по делу N А40-14900/2016-94-126);

- изображение гражданина при отсутствии иных сведений о нем (Постановление Президиума Верховного Суда Республики Башкортостан от 8 августа 2018 г. по делу N 44Г-300/2018);

- данные, собираемые сервисами "Яндекс.Метрика" <1> и "Google Аналитика" (Решение Таганского районного суда г. Москвы от 19 декабря 2018 г. N 02-4261/2018);

- номер мобильного телефона (Кассационное определение Восьмого кассационного суда общей юрисдикции от 27 февраля 2020 г. N 88А-4529/2020; Апелляционное определение Новосибирского областного суда от 17 июля 2018 г. по делу N 33-6650/2018; Апелляционное определение Алтайского краевого суда от 29 сентября 2015 г. по делу N 33-9241/2015; Решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу N 12-973-2019). Хотя иногда можно встретить единичные решения, в которых номер мобильного телефона не признавался судом персональными данными (Апелляционное определение Московского городского суда от 24 июля 2017 г. по делу N 33-28957/2017).

--------------------------------

<1> Данный подход является логичным, если учитывать, что к такой информации относится не только статистика посещения интернет-сайта, но и анализ пользовательского поведения. Например, в составе сервиса "Яндекс.Метрика" используется такой компонент, как вебвизор, который записывает действия посетителей сайта и позволяет просматривать их в режиме "живого видео". Воспользовавшись плеером, можно увидеть точное повторение всех действий посетителя на сайте, как если бы вы смотрели в его монитор: движения мыши, клики, прокрутка страницы, нажатия на клавиши и заполнение форм, выделение и копирование текста. URL: https://metrika.yandex.ru/promo/webvisor/.

 

Таким образом, выводы отдельных специалистов о том, что отечественная судебная практика исходит из консервативной позиции при определении объема понятия "персональные данные" <1>, более не являются актуальными.

--------------------------------

<1> См.: Наумов В.Б., Архипов В.В. Понятие персональных данных: интерпретация в условиях развития информационно-телекоммуникационных технологий // Российский юридический журнал. 2016. N 2. См. также: Буркова А.Ю. Определение понятия "персональные данные" // Право и экономика. 2015. N 4.

 

4. В отечественной доктрине высказываются различные мнения относительно содержания понятия "персональные данные". Ряд специалистов высказываются в пользу узкого толкования данного термина, относя к нему лишь информацию, которая позволяет однозначно идентифицировать лицо. Помимо ссылок на некоторые устаревшие или отмененные нормы в качестве аргумента приводится сформулированное Конституционным Судом РФ требование правовой определенности нормы, предполагающее точность, ясность и недвусмысленность правовых норм, без чего не может быть обеспечено единообразное понимание и применение таких норм, а значит, и равенство всех перед законом <1>. Кроме того, предпринимаются попытки увязать понятие персональных данных с целями законодательства о персональных данных, указанными в ст. 2: если обработка соответствующих данных не может привести к нарушению права на неприкосновенность частной жизни (а это актуально для обезличенных данных или данных, которые не позволяют однозначно определить индивида), то нет оснований квалифицировать такую информацию как персональные данные с распространением на нее соответствующего правового режима <2>.

--------------------------------

<1> См., например: Постановление Конституционного Суда РФ от 8 апреля 2014 г. N 10-П. Данный аргумент упоминается в комментарии представителей Роскомнадзора к Закону о персональных данных при изложении результатов работы Рабочей группы Консультативного совета при Роскомнадзоре "по определению матрицы персональных данных". См.: Федеральный закон "О персональных данных": научно-практический комментарий / под ред. А.А. Приезжевой. С. 15.

<2> См.: Наумов В.Б., Архипов В.В. Понятие персональных данных: интерпретация в условиях развития информационно-телекоммуникационных технологий.

 

Приведенные аргументы представляют интерес, но в целом убедительными их назвать проблематично. Сложно оправдать намеренное игнорирование отдельных элементов данной в законе правовой дефиниции стремлением к обеспечению правовой определенности нормы. Как можно оправдать узкий подход к определению объема понятия персональных данных как информации, позволяющей однозначно идентифицировать лицо, в условиях, когда дефиниция прямо указывает на возможность отнесения к персональным данным информации, относящейся к косвенно определяемому лицу? Здесь уместно привести толкование Суда ЕС по данному поводу, согласно которому использование слова "косвенно" в дефиниции персональных данных означает, что "для квалификации информации в качестве персональных данных не обязательно, чтобы ее самой по себе было достаточно для идентификации индивида" (Patrick Breyer v. Bundesrepublik Deutschland, ECJ, Case C-582/14, 19 October 2016, § 41). Что же касается аргумента о взаимосвязи понятия персональных данных с целями законодательства о персональных данных, то он также не представляется убедительным, поскольку, во-первых, как было продемонстрировано в комментарии к ст. 2, исключительно защитой неприкосновенности частной жизни, личной и семейной тайны цели законодательства о персональных данных не исчерпываются, а во-вторых, непонятно, почему только понятие персональных данных должно увязываться с целями данного законодательства, ведь, следуя логике сторонников вышеуказанной позиции, надо все дефиниции и положения Закона о персональных данных соотносить с целями, указанными в ст. 2, тем самым сводя его юридическое содержание к политико-правовым соображениям.

Также сложно согласиться с тем, что при использовании широкого подхода к дефиниции персональных данных практически любая информация приобретет статус персональных данных. Абстрактная информация, статистическая информация, исключительно техническая информация (если только она не связана с устройствами, принадлежащими конкретным физическим лицам), как правило, не будет подпадать под понятие персональных данных. В качестве иллюстрации можно привести дело, где суд вполне обоснованно не признал персональными данными информацию о количестве зарегистрированных жителей в почтовых адресах в цифровом значении, поскольку это не "конкретная информация, прямо или косвенно относящаяся к какому-либо конкретному лицу" (Апелляционное определение Московского областного суда от 12 октября 2016 г. по делу N 33а-25712/2016). В другом деле информация о количестве потребленной электроэнергии не была признана персональными данными (Определение Приморского краевого суда от 13 января 2014 г. по делу N 33-180, 33-11070). Трек-номер (идентификатор) почтового отправления, по которому можно отследить его статус в информационных системах Почты России, также не был квалифицирован судом в качестве персональных данных (Апелляционное определение Московского городского суда от 10 августа 2020 г. по делу N 33-19434/2020).

5. Согласно ряду разъяснений представителей Роскомнадзора, содержащихся в публично доступных источниках, к персональным данным можно отнести следующие сведения:

- файлы cookie (Семинар Роскомнадзора, 28 января 2020 г. <1>);

- адрес электронной почты гражданина (Семинар Роскомнадзора, 26 ноября 2020 г. <2>);

- история заказов гражданина даже при отсутствии его Ф.И.О., поскольку такие данные могут являться основой для профайлинга (Семинар Роскомнадзора, 26 ноября 2020 г.);

- данные пользовательской аналитики, например, собираемые посредством сервисов Яндекс.Метрика, Google Аналитика (Семинар Роскомнадзора, 21 января 2020 г. <3>);

- все государственные идентификаторы физического лица (ИНН, СНИЛС, паспортные данные) (Семинар Роскомнадзора, 21 января 2020 г.);

- сведения о зарплате (Письмо Роскомнадзора от 7 февраля 2014 г. N 08КМ-3681 "О передаче работодателем третьим лицам сведений о заработной плате работников");

- Ф.И.О. гражданина (Письмо Роскомнадзора от 20 января 2017 г. N 08АП-6054 "О результатах рассмотрения обращения Казначейства России").

--------------------------------

<1> https://project-si.ru/ru/pd/2021/?utm_source=rkn

<2> https://project-si.ru/ru/pd2/2020/

<3> https://project-si.ru/ru/pd/2020/

 

При этом Роскомнадзор не относит к персональным данным:

- регистрационный номер автотранспортного средства (Семинар Роскомнадзора, 21 января 2020 г.);

- MAC-адрес устройства. Но когда MAC-адрес дополняется сведениями, например, о геолокации или cookie, то в совокупности эта информация является персональными данными (Семинар Роскомнадзора, 26 ноября 2020 г.);

- абонентский номер мобильного телефона (Семинары Роскомнадзора, 21 января 2020 г. и 26 ноября 2020 г., разъяснения отдельных территориальных органов РКН <1>).

--------------------------------

<1> См.: Обращения в сфере персональных данных. URL: https://15.rkn.gov.ru/p8880/p15987/.

 

Следует отметить особую спорность позиции, согласно которой номер мобильного телефона сам по себе не относится к персональным данным. Во-первых, она вступает в противоречие с разъяснениями Минцифры России, в которых указано, что такой номер, если он принадлежит физическому лицу, а не юридическому, является персональными данными, как, впрочем, и адрес электронной почты физического лица (письмо Минкомсвязи России от 7 июля 2017 г. N П11-15054-ОГ "О разъяснении норм федерального законодательства"). Судебная практика, как было продемонстрировано выше, также признает номер мобильного телефона персональными данными. Во-вторых, достаточно странно выглядит позиция, при которой один из основных идентификаторов лица в онлайн-пространстве, к которому привязана авторизация в зонах публичного Wi-Fi, мессенджерах и который может являться одним из ключевых инструментов для дифференциации пользователей и их профайлинга, не признается персональными данными, в то время как более абстрактные данные вроде пользовательской аналитики "Яндекс.Метрика" и "Google Аналитика", напротив, признаются персональными данными.

6. Принимая во внимание многообразие отношений, связанных с обработкой персональных данных, а также их высокую динамику, характеризующуюся появлением новых субъектов и технологий обработки персональных данных, невозможно дать исчерпывающий перечень данных, которые могут признаваться персональными. В силу самого существа данной категории она предполагает контекстный и индивидуальный подходы. Как справедливо отмечается в литературе, "понимание бесперспективности законодательно установленного "перечневого" подхода к определению понятия "персональные данные", взаимосвязи и взаимодополняемости разных данных, относящихся к частной жизни и участию индивида в социальной жизни... обусловило преимущественное развитие международного и национальных законодательств в направлении обобщающего института персональных данных" <1>. В этой связи вряд ли имеют перспективу попытки разработки неких обобщающих таблиц или "матриц" персональных данных, которые бы четко отвечали на вопрос, является ли тот или иной набор данных персональным или нет.

--------------------------------

<1> Бачило И.Л. и др. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск, 2006. С. 19.

 

7. Квалификация информации, позволяющей косвенно определить физическое лицо, в качестве персональных данных дает возможность решить вопрос о так называемых пользовательских данных, которые обрабатываются посредством инструментов аналитики "больших данных". Если абстрагироваться от не соответствующего легальной дефиниции и европейской практике узкого подхода к толкованию понятия "персональные данные", то такие пользовательские данные подпадают под режим персональных данных и создания какого-либо специального правового механизма sui generis для их регулирования не требуется. Если определенные данные по результатам обработки представляют собой персональные данные, то исходя из существующей дефиниции данного явления исходные данные также относятся к персональным.

Это не означает, однако, необходимости разработки специальных норм в отношении обработки тех массивов данных, на основе которых могут быть созданы персональные данные. В этой связи целесообразно упомянуть высказанное в литературе замечание о проблеме возможной коллизии прав субъектов персональных данных и прав интернет-компаний на большой объем данных как базу данных, которая может получить отдельную правовую защиту <1>. Признавая наличие данной проблемы, хотелось бы отметить, что подобного рода коллизии различных правовых режимов информации ограниченного доступа существуют и сейчас (например, режимов коммерческой тайны и персональных данных; банковской тайны и персональных данных и т.п., см. подробнее комментарий к ст. 7 Закона), тем самым проблематика "больших данных" не добавляет здесь ничего нового. Однако создание в отношении них особого правового режима, отличного от режима персональных данных, лишь усилит данную проблему, поскольку к обозначенным коллизиям правовых режимов добавится еще один правовой слой и коллизионный вопрос обострится в еще большей степени. Поэтому представляется, что без выявленной реальной правоприменительной практикой неэффективности и неадекватности применения к "большим данным", содержащим пользовательские данные, общего правового режима "персональных данных" с определенными специальными нормами, которые вполне допустимы, разрабатывать с нуля специальный правовой режим в отношении них крайне нежелательно. Помимо дополнительных издержек для операторов это будет чревато стагнацией развития данных технологий и их "офшоризацией", то есть выведением соответствующих операций в более благоприятные с регуляторной точки зрения юрисдикции.

--------------------------------

<1> См.: Архипов В.В. Интернет-право: учебник и практикум для бакалавриата и магистратуры. М., 2016. С. 120 - 121.

 

8. Информация, которая относится к нескольким прямо или косвенно определенным или определяемым физическим лицам (например, фотография с изображением нескольких лиц на ней или электронное письмо, в котором есть данные отправителя и получателя), является персональными данными в отношении каждого из таких субъектов. Каждое из таких лиц обладает в отношении такой информации всей полнотой прав, предоставляемых Законом о персональных данных их субъекту. К сожалению, Закон не содержит каких-либо положений на случай возможных коллизий между волеизъявлениями отдельных субъектов в отношении совместных персональных данных. Представляется, что в тех случаях, когда один из субъектов настаивает на прекращении обработки таких данных, а другой субъект, напротив, выражает волю на дальнейшую обработку, приоритет, по общему правилу, должен отдаваться требованию первого субъекта. Это следует из основной цели Закона - защиты неприкосновенности частной жизни, личной и семейной тайны, а также отсутствия специальных положений в Законе, допускающих обработку персональных данных при отсутствии согласия одного из таких субъектов, и общей парадигмы закона, исходящей из принципа "запрещено все, что прямо не разрешено". При этом немаловажен и тот факт, что интересы второго субъекта все же могут быть реализованы после удаления из спорной информации сведений, касающихся первого лица, в то время как интересы первого субъекта будут нарушены бесповоротно в случае, если приоритет будет отдан именно волеизъявлению субъекта, который настаивает на продолжении их обработки.

При этом не следует путать решение указанного вопроса с точки зрения законодательства о персональных данных с регулированием, установленным в ст. 152.1 ГК РФ. В последнем случае, по общему правилу, если изображенные на коллективном фотоснимке граждане очевидно выразили свое согласие на фотосъемку и при этом не запретили обнародование и использование фотоснимка, то один из этих граждан вправе обнародовать и использовать такое изображение без получения дополнительного согласия на это от иных изображенных на фотоснимке лиц, за исключением случаев, если такое изображение содержит информацию о частной жизни указанных лиц (п. 45 Постановления Пленума ВС РФ от 23 июня 2015 г. N 25 "О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации").

Персональные данные, разрешенные субъектом персональных данных для распространения.

1. Данное понятие было введено Федеральным законом от 30 декабря 2020 г. N 519-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" <1>, который вступил в силу (за исключением отдельных положений) с 1 марта 2021 г. По своей сути данное понятие является опорной конструкцией для нового правового режима обработки персональных данных, которые сделал общедоступными сам субъект персональных данных. Указанный правовой режим содержится в ст. 10.1 Закона (см. комментарий к ней) и заменяет собой ранее существовавшие положения п. 10 ч. 1 ст. 6 и п. 2 ч. 2 ст. 10 Закона о персональных данных, которые допускали возможность дальнейшей обработки данных, сделанных самим субъектом или иным лицом по его просьбе общедоступными, без получения его согласия. Соответственно, в качестве персональных данных, разрешенных субъектом персональных данных для распространения, могут выступать как обычные персональные данные, основания для обработки которых установлены в ст. 6 Закона о персональных данных, так и специальные категории таких данных, основания для обработки которых установлены в ст. 10 данного Закона. Биометрические данные в силу специфики цели их использования (идентификация субъекта) и повышенных рисков их незаконной обработки, обусловленной неизменностью таких данных, не должны, по общему правилу, подпадать под специальный правовой режим персональных данных, разрешенных субъектом персональных данных для распространения. Об этом свидетельствует и тот факт, что применимые к биометрическим данным основания для обработки, указанные в ч. 2 ст. 11 Закона о персональных данных, являются крайне узкими и никогда не включали в себя возможность их обработки вследствие их общедоступного характера.

--------------------------------

<1> См.: СПС "КонсультантПлюс".

 

2. Рассматриваемая дефиниция позволяет выделить три сущностных признака таких персональных данных: 1) доступ к таким данным получает неопределенный ("неограниченный") круг лиц; 2) в основе обработки таких данных как первоначальным оператором, который делает их общедоступными, так и последующими операторами лежит согласие субъекта, данное по специальной форме; 3) согласие субъекта дается на такую разновидность обработки, как распространение.

Первый признак позволяет отграничить сферу применения специального правового режима от ситуаций, когда персональные данные размещаются во внутренних системах организации ("интранет") или закрытых частях интернет-ресурса, к которым имеют доступ только сотрудники организации и иные определенные ею лица, например дистрибьюторы или иные бизнес-партнеры организации. При этом следует отметить неточность формулировки дефиниции, которая указывает на предоставление доступа "неограниченному" кругу лиц, параллельно упоминая при этом о распространении, определяемом далее в ст. 3 Закона о персональных данных как "действия, направленные на раскрытие персональных данных неопределенному кругу лиц". По всей видимости, данные отличия можно объяснить спешкой применения Закона. Если бы под "неограниченным" кругом лиц понималось что-то иное, чем "неопределенность" такого круга лиц, то об этом на фоне существования специальной дефиниции должно было бы быть сказано особо.

При этом наличие на интернет-сайте регистрации, которую может пройти любой желающий, не должно, по общему правилу, влиять на применимость правового режима, предусмотренного для персональных данных, разрешенных субъектом для распространения, поскольку подобная регистрация, по сути, не делает такой ресурс ограниченным для доступа третьих лиц. Такая регистрация преследует в основном цель формализации отношений с пользователями посредством принятия ими условий пользовательского соглашения посредством проставления галочки, а также расширение пользовательской базы. Информационные ресурсы, которые обладают реальным ограниченным доступом, всегда предполагают необходимость наличия определенного статуса у пользователя, который недоступен любому желающему (работник организации, уполномоченный дистрибьютор, лицо, оплатившее подписку на сервис, и пр.).

Следует отметить указание Роскомнадзора в публичном семинаре 28 января 2021 г. на то, что если у оператора есть возможность разумно определить или ограничить круг лиц, имеющих доступ к персональным данным, то такая обработка не будет считаться распространением, что открывает возможность для использования в этих целях предварительной регистрации на сайте. Данный подход Роскомнадзора является более либеральным, чем предложенный выше. Однако необходимо отметить следующее. Во-первых, он носит предварительный характер и не протестирован пока в ходе реальной контрольно-надзорной деятельности. Во-вторых, он сохраняет за собой высокую степень дискреции Роскомнадзора вследствие использования слова "разумно". В-третьих, выведение персональных данных, разрешенных для последующего распространения, из-под действия таких интернет-ресурсов с "упрощенной регистрацией" означало бы возможность легко обойти требования нового регулирования посредством повсеместного введения такой регистрации интернет-ресурсами, что вряд ли отвечает требованиям телеологического толкования Закона. В этой связи логично ожидать избирательное правоприменение Роскомнадзора в этой части, особенно на первых этапах применения положений ст. 10.1 Закона о персональных данных.

Второй признак является ключевым и определяющим всю суть правового режима таких данных - главным основанием для их обработки является согласие субъекта, требования к которому утверждаются Роскомнадзором. Как указал Роскомнадзор, такое согласие не может быть интегрировано в договор, включая пользовательское соглашение посетителя интернет-ресурса (Семинар от 28 января 2021 г. <1>). В определенной степени данная логика вытекает из требования об отдельном оформлении такого согласия от всех других согласий субъекта на обработку его данных (ч. 1 ст. 10.1 Закона о персональных данных), которое при расширительном толковании может рассматриваться как требование об обособленном характере согласия субъекта на распространение его данных.

--------------------------------

<1> https://project-si.ru/ru/pd/2021/?utm_source=rkn

 

Распространение персональных данных при отсутствии специального согласия субъекта допустимо только в случаях, специально предусмотренных в ст. 10.1 Закона о персональных данных, а именно в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей (ч. 15 ст. 10.1 Закона о персональных данных). Основания для обработки персональных данных без согласия субъекта, предусмотренные в ст. 6 и 10 Закона, в данном случае неприменимы, за исключением случаев, указанных в ч. 2 ст. 10.1 Закона о персональных данных, см. комментарий к ней. В пользу данного вывода говорит не только конструкция ст. 10.1 Закона о персональных данных, но и Пояснительная записка к Федеральному закону N 519-ФЗ, в которой прямо говорится об исключительном характере согласия как основания для обработки рассматриваемого вида данных <1>. К сожалению, единственное исключение из применения правил ст. 10.1 Закона о персональных данных не учитывает множества ситуаций, когда законодательство предусматривает обязанность лиц, не обладающих статусом государственного или муниципального органа власти, размещать персональные данные в общем доступе. Например, согласно п. 7 ч. 1 ст. 79 Федерального закона от 21 ноября 2011 г. N 323-ФЗ "Об охране здоровья граждан в Российской Федерации" <2> медицинские организации обязаны размещать в сети Интернет сведения о медицинских работниках медицинских организаций, об уровне их образования и об их квалификации. Как медицинской организации, выступающей в качестве оператора, можно выполнить данное требование в случаях, когда ее работник не дает соответствующего согласия, - вопрос, который будет подробно рассмотрен в рамках комментария к ст. 10.1 Закона о персональных данных.

--------------------------------

<1> https://sozd.duma.gov.ru/bill/1057337-7

<2> См.: СПС "КонсультантПлюс".

 

Третий признак характеризует тот способ обработки данных, на который дается соответствующее согласие, - их распространение, то есть их раскрытие неопределенному кругу лиц. При этом формально Закон не ограничивает распространение персональных данных исключительно сетью Интернет, хотя, судя по пояснительной записке к Федеральному закону N 519-ФЗ, именно такого типа отношения и будут в основном подпадать под действие рассматриваемых специальных положений.

Некоторые специалисты, отмечая, что распространение является всего лишь одним из 18 способов обработки, указанных в п. 3 ст. 3 Закона о персональных данных, указывают, что из положений ч. 2 ст. 10.1 Закона о персональных данных следует, что ограничения внезапно начинают распространяться на любую обработку персональных данных, раскрытых неопределенному кругу лиц самим субъектом: "обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку" <1>. Такой вариант толкования не исключен, однако он не является единственно возможным. Возлагаемую на последующего оператора обязанность представить доказательства законности последующего распространения или иной обработки можно толковать системно, во взаимосвязи рассматриваемой нормы с иными положениями Закона о персональных данных. В отношении законности последующего распространения такой оператор доказывает законность ссылками на соблюдение специальных положений, применимых к распространению данного вида персональных данных, а в отношении законности осуществления иных видов обработки данная норма, по сути, детализирует общий принцип законности обработки (ч. 1 ст. 5 Закона): оператор должен продемонстрировать наличие какого-либо из оснований, указанных в ст. 6 или 10 Закона для таких "иных видов обработки".

--------------------------------

<1> Емельянников М.Ю. Являются ли персональные данные, опубликованные субъектом для неограниченного доступа, общедоступными? 18 января 2021 г. URL: https://emeliyannikov.blogspot.com/2021/01/blog-post.html.

 

Какой из предложенных видов толкования окажется в итоге верным, сможет ответить только правоприменительная практика Роскомнадзора.

Понятие оператора персональных данных.

1. Понятие оператора персональных данных является одним из краеугольных камней всего правового режима законодательства о персональных данных, поскольку оно определяет круг лиц, ответственных за соблюдение предусмотренных в нем обязанностей, в том числе по реализации прав субъектов персональных данных. Дефиниция оператора персональных данных состоит из трех основных частей:

1) конкретизации статуса лица, которое может выступать в качестве оператора ("государственный орган, муниципальный орган, юридическое или физическое лицо"). Фактически это любое лицо, обладающее правосубъектностью, независимо от его национальной принадлежности;

2) указания на возможность выступления множественности лиц на стороне оператора ("самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку");

3) указания на основной критерий, отграничивающий оператора от иных участников отношений, связанных с персональными данными ("определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными").

Данная дефиниция фактически является заимствованием положений действовавшей на тот момент Директивы 1995 г. В настоящее время схожая дефиниция содержится в ст. 4(7) GDPR. При этом она отличается от дефиниции, содержащейся в Конвенции 1981 г., которая оперирует понятием "контроллер файла" (controller of the file), определяемым как "физическое или юридическое лицо, орган государственной власти, учреждение или любой другой орган, компетентный в соответствии с внутренним законодательством решать, какова должна быть цель автоматизированного файла данных, какие категории персональных данных подлежат хранению или какие операции должны производиться с ними". Это связано с тем, что дефиниция Конвенции 1981 г. является устаревшей, поскольку, оперируя понятием "файл", слишком сужала круг возможных способов обработки персональных данных. Кроме того, дефиниция Конвенции не предусматривала возможность нескольких лиц одновременно выступать оператором <1>.

--------------------------------

<1> См.: Guidelines 07/2020 on the concepts of controller and processor in the GDPR. Version 1.0. Adopted on 2 September 2020, § 38.

 

Ключевым отличием дефиниции, содержащейся в Законе о персональных данных, от той, которая содержится в GDPR, является использование в Законе о персональных данных фразы "состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" вместо обобщенного понятия "средства обработки" (means of the processing of personal data). Однако это не меняет существа используемого критерия, поскольку понятие "средства обработки" в европейском праве охватывает и состав обрабатываемых данных, и действия, которые осуществляются с ними <1>. В этой связи можно говорить о том, что понятие "оператор персональных данных" в российском праве и это понятие в европейском праве являются по существу идентичными. В этой связи, если лицо будет признаваться оператором по российскому законодательству, оно будет признаваться таковым и по GDPR и наоборот.

--------------------------------

<1> Ibid. P. 14.

 

2. Для решения вопроса о том, является ли конкретное лицо оператором персональных данных, необходимо принимать во внимание все обстоятельства, поскольку данный вопрос является вопросом факта. Простого указания в тексте договора на то, что определенная сторона выступает в качестве оператора персональных данных, недостаточно. Как правило, в качестве оператора будет выступать любое лицо, которое решило осуществлять обработку персональных данных в своих интересах и имеет правовую и (или) фактическую возможность определять существенные условия ее обработки. При этом осуществлять непосредственные действия такому лицу для признания его оператором не требуется, на что указывает использование предлогов "и (или)" в выражении "организующие и (или) осуществляющие обработку персональных данных".

Представляется, что именно определение цели обработки является основным квалифицирующим признаком оператора персональных данных. Определение состава персональных данных и конкретных способов их обработки, включая используемые программно-аппаратные средства, нередко требует наличия специальной квалификации, в связи с чем данные элементы могут по факту определяться привлеченными оператором лицами. Однако предоставление оператору информации о них, а также его последующее продолжение взаимоотношений с такими привлеченными лицами могут рассматриваться как согласие с ними и тем самым проявление контроля в отношении таких действий. Таким образом, в указанных случаях лицо будет признаваться оператором, даже несмотря на то, что отдельные аспекты обработки данных были определены иным лицом.

3. Типичными примерами операторов персональных данных являются организации, которые осуществляют обработку данных своих работников и (или) клиентов - физических лиц; лица, которые осуществляют сбор и анализ персональных данных, сделанных субъектом персональных данных доступными для распространения в сети Интернет; государственные органы и учреждения, которые обрабатывают персональные данные граждан в процессе предоставления государственных услуг; онлайн-сервисы, которые предусматривают регистрацию пользователей и (или) собирают данные о них в процессе использования такого сервиса.

4. В случае если цели обработки, состав персональных данных и способы обработки определяются работником организации, например лицом, специально назначенным в качестве ответственного за обработку данных, оператором будет признаваться сама организация, а не такое физическое лицо. При этом, если такое физическое лицо будет использовать персональные данные в своих целях без ведома организации, то его можно будет признать оператором с возложением всех соответствующих обязанностей и ответственности, однако сама организация также будет нести ответственность за действия такого работника на основании п. 1 ст. 1068 ГК РФ. В данном случае можно говорить о вине организации, выразившейся в том, что она не смогла предпринять необходимых мер безопасности, направленных на предотвращение несанкционированного доступа и обработки персональных данных своими работниками.

5. На стороне оператора персональных данных может выступать множественность лиц, на что указывает формулировка о возможности организации и (или) осуществления обработки персональных данных, а также определения ее целей и иных существенных аспектов обработки "самостоятельно или с другими лицами". Такая множественность может иметь место, к примеру, при совместной обработке в общих целях персональных данных клиентов или работников несколькими операторами, существующими в рамках одной группы компаний.

Кроме того, множественность лиц на стороне оператора может иметь место при создании несколькими лицами (к примеру, туристическим агентством, сетью отелей и авиакомпанией) единого интернет-портала, где клиент может централизованно заказать услуги каждого из указанных лиц. При этом указанные лица определяют объем собираемых данных, порядок размещения заказа, кто из них и в каком объеме может иметь доступ к собранным персональным данным. В таком случае все указанные лица будут совместно выступать в качестве оператора ("сооператоры") по отношению к таким персональным данным, что не исключает квалификации каждого из них в качестве самостоятельного оператора по отношению к иным обрабатываемым персональным данным (например, своих работников). Однако если совместного определения целей или иных элементов обработки персональных данных нет, например в случае, когда туристическое агентство само отправляет персональные данные своих клиентов в отель для подтверждения брони, то нет и множественности лиц на стороне оператора. Каждое из указанных лиц является самостоятельным оператором, обрабатывающим персональные данные для собственных нужд.

Проводимые несколькими организациями совместные кобрендинговые маркетинговые кампании, предполагающие объединение баз данных клиентов - физических лиц, а также совместную обработку их обратной связи на соответствующие мероприятия, могут также являться удачным примером возникновения отношений совместного операторства применительно к таким персональным данным, поскольку данные организации, выступая формально самостоятельными юридическими лицами, совместно определяют и цели обработки, и ее ключевые параметры.

Другим примером множественности лиц на стороне оператора являются случаи размещения пользователями персональных данных в социальной сети: поскольку социальная сеть устанавливает общие цели обработки данных, состав персональных данных и способы обработки, а пользователь - конкретный состав размещаемых персональных данных, а также может выбирать способы обработки из состава сделанных доступными провайдером сервиса социальной сети, оба указанных лица могут признаваться оператором в отношении обрабатываемых персональных данных третьих лиц. Конечно, при условии, что в данном случае в отношении пользователя не будет действовать изъятие об обработке персональных данных исключительно для личных и семейных нужд (п. 1 ч. 2 ст. 1 Закона о персональных данных, см. комментарий к ней). Данный вывод в определенной степени подтверждается судебной практикой Европейского суда справедливости, где администратор группы в социальной сети Facebook был признан вместе с данной социальной сетью совместными операторами в отношении тех данных, которые они собирают от пользователей, посещающих данную группу. Администратор группы в социальной сети Facebook подпадает под понятие оператора, поскольку определяет ряд параметров обработки, в частности целевую аудиторию посетителей и участников такой группы и цели сбора данных (продвижение товаров, услуг или своей деятельности в общем). Это, в свою очередь, открывает ему доступ к получению статистических данных о посетителях и участниках такой группы на основе настроек фильтров, предусмотренных Facebook (возраст, пол, род занятий и интересов, образование, местонахождение и пр.), и в этой части позволяет определять тип персональных данных, которые будет обрабатывать Facebook и передавать администратору группы, даже если они при этом передаются в обезличенной форме ( Landeszentrum  Datenschutz Schleswig-Holstein v. Wirtschaftsakademie Schleswig-Holstein GmbH, C-210/16, ECJ, 5 June 2018).

Другим примером возникновения сооператорства, рассмотренным Европейским судом справедливости, является случай признания сооператорами социальной сети и веб-сайта, на котором установлен плагин такой социальной сети. В деле Fashion ID GmbH & Co.KG v. Verbraucherzentrale NRW eV (C-40/17, ECJ, 29 July 2019), рассмотренном Европейским судом справедливости, интернет-магазин установил плагин социальной сети Facebook, позволяющий поставить на сайте такого интернет-магазина "лайк" в Facebook. При этом безотносительно к проставлению такого "лайка" персональные данные пользователя передавались с сайта интернет-магазина социальной сети Facebook. Тот факт, что указанные лица действуют при этом каждый в своем интересе, не препятствует признанию их сооператорами в отношении персональных данных посетителей сайта такого интернет-магазина.

EDPB, анализируя данные решения и понятие оператора персональных данных, приходит к важному выводу о том, что использование лицом платформы третьего лица для обработки персональных данных индивидов может повлечь возможность квалификации такого лица и платформы в качестве совместных операторов, за исключением случаев, когда такая платформа выступает исключительно в качестве обработчика таких данных и не имеет собственного интереса в их обработке (что явно не относится к платформам вроде социальных сетей) <1>.

--------------------------------

<1> См.: Guidelines 07/2020 on the concepts of controller and processor in the GDPR. Version 1.0. Adopted on 2 September 2020, § 65 - 66.

 

Приведенные примеры из европейской практики являются достаточно репрезентативными и потенциально применимыми и в российских реалиях в силу почти полной тождественности понятия "оператор персональных данных" в европейском и российском праве.

6. Наличие на стороне оператора множественности лиц вызывает вопрос о распределении ответственности между ними. Тот факт, что Закон о персональных данных говорит об операторе в единственном числе, может быть интерпретирован как несение обязанностей и ответственности каждым сооператором в полном объеме. С гражданско-правовой точки зрения такой вид ответственности именуется солидарной обязанностью (ст. 323 ГК РФ: "при солидарной обязанности должников кредитор вправе требовать исполнения как от всех должников совместно, так и от любого из них в отдельности, притом как полностью, так и в части долга"). И хотя Закон о персональных данных не оперирует данным термином и не предполагает возможности субсидиарного применения положений гражданского законодательства, принципы солидарной ответственности вполне могут быть применимы и к распределению ответственности между сооператорами. При этом вопросы распределения ответственности между собой и предъявления регрессных требований вполне могут быть решены сооператорами в соглашении между собой. Российское законодательство в настоящее время не содержит требований о необходимости наличия соглашений между сооператорами или каких-либо иных положений, которые бы регламентировали отношения между ними, что вряд ли можно считать его достоинством.

Напротив, ст. 26 GDPR предусматривает необходимость наличия договоренности (arrangement) между сооператорами, которая будет определять распределение ролей в части выполнения обязанностей оператора. В частности, такая договоренность может определять механизм реализации прав субъектов в отношении оператора, в частности, на получение информации об обрабатываемых данных и пр. Это может быть достигнуто путем указания контактного лица для реализации таких прав, что обеспечивает эффективный механизм координации их действий в отношении субъекта персональных данных и крайне рекомендуется EDPB в качестве меры для имплементации <1>. Однако независимо от наличия такой договоренности между сооператорами и ее содержания GDPR прямо указывает на то, что субъект может в полном объеме реализовывать свои права в отношении каждого из сооператоров (ст. 26(3)), тем самым делая их "солидарными должниками" в рамках соответствующих отношений с субъектом.

--------------------------------

<1> Guidelines 07/2020 on the concepts of controller and processor in the GDPR. Version 1.0. Adopted on 2 September 2020, § 182.

 

Однако в части возможной ответственности сооператоров за исполнение иных требований законодательства о персональных данных, помимо выполнения непосредственных обязанностей перед субъектами по их запросу, позиция Европейского суда справедливости такова, что наличие факта совместной операторской деятельности еще не означает, что такие сооператоры несут равную ответственность. Поскольку они могут вовлекаться на разных этапах обработки персональных данных и в разном объеме, их ответственность за исполнение обязанностей операторов должна определяться с учетом особенностей конкретной ситуации ( Landeszentrum  Datenschutz Schleswig-Holstein v. Wirtschaftsakademie Schleswig-Holstein GmbH, С-210/16, ECJ, 5 June 2018, § 43). Представляется, что данная логика вполне применима и к российским реалиям.

7. От оператора персональных данных следует отличать лицо, которое осуществляет обработку данных по его поручению. В европейском законодательстве в этой связи наряду с термином "оператор" (data controller) используется термин "обработчик" (data processor). В российском законодательстве данный термин отдельно не выделен, однако данная концепция используется в ч. 3 ст. 6 Закона о персональных данных под обозначением "лица, осуществляющего обработку персональных данных по поручению оператора". Подробнее о правовом статусе указанного лица см. комментарий к ч. 3 ст. 6 Закона.

Понятие обработки персональных данных.

1. Приведенная в Законе дефиниция воспроизводит аналогичное положение Директивы 1995 г. и GDPR. Данное определение отличается от понятия автоматизированной обработки, которое содержится в Конвенции 1981 г. и охватывает "следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение". Во многом это связано с тем, что сфера действия GDPR и Закона о персональных данных не ограничивается исключительно автоматизированной обработкой данных, кроме того, развитие технологий привело к появлению новых способов обработки данных, что сделало нецелесообразным ограничение их видов каким-либо закрытым перечнем.

2. Первоначально в Законе о персональных данных обработка персональных данных понималась несколько иным образом: это "действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных". Последующие изменения дефиниции конкретизировали ее посредством (1) прямого указания на то, что обработка представляет собой любое действие (в данном случае делается акцент на действии человека) или операцию (акцент на автоматизированной обработке) с персональными данными, и (2) пополнения перечня возможных способов обработки записью, извлечением, передачей данных в различных формах (распространение, предоставление, доступ).

Тем самым в настоящее время под обработкой персональных данных понимается любое действие (операция), совершаемое с персональными данными, как с использованием средств автоматизации, так и без них. К ним относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В принципе невозможно придумать ни одного действия или операции с персональными данными, которые бы не могли подпадать под понятие "обработка".

Таким образом, к обработке персональных данных в полной мере можно отнести любое действие, носящее волевой характер и сопряженное с воздействием на данные в период их "жизненного цикла": обычное хранение персональных данных на жестком диске компьютерного устройства; получение доступа к данным с другого устройства; использование компьютерных алгоритмов по глубинному анализу данных (data mining).

Как следует из комментируемой дефиниции, обработка персональных данных представляет собой объективный факт; наличия у лица осведомленности о том, что он обрабатывает персональные данные, не требуется для квалификации его действий в качестве обработки и, соответственно, возможности последующей квалификации такого лица как оператора (при наличии иных условий, указанных в дефиниции оператора).

3. В отечественной судебной практике встречаются случаи, когда суды некорректно толкуют понятие "обработка персональных данных", стремясь тем самым решить вопрос о применимости к спорным отношениям законодательства о персональных данных. Так, суды не признают обработкой персональных данных действия по вывешиванию на информационных стендах официальных документов, в которых могут содержаться персональные данные, например данные о результатах аудита ТСЖ с информацией о фамилии, имени и отчестве истца, замещении им ранее должности председателя ТСЖ и размере получаемого вознаграждения или предписание Ростехнадзора (Апелляционное определение Верховного суда Республики Коми от 13 марта 2014 г. по делу N 33-1148/2014; Апелляционное определение Липецкого областного суда от 6 июня 2012 г. по делу N 33-1235/2012). С приведенным толкованием вряд ли можно согласиться, учитывая максимально широкую формулировку понятия "обработка персональных данных", под которую подпадают практически любые действия, совершаемые оператором с персональными данными. В указанных выше случаях более правильно говорить о неприменимости законодательства о персональных данных к спорным отношениям в силу отсутствия факта автоматизированной или квазиавтоматизированной обработки, то есть в силу ст. 1 Закона о персональных данных, а не в силу отсутствия факта обработки персональных данных как таковой.

Понятие автоматизированной обработки персональных данных.

1. Данное определение отсутствует в Директиве 1995 г. и GDPR, оно отсутствовало и в первоначальной редакции Закона о персональных данных, появившись лишь в 2011 г. В немалой степени его закреплению на законодательном уровне способствовали судебные споры, связанные с определением сферы действия Закона о персональных данных, в котором содержание понятия автоматизированной обработки данных играло ключевую роль (см. комментарий к ст. 1 Закона). В частности, предпринимались попытки определить указанный термин методом от противного применительно к существующему пониманию обработки без использования средств автоматизации, содержащемуся в Постановлении Правительства РФ от 15 сентября 2008 г. N 687. Поскольку согласно п. 2 данного акта обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее, делался вывод о том, что "средством автоматизации является не любое техническое средство, а только такое, при применении которого использование, уточнение, распространение, уничтожение персональных данных осуществляется без непосредственного участия человека" (см., например, Постановление Четвертого арбитражного апелляционного суда от 17 января 2011 г. по делу N А19-25289/2009). Так как такое толкование явно расходилось с общими представлениями об автоматизированной обработке, суду приходилось ссылаться напрямую на текст Конвенции 1981 г. В настоящее время этот пробел восполнен.

2. Под автоматизированной обработкой в настоящее время понимается любая обработка персональных данных, осуществляемая с использованием вычислительных средств. Иными словами, в случае, если производится обработка персональных данных, существующих в цифровой форме, в том числе посредством конвертации таких цифровых данных в аналоговый вид (например, посредством распечатывания документа), она всегда имеет автоматизированный характер. В этой связи упомянутые ранее положения п. 2 Постановления Правительства РФ от 15 сентября 2008 г. N 687 не должны применяться для толкования понятия автоматизированной обработки, но при этом продолжают иметь значение для определения содержания понятия обработки, осуществляемой без использования средств автоматизации <1>.

--------------------------------

<1> В литературе высказывается и более радикальное мнение о том, что указанное Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, противоречит в части ключевого определения Федеральному закону и должно быть пересмотрено. См.: Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С. Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" (постатейный) // СПС "КонсультантПлюс" (п. 4 комментария к ст. 3).

 

Понятие распространения персональных данных.

1. В первоначальной редакции Закона о персональных данных понятие распространения персональных данных рассматривалось как обобщающее по отношению к различным видам обработки данных, связанным с их передачей иным лицам: размещению в сети Интернет, предоставлению доступа, передаче определенному лицу и т.п. В настоящее время в качестве обобщающего понятия выступает термин "передача", который включает в себя распространение, предоставление и доступ, как это следует из понятия "обработка персональных данных".

2. Распространение персональных данных означает совершение действий, в результате которых указанные сведения становятся доступными неопределенному кругу лиц. Распространение имеет место, в частности, при публикации таких данных в средствах массовой информации или в социальных сетях (при отсутствии ограничений в отношении того, кто может видеть размещенную информацию). О распространении можно говорить при размещении персональных данных в сети Интернет при отсутствии специального режима доступа к таким данным (например, по паролю). При этом является открытым вопрос о влиянии процедуры упрощенной регистрации для получения доступа к содержимому сайта на возможность квалификации размещаемой на нем информации как доступной неопределенному кругу лиц (см. комментарий к понятию "Персональные данные, разрешенные субъектом персональных данных для распространения").

Под распространение подпадают и случаи утечек персональных данных, в результате которых они становятся доступными в сети Интернет или ее отдельных сегментах вроде DarkNet, представляющей собой скрытую сеть, соединения которой устанавливаются с использованием нестандартных протоколов и портов. Как отмечается, в настоящее время основными площадками для продажи личной информации являются форумы в даркнете и Telegram-каналы <1>. Действия лиц по выкладыванию на такие площадки персональных данных должны рассматриваться как их распространение, поскольку в результате них они становятся доступными неопределенному кругу лиц. Последующий "пробив" данных о гражданине на основе запроса конкретного лица должен уже квалифицироваться как предоставление персональных данных.

--------------------------------

<1> DarkNet предлагает "цифровые профили". 6 ноября 2020 г. URL: https://rspectr.com/articles/712/darknet-predlagaet-cifrovye-profili.

 

Перепост информации в социальных сетях, равно как и проставление "лайка", которое влечет появление данного материала в ленте "друзей" пользователя, также может быть квалифицирован в качестве распространения, за исключением случаев, когда настройки приватности ограничивают доступ к информации такого пользователя определенным кругом лиц ("друзей"). В последнем случае при совершении перепостов и "лайков" корректнее говорить о предоставлении персональных данных (см. далее).

3. Правовой режим распространения персональных данных практически идентичен режиму предоставления данных, поскольку в большинстве специальных норм Закона о персональных данных они обычно упоминаются совместно (см., например, ст. 7, ч. 1, 10, 11 ст. 19, п. 2 и 3 ч. 2 ст. 22). Однако в одном случае речь идет исключительно о распространении - применительно к обработке персональных данных участников религиозной организации без согласия субъекта (см. комментарий к п. 5 ч. 2 ст. 10 Закона).

Понятие предоставления персональных данных.

1. Предоставление персональных данных является частным случаем передачи персональных данных и означает действия по раскрытию таких данных определенному лицу или определенному кругу лиц. Частным случаем предоставления персональных данных является их передача по запросу уполномоченного государственного органа. В таких случаях имеет место обработка таких данных, которая может осуществляться без согласия субъекта (п. 2 ч. 1 ст. 6 Закона о персональных данных).

2. В некоторых случаях в качестве синонима понятию "предоставление персональных данных" Закон использует термин "раскрытие третьим лицам" (ст. 7, п. 3 ч. 2 ст. 22 Закона о персональных данных). По-видимому, это следует объяснить недочетами юридической техники Закона, в котором фрагментарно уцелели "остатки" старой терминологии после поправок 2011 г.

3. В отношении персональных данных, которые одновременно выступают объектом иного режима охраняемой законом тайны, правовые акты, регулирующие такие виды тайн, также используют термин "предоставление", правда, без его дефиниции. В частности, согласно ст. 13 Федерального закона от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (далее - Закон об охране здоровья) не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных ч. 3 и 4 настоящей статьи. При этом ч. 4 говорит уже о "предоставлении сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя". Представляется, что понятие "предоставление", указанное в данной норме, должно толковаться в том же значении, что и в Законе о персональных данных, и охватывать только случаи передачи сведений, составляющих врачебную тайну, только конкретным лицам, исключая возможность предоставления к ним доступа неопределенному кругу лиц.

Понятие блокирования персональных данных.

1. Блокирование персональных данных выступает одним из способов обработки персональных данных и в самом общем виде представляет собой намеренное создание невозможности доступа и использования таких данных при одновременном обеспечении их сохранности. Последний признак отличает их от уничтожения, которое предполагает необратимое прекращение существования таких данных.

2. Блокирование персональных данных представляет собой временную меру, предпринимаемую либо на период проверки наличия или отсутствия оснований для уничтожения таких данных в связи с возможной неправомерностью их обработки (см. комментарий к ст. 21 Закона), либо на период, необходимый для уточнения обрабатываемых данных по запросу субъекта персональных данных. Именно поэтому дефиниция "блокирования" персональных данных, приведенная в Законе, предусматривает исключение из общего принципа недоступности заблокированных данных для обработки в отношении единственного способа обработки - уточнения персональных данных.

Понятие уничтожения персональных данных.

1. Под уничтожением персональных данных комментируемая статья понимает необратимое прекращение существования персональных данных, которое может принимать форму (1) уничтожения носителя таких данных либо (2) необратимого уничтожения данных с носителя без ликвидации самого носителя. Последняя форма актуальна для цифровых данных, где носитель может быть использован многократно. В данном случае уничтожение данных должно осуществляться по определенным алгоритмам, чтобы предотвратить возможность их восстановления с использованием специального программного обеспечения. Алгоритмы уничтожения информации стандартизированы, во многих государствах изданы национальные стандарты, нормы и правила, регламентирующие использование программных средств для уничтожения информации и описывающие механизмы его реализации. В России к числу таких документов можно отнести руководящий документ Государственной технической комиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" от 30 марта 1992 г. <1>, предусматривающий ряд требований к механизму уничтожения информации для систем определенных классов защищенности. В частности, для классов 3А и 2А "очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов)", для класса 1Г предусмотрена однократная перезапись.

--------------------------------

<1> https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/384-rukovodyashchij-dokument-reshenie-predsedatelya-gostekhkomissii-rossii-ot-30-marta-1992-g

 

2. Согласно разъяснениям Роскомнадзора порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией (либо иным должностным лицом), созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором <1>. Данный порядок является вполне универсальным и применим к уничтожению персональных данных, обрабатываемых как с использованием средств автоматизации, так и без таковых.

--------------------------------

<1> См.: Информация Роскомнадзора "Ответы на вопросы в сфере защиты прав субъектов персональных данных" // СПС "КонсультантПлюс".

 

3. На момент подготовки настоящего издания комментария Государственной Думой РФ был принят в первом чтении законопроект, который помимо прочего предусматривает обязанность оператора применять для уничтожения персональных данных средства защиты информации, в составе которых реализована функция уничтожения информации, прошедшие в установленном порядке процедуру оценки соответствия, проведенную ФСБ РФ или ФСТЭК РФ <1>. В случае принятия данного положения стандартный порядок уничтожения персональных данных, обрабатываемых с использованием средств автоматизации, может измениться. На смену фиксации факта уничтожения таких данных актом либо в специальном журнале придет возможность доказывать его сведениями, генерируемыми соответствующим средством защиты информации.

--------------------------------

<1> См.: Законопроект N 992331-7 "О внесении изменений в Федеральный закон "О персональных данных" (в части уточнения порядка обработки персональных данных)". URL: https://sozd.duma.gov.ru/bill/992331-7.

 

Следует отметить, что требование об использовании для уничтожения персональных данных технических средств, прошедших оценку соответствия, уже находит свое отражение в законодательстве РФ. Так, в соответствии с ч. 6 ст. 4 Федерального закона от 24 апреля 2020 г. N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" <1> (далее - Закон о проведении эксперимента в области ИИ) "в случае утраты статуса участника экспериментального правового режима или прекращения эксперимента в связи с истечением срока его проведения лицо, являвшееся участником экспериментального правового режима, утрачивает право на получение персональных данных, полученных в результате обезличивания, а хранящиеся у такого лица персональные данные, полученные в результате обезличивания, подлежат уничтожению... Для уничтожения персональных данных, полученных в результате обезличивания, применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации".

--------------------------------

<1> См.: СПС "КонсультантПлюс".

 

Понятие обезличивания персональных данных.

1. Под обезличиванием персональных данных понимается один из способов обработки персональных данных, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обезличивание персональных данных является одной из мер, направленных на минимизацию рисков причинения вреда гражданам в случае утечки их персональных данных из информационных систем <1>. Обезличивание персональных данных выполняет важную социальную функцию, обеспечивая автономию личности человека и его недосягаемость для тех, кто не согласен с высказанными лицом мнениями либо является потенциально враждебным к тем чертам, которые у него присутствуют (наличие определенных заболеваний, происхождения, убеждений и т.д.) <2>.

--------------------------------

<1> См. подп. "з" п. 1 Постановления Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

<2> См.: Nissenbaum H. The Meaning of Anonymity in an Information Age // The Information Society No. 15:2. 1999. P. 142.

 

2. В настоящее время требования и методы по обезличиванию персональных данных утверждены Приказом Роскомнадзора <1>. Сфера применения данного Приказа формально ограничена государственными и муниципальными органами, однако de facto может применяться в качестве ориентира и иными операторами за неимением иных источников, например, в отношении конкурсных управляющих (Постановление Девятого арбитражного апелляционного суда от 28 сентября 2020 г. по делу N А40-79738/2018). Среди методов обезличивания данный Приказ упоминает следующие:

1) метод введения идентификаторов (замена части сведений, составляющих персональные данные, идентификаторами с созданием таблицы соответствия таких идентификаторов исходным данным);

2) метод изменения состава или семантики (обобщение, изменение значений атрибутов персональных данных или удаление части сведений, позволяющих идентифицировать субъекта);

3) метод декомпозиции (разделение массива персональных данных на несколько составляющих частей с последующим их раздельным хранением);

4) метод перемешивания (перестановка отдельных значений атрибутов персональных данных в массиве).

--------------------------------

<1> См.: Приказ Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (вместе с "Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ").

 

Конкретный метод выбирается оператором в зависимости от целей и задач обработки персональных данных, с учетом того, что обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.

Следует отметить, что на момент подготовки настоящего издания комментария был принят в первом чтении законопроект, который прямо наделяет Роскомнадзор полномочиями по определению требований и методов обезличивания персональных данных <1>. При этом рабочей группой на базе Управления Роскомнадзора по ЦФО был подготовлен проект нового приказа, содержащего методологии обезличивания. Помимо уже существующих четырех методологий, указанных выше, в него были добавлены такие методы обезличивания, как добавление шума, методы k-анонимности, l-разнообразия, токенизации, многие из которых уже предусмотрены в зарубежной практике.

--------------------------------

<1> См.: Законопроект N 992331-7 "О внесении изменений в Федеральный закон "О персональных данных" (в части уточнения порядка, обработки персональных данных)".

 

3. Шифрование не является признаваемым Роскомнадзором способом обезличивания персональных данных, поскольку рассматривается Роскомнадзором, ФСБ и ФСТЭК как средство защиты информации. Вместе с тем шифрование может использоваться в качестве средства создания идентификатора при реализации метода введения идентификаторов. Такая ситуация может возникнуть при частичном использовании шифрования, например, для замены Ф.И.О. лица на результат применения хеш-функции к ним при сохранении иных данных в незашифрованном виде.

4. Одним из наиболее важных вопросов, возникающих при применении законодательства о персональных данных, является следующий: относятся ли обезличенные данные к категории персональных данных или представляют собой особый вид данных, на который не распространяется режим персональных данных? Закон о персональных данных не дает прямого ответа на данный вопрос. Систематический анализ положений, содержащихся в Приказе Роскомнадзора, позволяет сделать вывод о том, что обезличивание персональных данных выводит их за рамки действия Закона о персональных данных. Это следует из приведенного в указанном документе понятия "деобезличивание", определенного как "действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных, то есть становятся персональными данными" (курсив мой. - А.С.). В отечественной судебной практике также встречается немало споров, где суды соглашались с тем, что обезличенные данные не являются персональными (см., например: Решение Верховного Суда РФ от 26 января 2011 г. N ГКПИ10-1510; Постановление Девятого арбитражного апелляционного суда от 12 марта 2008 г. по делу N А40-33797/07-47-306; Решение Арбитражного суда Удмуртской Республики от 25 сентября 2013 г. по делу N А71-6910/2013).

Вместе с тем в судебной практике существует и иной подход. Ранее уже приводились примеры споров, в которых информация, не позволяющая однозначно идентифицировать лицо, признавалась персональными данными. Представляется, что данный подход более соответствует букве и духу положений Закона о персональных данных. Во-первых, само понятие обезличивания предполагает приведение информации к тому состоянию, которое характеризует возможность косвенной идентификации лица посредством привлечения дополнительной информации. Во-вторых, одна из немногих статей, посвященных особенностям обезличенных данных, касается случаев обработки персональных данных без согласия субъекта (п. 7 ч. 1 ст. 6 Закона): "обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных". При этом данное положение использует формулировку "хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных", тем самым намекая на возможность существования персональных данных в форме, не позволяющей определить субъекта персональных данных. Иными словами, Закон сам говорит о том, что обработка обезличенных данных является обработкой персональных данных. Наконец, в-третьих, такой подход соответствует европейскому, согласно которому если обезличенные данные являются обратимыми, то есть могут быть возвращены к исходному состоянию, то они относятся к категории информации, которая может косвенно определить лицо, а следовательно, являются персональными данными <1>.

--------------------------------

<1> См.: Opinion 4/2007 on the Concept of Personal Data. WP 136, 20 June 2007. Article 29 Data Protection Working Party. P. 18.

 

5. В зарубежной литературе подчеркивается, что в эпоху "больших данных" информация либо может представлять ценность для обработки, либо может быть анонимной, но одновременно и тем и другим она не может быть никогда <1>. Чем больше степень обезличивания данных, тем меньше ценность таких данных для анализа. Таким образом, в новых технологических реалиях обезличивание данных уже не может выполнять функцию эффективного средства защиты персональных данных и в более глобальном смысле - частной жизни граждан. Рост производительности и доступности вычислительных мощностей, а также огромный массив доступной в сети Интернет личной информации обусловливают техническую возможность деанонимизации даже тщательно обезличенных данных, имеется в виду, что любые обезличенные данные всегда имеют какой-либо атрибут, относимый к личности.

--------------------------------

<1> См.: Ohm P. Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization // UCLA Law Review. N 57. 2010. P. 1704.

 

В этой связи новое европейское законодательство пошло по пути дифференциации понятий псевдонимизации данных и анонимизированных данных. Псевдонимизация представляет собой способ обработки персональных данных, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных, при условии, что такая дополнительная информация хранится отдельно и в отношении нее предпринимаются организационные и технические меры, обеспечивающие ее неиспользование для соотнесения с определенным или определяемым лицом (ст. 4(5) GDPR). Анонимизированные данные предполагают такую степень обезличенности данных, которая более не может быть отнесена к определенному или определяемому лицу. Такие данные не являются персональными и не подпадают под действие законодательства о персональных данных. При разграничении указанных понятий принимается во внимание наличие возможности осуществления их деобезличивания разумными средствами оператором или иным лицом. При этом принимаются во внимание материальные и  затраты, которые оператор должен понести для этого, уровень развития технологий на момент совершения процесса обработки (п. 26 Преамбулы GDPR). Таким образом, обезличенные (псевдонимизированные - в терминологии GDPR) данные по новому европейскому законодательству, по общему правилу, рассматриваются в качестве персональных данных, а сами действия по обезличиванию - как одно из средств защиты персональных данных, при обработке которых в некоторых случаях действуют некоторые послабления <1>.

--------------------------------

<1> См. п. 26 Преамбулы к GDPR; The EU General Data Protection Regulation (GDPR): A Commentary / ed. by Christopher Kuner, Lee Bygrave and Christopher Docksey. Oxford University Press, 2020. P. 134.

 

Аналогичный подход к анонимизированным данным находит свое отражение и в тексте Модернизированной Конвенции N 108, и в сопроводительных документах к ней. В пояснительном протоколе к ней указано, что "данные рассматриваются в качестве анонимных только в той мере, в какой невозможно реидентифицировать субъекта персональных данных, или если такая реидентификация потребует неразумного количества времени, усилий или ресурсов, принимая во внимание технологии, доступные на момент обработки, и само развитие технологий. Данные, которые выглядят как анонимные, поскольку не сопровождаются очевидными идентифицирующими субъекта элементами, могут в определенных случаях тем не менее допускать идентификацию индивида (не требуя неразумного количества времени, усилий или ресурсов). Это справедливо, например, для случаев, когда оператор или иное лицо имеет возможность определить лицо посредством комбинирования различных типов данных... В таких случаях данные не могут рассматриваться как анонимные и должны охватываться положениями Конвенции" <1>.

--------------------------------

<1> См.: Explanatory Report to the Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data. Strasbourg, 2018, § 19.

 

Иными словами, анонимизация персональных данных представляет собой действия, в результате которых становится технологически или практически невозможно определить принадлежность данных субъекту персональных данных, в том числе в связи с необходимостью несения оператором чрезмерных  и финансовых затрат для определения такой принадлежности.

В рамках реализации программы "Цифровая экономика" неоднократно предлагалось ввести в российское законодательство понятие анонимизированных данных, которое не нашло поддержки в государственных органах и в итоге не было отражено в подготовленных законопроектах. Остается выразить надежду, что к данному вопросу еще вернутся, поскольку разграничение обезличенных данных и анонимизированных данных является своего рода лучшей практикой, нашедшей свое отражение в идеологии Модернизированной конвенции, которую Российская Федерация подписала со своей стороны. В перспективе в качестве анонимизированных данных можно было бы представить результаты анализа персональных данных в виде высокоуровневой статистики, в частности данные, касающиеся коллективных настроений в определенной группе или сфере; большие массивы геолокационных данных. Уже сейчас можно встретить отдельные судебные решения, где статистическая информация не признается персональными данными, например информация о количестве зарегистрированных жителей в почтовых адресах в цифровом значении, поскольку это не "конкретная информация, прямо или косвенно относящаяся к какому-либо конкретному лицу" (Апелляционное определение Московского областного суда от 12 октября 2016 г. по делу N 33а-25712/2016). Однако такие решения носят единичный характер, в связи с чем наличие специальной нормы в этой части могло бы способствовать облегчению доказывания факта неподпадания соответствующей информации под понятие персональных данных.

Понятия информационной системы персональных данных и базы данных.

1. Понятие информационной системы персональных данных по сути является воспроизведением понятия информационной системы, которое содержится в Законе об информации, с одним уточнением - указанием на особый характер обрабатываемой в ней информации в виде персональных данных. Согласно п. 3 ст. 2 Закона об информации под информационной системой понимается совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Таким образом, информационная система персональных данных имеет место только при автоматизированной обработке, в отличие от прежней дефиниции данного понятия, которое охватывало и обработку данных без использования средств автоматизации.

2. База данных является лишь одним из элементов информационной системы наряду с техническими средствами и иными информационными технологиями, используемыми при обработке. Данное разграничение особенно важно применительно к требованиям локализации отдельных процессов обработки персональных данных (ч. 5 ст. 18 Закона о персональных данных), которые предусматривают обязанность нахождения на территории РФ именно базы данных, а не всей информационной системы персональных данных. Понятие "информационная система персональных данных" используется для обслуживания вопросов, связанных с информационной безопасностью, при формулировании организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и уровней защищенности таких данных (см. ст. 19 и комментарий к ней).

3. Ни Закон о персональных данных, ни Закон об информации не содержат определения базы данных, в связи с чем можно обратиться к дефиниции базы данных, используемой в гражданском законодательстве. В соответствии с п. 2 ст. 1260 ГК РФ базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ). Следует отметить, что отдельные представители Роскомнадзора дают более широкое толкование понятия "база данных", понимая под ней "упорядоченный массив данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных)". Так, например, базой данных, по их мнению, "можно считать таблицу в форматах Excel или Word, в которой содержатся персональные данные граждан" <1>. Данный подход объясняется авторами комментария тем, что "в законодательстве Российской Федерации существует много понятий баз данных, тем не менее все они сводятся к одному общему значению, которое и приведено выше". Если оставить в стороне весьма спорное заявление о наличии множества понятий баз данных в российском законодательстве, привлекает внимание тот факт, что предлагаемое представителями Роскомнадзора понятие "база данных" дословно совпадает с дефиницией, которая содержится в Модельном законе СНГ "О персональных данных" 1999 г. <2>. Данный документ хотя и можно рассматривать в качестве авторитетного источника, но формально он не имеет юридической силы и не может выступать в качестве акта, регулирующего "в рамках СНГ международные отношения в сфере защиты прав субъектов персональных данных" <3>.

--------------------------------

<1> См.: Комментарий к Федеральному закону от 21 июля 2014 г. N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях". С. 10.

<2> Принят в г. Санкт-Петербурге на 14-м пленарном заседании Межпарламентской ассамблеи государств - участников СНГ Постановлением от 16 октября 1999 г. N 14-19 (СПС "КонсультантПлюс").

<3> Иная позиция высказана в комментарии представителей Роскомнадзора. См.: Федеральный закон "О персональных данных": научно-практический комментарий / под ред. А.А. Приезжевой. С. 25.

 

Понятие трансграничной передачи персональных данных.

1. Трансграничная передача персональных данных представляет собой отдельный вид обработки таких данных, заключающийся в передаче их "на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу". Ранее содержавшееся в указанной дефиниции указание на пересечение Государственной границы РФ было удалено как не соответствующее реалиям информационных процессов, происходящих в сети Интернет, которые в силу своего трансграничного, децентрализованного и виртуального характера не позволяют четко обозначить географические границы определенной деятельности. В европейском законодательстве используется несколько иное, чуть более широкое понимание трансграничной передачи данных - как действий по передаче данных на территорию третьих стран (не являющихся членами Европейского союза) или международных организаций (ст. 45(1) GDPR). При этом национальная принадлежность получателя таких данных в третьей стране не имеет значения.

2. Квалифицирующими признаками трансграничной передачи персональных данных по российскому праву являются: 1) факт попадания персональных данных на территорию иностранного государства, 2) под контроль иностранного лица и 3) в результате целенаправленной деятельности оператора.

Указанные признаки позволяют выделить основной критерий трансграничной передачи данных: результатом такой передачи является подпадание персональных данных под юрисдикцию другого государства с одновременным выбытием из-под юрисдикции Российской Федерации. Таким образом, если оператор - российское юридическое лицо передает персональные данные в свое представительство, находящееся за рубежом, то трансграничной передачи нет, поскольку данные не передаются иностранному лицу, а передаются самому себе (отсутствует признак 2). По этой же причине не будет трансграничной передачи данных в ситуациях, когда сотрудник организации едет в зарубежную командировку с ноутбуком, на котором записаны персональные данные иных лиц.

Нельзя говорить о трансграничной передаче персональных данных и в тех случаях, когда данные остаются на территории Российской Федерации, хотя и попадают к иностранному лицу, которое находится на его территории (отсутствие признака 1).

Размещение персональных данных на интернет-сайте, хостинг которого осуществляется в России, но доступном на территории всего мира, само по себе не является трансграничной передачей данных. В данном случае инициатором передачи информации будет являться не владелец интернет-сайта, а пользователь, который сам приходит на данный ресурс и тем самым инициирует процесс передачи ему соответствующих данных (отсутствие признака 3).

Осуществляемый вследствие алгоритмов протокола TCP/IP "транзит" данных через территорию третьих стран при передаче данных в сети Интернет также не является их трансграничной передачей. Иной подход вступал бы в противоречие с архитектурой сети Интернет и информационных процессов, происходящих в ней, превращая нормы о трансграничной передаче данных в неисполнимые на практике. Подробнее о порядке осуществления трансграничной передачи данных см. комментарий к ст. 12 Закона.

 

Статья 4. Законодательство Российской Федерации в области персональных данных

 

Комментарий к статье 4

 

1. Законодательство о персональных данных является сравнительно молодым, но динамично развивающимся. Первый закон о персональных данных появился в 1970 г. в земле Гессе (Hessisches Datenschutzgesetz), Германия. В 1973 г. соответствующие нормы принимаются в Швеции (Datalagen), в 1977 г. - в Германии (Bundesdatenschutzgesetz), в 1978 г. - во Франции (Loi informatique et ), а впоследствии и в иных европейских странах. В США соответствующие законодательные нормы также начали появляться в 70-е годы прошлого века, к их числу следует отнести Закон о справедливых кредитных историях (Fair Credit Reporting Act 1970) и Закон о защите частной жизни (Privacy Act of 1974), который регламентировал обработку персональных данных граждан федеральными органами власти.

Первые упоминания о персональных данных в российском законодательстве появились в Федеральном законе от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" <1>. Однако детальное регулирование появилось лишь с принятием в 2006 г. Закона о персональных данных, который не только основан на положениях Конвенции 1981 г., ратифицированной Россией в 2005 г., но и заимствовал многие нормы Директивы 1995 г. (особенно в массивном пакете поправок, принятых в 2011 г.). В этой связи европейский подход к толкованию ее положений представляет собой непосредственный интерес для российской практики, позволяя не только не изобретать велосипед, но и взвешенно подходить к решению достаточно сложных проблем, возникающих при применении весьма специфического по своей сути законодательства.

--------------------------------

<1> См.: СПС "КонсультантПлюс".

 

2. Как следует из части первой комментируемой статьи, регулирование отношений, связанных с обработкой персональных данных, осуществляется исключительно на уровне нормативных правовых актов федерального уровня. Субъекты Российской Федерации не могут принимать нормативные правовые акты в указанной сфере. Это обусловлено направленностью законодательства о персональных данных на защиту конституционного права на неприкосновенность частной жизни, личную и семейную тайну, а также иных прав и свобод, связанных с обработкой персональных данных. При этом в соответствии с п. "в" ст. 71 Конституции РФ регулирование прав и свобод человека и гражданина как одних из высших демократических ценностей отнесено к исключительному ведению Российской Федерации.

3. Закон о персональных данных является базовым законодательным актом, регулирующим отношения, связанные с обработкой персональных данных, и определяет принципы, условия и правила обработки персональных данных (Определение Конституционного Суда РФ от 17 июля 2012 г. N 1346-О). Иные федеральные законы могут конкретизировать случаи и особенности обработки отдельных категорий персональных данных, но не могут устанавливать иные принципы обработки персональных данных или дефиниции ключевых терминов. В качестве примера такого федерального закона можно привести Трудовой кодекс РФ, который содержит специальную гл. 14, посвященную особенностям защиты персональных данных работников. Другим примером подобного акта является Федеральный закон от 7 июня 2013 г. N 108-ФЗ "О подготовке и проведении в Российской Федерации чемпионата мира по футболу FIFA 2018 года, Кубка конфедераций FIFA 2017 года и внесении изменений в отдельные законодательные акты Российской Федерации" <1>, который содержит специальную ст. 23.1, посвященную особенностям обработки персональных данных граждан Российской Федерации в процессе подготовки и проведения указанных мероприятий.

--------------------------------

<1> См.: СПС "КонсультантПлюс".

 

4. Отнесение законодательства в области персональных данных к сфере ведения федерального законодателя не означает невозможности существования нормативных правовых актов иных уровней. Органы государственной власти РФ, субъектов РФ, органы местного самоуправления и Центральный банк России (который формально не является государственным органом и имеет особый статус) наделены правом принимать нормативные правовые акты в указанной сфере при одновременном соблюдении следующих условий, указанных в ч. 2 комментируемой статьи:

1) такая возможность должна быть прямо предусмотрена в федеральном законе;

2) указанные акты должны быть приняты в пределах своих полномочий;

3) указанные акты не могут содержать положения, ограничивающие права субъектов персональных данных, или устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов, или возлагающие на операторов не предусмотренные федеральными законами обязанности;

4) такие акты подлежат обязательному опубликованию, что исключает возможность использования правовых актов с грифом "Для служебного пользования" для регулирования прав и обязанностей лиц, которые не имеют к ним доступа <1>.

--------------------------------

<1> К сожалению, такие ситуации иногда имеют место на практике. Например, при регулировании вопросов обязательной сертификации средств защиты информации в информационных системах персональных данных, когда государственные органы аргументируют свою позицию ссылкой на Постановление Правительства РФ от 15 мая 2010 г. N 330 с грифом "Для служебного пользования". См. подробнее: Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. М., 2014. С. 514 - 515.

 

В основном такого рода подзаконные акты касаются вопросов обеспечения информационной безопасности информационных систем (см. комментарий к ст. 19 Закона), порядка проведения контрольно-надзорных мероприятий (см. комментарий к ст. 23 Закона), особенностей обработки персональных данных в отдельных государственных органах.

5. Среди важных документов, формально не являющихся нормативными правовыми актами, но оказывающих немалое влияние на правоприменительную практику в сфере законодательства о персональных данных, следует отметить разъяснения Минцифры России, которое является федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных, и уполномочено на дачу разъяснений по данным вопросам <1>. Кроме них также следует упомянуть комментарии и информацию Роскомнадзора, которые хотя и не являются официальными актами толкования законодательства, выражая "личное мнение должностного лица" (Апелляционное определение Нижегородского областного суда от 30 октября 2018 г. по делу N 33-12858/2018), но могут оказывать существенное влияние на практику в силу убедительности содержащихся в них аргументов либо в силу статуса лица, которое их предоставило.

--------------------------------

<1> См. п. 1 и 6.6 Положения "О Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации", утв. Постановлением Правительства РФ от 2 июня 2008 г. N 418 "О Министерстве связи и массовых коммуникаций Российской Федерации" (в ред. от 11 марта 2021 г.).

 

6. Согласно ч. 3 комментируемой статьи порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами РФ. В настоящее время таким актом является Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15 сентября 2008 г. N 687. О понятии обработки персональных данных без использования средств автоматизации см. комментарий к ст. 1 Закона. Ключевые особенности такой обработки можно свести к следующему:

1) персональные данные при такой обработке должны быть обособлены от иной информации, в частности путем фиксации их на отдельных материальных носителях, при этом для разных категорий персональных данных должны использоваться разные носители;

2) обработка должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения материальных носителей персональных данных и установить перечень лиц, осуществляющих их обработку либо имеющих к ним доступ;

3) работники и привлеченные на основании гражданско-правовых договоров лица, осуществляющие такую обработку, должны быть проинформированы об этом, а также об особенностях и правилах такой обработки;

4) используемые типовые формы документов, в которых фигурируют персональные данные, должны соответствовать определенным требованиям (содержать информацию, состав которой по сути совпадает с перечнем ч. 4 ст. 9 Закона о персональных данных и необходим для дачи субъектом информированного согласия на обработку данных; место для подписи и пр.);

5) порядок ведения журналов, содержащих персональные данные, необходимых для однократного пропуска субъекта персональных данных на территорию оператора, должен предусматриваться локальным актом, сведения таких журналов не могут копироваться.

7. Часть 4 комментируемой статьи воспроизводит конституционное положение о приоритете положений международных соглашений перед федеральным законом. К важнейшим международным договорам, имеющим отношение к защите персональных данных, следует отнести Международный пакт от 16 декабря 1966 г. "О гражданских и политических правах" <1>, ст. 17 которого предусматривает, что "никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам на его честь и репутацию". Кроме того, следует отметить положения ст. 8 Конвенции о защите прав человека и основных свобод 1950 г., согласно которой "каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции". Данные положения, несмотря на их схожесть, имеют несколько разные акценты: в первом случае акцент делается на недопустимости вмешательства в частную жизнь и обеспечении конфиденциальности таких данных <2>, во втором - на уважении частной жизни, что дает основания для более широкого толкования данного права. Это достаточно очевидно следует из практики ЕСПЧ, решения которого являются обязательными для Российской Федерации, если она являлась стороной такого спора (с учетом положений, указанных в ч. 5 комментируемой статьи, см. далее).

--------------------------------

<1> См.: СПС "КонсультантПлюс".

<2> См.: General Comment 16 issued 23 March 1988 (UN Doc A/43/40, 181 - 183).

 

Существует ряд решений ЕСПЧ, касающихся персональных данных, в которых Российская Федерация фигурировала в качестве ответчика и жалобы заявителей на нарушение их права на уважение личной жизни были признаны обоснованными. К их числу можно отнести, в частности, Постановление ЕСПЧ от 6 июня 2013 г. по делу "Авилкин и другие против Российской Федерации" (жалоба N 1585/09), в котором рассматривалась жалоба на действия лечебных учреждений по передаче прокуратуре некоторых сведений о своих пациентах без их согласия, что было обусловлено их религиозными убеждениями. Другим примером является Постановление ЕСПЧ от 23 февраля 2016 г. по делу "Y.Y. против Российской Федерации" (жалоба N 40378/06), в котором рассматривалась жалоба по поводу раскрытия лечебным учреждением медицинской информации о заявительнице и ее детях при отсутствии ее согласия для целей проведения проверочных мероприятий. Достаточно резонансным является и Постановление ЕСПЧ от 4 декабря 2015 г. по делу "Роман Захаров (Roman Zakharov) против Российской Федерации" (жалоба N 47143/06). В данном случае жалоба касалась нарушения права на уважение личной жизни и переписки организацией системы тайного прослушивания мобильной телефонной связи (СОРМ) и отсутствия эффективных средств правовой защиты. ЕСПЧ признал данную жалобу обоснованной, отметив, помимо прочего, что законодательство РФ в указанной части оставляет властям почти неограниченную дискрецию для определения того, какие события или действия представляют собой подобную угрозу и является ли угроза достаточно серьезной, чтобы оправдать скрытое наблюдение, тем самым создавая возможности для произвола (§ 248). О практике ЕСПЧ по вопросам защиты неприкосновенности частной жизни см. также комментарий к ст. 2.

В российской судебной практике встречаются споры, касающиеся персональных данных, в которых суд при обосновании своей позиции ссылается на решения и правовые позиции ЕСПЧ. В частности, такого рода ссылки являлись основанием для признания судом приоритета норм о неприкосновенности частной жизни перед нормами о свободе слова при публикации на интернет-сайтах негативных отзывов о профессиональной деятельности работника (Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 12 ноября 2019 г. N 14-КГ19-15, 2-2794/18).

Основным международным договором РФ в сфере персональных данных является Конвенция 1981 г. Данный документ закрепил фундаментальные принципы обработки персональных данных, которые были имплементированы в Закон о персональных данных. Следует отметить, что положения Конвенции не создают непосредственно прав и обязанностей для участников отношений, связанных с обработкой персональных данных, а создают обязательства для государства по их имплементации в национальное право (ст. 4(1)). Как следствие, положения данной Конвенции не действуют в России непосредственно <1>. Кроме того, важно подчеркнуть, что Конвенция 1981 г. допускает возможность присоединяющейся стороны сделать заявление об отдельных изъятиях в сфере ее применения. Российская Федерация воспользовалась этим положением, заявив, что не будет применять Конвенцию к персональным данным, обрабатываемым физическими лицами исключительно для личных и семейных нужд, а также к данным, отнесенным к государственной тайне. Кроме того, Российская Федерация прямо указала на то, что оставляет за собой возможность устанавливать ограничения прав субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка <2>.

--------------------------------

<1> См. ч. 3 ст. 5 Федерального закона от 15 июля 1995 г. N 101-ФЗ "О международных договорах Российской Федерации": "Положения официально опубликованных международных договоров Российской Федерации, не требующие издания внутригосударственных актов для применения, действуют в Российской Федерации непосредственно (СПС "КонсультантПлюс"). Для осуществления иных положений международных договоров Российской Федерации принимаются соответствующие правовые акты".

<2> См.: Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".

 

8. Примат положений международного договора действует лишь в отношении федеральных законов, но не в отношении Конституции РФ. В Постановлении от 14 июля 2015 г. N 21-П Конституционный Суд РФ допустил неисполнение постановлений Европейского суда в ситуациях, когда "самим содержанием постановления Европейского суда... неправомерно - с конституционно-правовой точки зрения - затрагиваются принципы и нормы Конституции Российской Федерации", причем "такое отступление является единственно возможным способом избежать нарушения основополагающих принципов и норм Конституции Российской Федерации". Данная позиция впоследствии получила свое развитие и в иных постановлениях, где Суд еще раз указал, что исполнение решений ЕСПЧ не является обязательным, если такое исполнение будет вступать в противоречие с положениями Конституции РФ, обладающей верховенством и высшей юридической силой в российской правовой системе (Постановление Конституционного Суда РФ от 19 апреля 2016 г. N 12-П). Свое логическое завершение и отражение данная позиция нашла в положениях ч. 5 комментируемой статьи, которая была включена в Закон о персональных данных в связи со вступлением в силу Закона РФ о поправке к Конституции Российской Федерации от 14 марта 2020 г. N 1-ФКЗ "О совершенствовании регулирования отдельных вопросов организации и функционирования публичной власти" <1>. Статья 79 обновленной Конституции РФ предусматривает, что "решения межгосударственных органов, принятые на основании положений международных договоров Российской Федерации в их истолковании, противоречащем Конституции Российской Федерации, не подлежат исполнению в Российской Федерации".

--------------------------------

<1> См.: СПС "КонсультантПлюс".

 

9. Рассматривая систему источников законодательства в области персональных данных, нельзя не упомянуть акты, которые хотя и не содержат юридически обязательных норм, но de facto оказывают важное влияние на регулирование отношений, связанных с реализацией оператором организационных и технических мер защиты персональных данных. К таким документам относятся национальные стандарты - документ по стандартизации, который разработан участником или участниками работ по стандартизации, по результатам экспертизы в техническом комитете по стандартизации или проектном техническом комитете по стандартизации утвержден федеральным органом исполнительной власти в сфере стандартизации и в котором для всеобщего применения устанавливаются общие характеристики объекта стандартизации, а также правила и общие принципы в отношении объекта стандартизации (п. 5 ст. 2 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации"). К числу стандартов, релевантных к проблематике защиты персональных данных, можно отнести следующие:

- ГОСТ Р 59407-2021 "Базовая архитектура защиты персональных данных" (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 415-ст);

- ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 373-ст);

- ГОСТ Р 51275-2006 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения" (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 374-ст);

- ГОСТ Р 34.10-2012 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи" (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 7 августа 2012 г. N 215-ст);

- ГОСТ Р 34.11-2012 "Информационная технология. Криптографическая защита информации. Функция хеширования" (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 7 августа 2012 г. N 216-ст);

- ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий" (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 г. N 1340-ст);

- ГОСТ Р ИСО/МЭК 27001-2013 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 375-ст);

- ГОСТ Р ИСО/МЭК 27002-2012 "Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности" (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 24 сентября 2012 г. N 423-ст);

- ГОСТ Р ИСО/МЭК 27003-2012 "Информационная технология. Методы и средства обеспечения безопасности. Система менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности" (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 15 ноября 2012 г. N 812-ст);

- ГОСТ Р ИСО/МЭК 27004-2011 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения" (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 681-ст);

- ГОСТ Р ИСО/МЭК 27005-2010 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности" (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. N 632-ст);

- ГОСТ Р ИСО/МЭК 27006-2008 "Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности" (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 524-ст).

Следует отметить, что с 1 июня 2016 г. при осуществлении закупок по Законам N 44-ФЗ и N 223-ФЗ заказчики теперь обязаны при описании объекта закупки использовать документы национальной системы стандартизации, то есть закупать продукцию, соответствующую требованиям стандартов (см. п. 1 ч. 10 ст. 4 Федерального закона от 18 июля 2011 г. N 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц"; п. 2 ч. 1 ст. 33 Федерального закона от 5 апреля 2013 г. N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд"). Соответственно, приобретаемые государственными заказчиками оборудование, программное обеспечение, работы и услуги, связанные с защитой персональных данных, должны соответствовать показателям, требованиям, условным обозначениям и терминологии, указанным в соответствующих стандартах, в противном случае в закупочной документации должно содержаться обоснование необходимости использования других показателей, требований, условных обозначений и терминологии.

10. Европейское законодательство о персональных данных в настоящее время носит двухуровневый характер и представлено в виде GDPR, который, являясь актом унификации европейского законодательства, имеет прямое действие на территории стран Европейской экономической зоны, включающей не только страны Европейского союза, но и Норвегию, Исландию, Лихтенштейн. Однако говорить о полной унификации законодательства об обработке персональных данных в рамках всего Европейского союза даже после вступления в силу GDPR было бы некорректно, поскольку ряд аспектов обработки персональных данных регламентируется либо иными общеевропейскими актами, либо на уровне национального законодательства.

Из таких иных общеевропейских актов следует особо упомянуть Директиву 2002/58/EC от 12 июля 2002 г. (в ред. Директивы 2009/136/EC) об обработке персональных данных и защите информации о частной жизни в сфере электронных коммуникаций <1>, которая содержит дополнительный набор правил, касающихся обработки персональных данных в сфере электронной коммерции (необходимость получения согласия на размещение файлов cookie и иной доступ к устройствам пользователей; получения явного согласия на обработку геолокационных данных пользователей; регулирование сообщений рекламного характера и спама и пр.). Другим общеевропейским актом в области персональных данных является Директива 2016/680 о защите физических лиц при обработке их персональных данных правоохранительными органами <2>, которая пришла на смену Рамочному решению Совета Европы 2008/977/JHA и регулирует вопросы взаимной правовой помощи при расследовании уголовных дел и осуществлении судопроизводства государств - членов ЕС, то есть обмен такими данными между уполномоченными органами государств - членов ЕС.

--------------------------------

<1> См.: Directive 2002/58/EC Concerning the Processing of Personal Data and the Protection of Privacy in the Electronic Communications Sector (E-privacy directive). В перспективе данная директива будет заменена на регламент, текст которого находился на момент подготовки данного издания комментария в процессе обсуждения. См.: Regulation Concerning the respect for Private Life and the Protection of Personal Data in Electronic Communications and Repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications). URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52017PC0010.

<2> См.: Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data by Competent Authorities for the Purposes of Prevention, Investigation, Detection or Prosecution of Criminal Offences or the Execution of Criminal Penalties, and the Free Movement of Such Data and Repealing Council Framework Decision 2008/977/JHA.

 

Поскольку указанные директивы являются, в отличие от регламентов, инструментом гармонизации законодательств государств - членов ЕС и не имеют прямого действия, они предполагают необходимость их имплементации в национальное законодательство. В этой связи при решении конкретных вопросов обработки персональных данных непосредственное применение будут иметь именно положения национальных законов государств - членов ЕС о защите персональных данных <1>.

--------------------------------

<1> С текстами указанных законов на английском языке можно ознакомиться на сайте Уполномоченного по защите персональных данных при Европейской комиссии по ссылке: http://ec.europa.eu/dataprotectionofficer/dpl_transposition_en.htm.

 

GDPR также предусматривает ряд положений, делегирующих на уровень национального законодательства решение определенных вопросов, касающихся обработки персональных данных. Согласно ст. 2(2)(d) из-под сферы действия GDPR выведены процессы обработки персональных данных, осуществляемые уполномоченными органами для целей предотвращения, расследования, обнаружения преступлений, исполнения наказаний, предотвращения угроз национальной безопасности. Данные вопросы продолжают регулироваться национальным законодательством.

11. Говоря об источниках регулирования отношений в области защиты персональных данных, необходимо упомянуть о возрастающей роли саморегулирования в указанной сфере. Особенно ярко это проявляется в положениях ст. 40 и 41 GDPR, касающихся имплементации так называемых кодексов поведения (code of conduct). Такого рода кодексы поведения должны разрабатываться ассоциациями операторов и учитывать особенности обработки персональных данных в соответствующей индустрии, организациях малого и среднего бизнеса. Тексты кодексов одобряются уполномоченными органами по защите персональных данных с учетом мнения EDPB, регистрируются и публикуются в специальном реестре.

Помимо оказания операторам содействия в понимании и применении положений GDPR к их деятельности присоединение оператора к положениям кодекса поведения имеет ряд важных последствий. Во-первых, они выполняют сигнальную функцию, обозначая добросовестность оператора или обработчика и его готовность соблюдать положения законодательства о персональных данных. Это может выступать в качестве конкурентного преимущества или способствовать формированию позитивного имиджа оператора (обработчика). Во-вторых, соответствующие положения кодекса поведения, к которому присоединился оператор (обработчик), становятся для него юридически обязательными, и их несоблюдение может являться основанием для предъявления соответствующих требований со стороны субъектов персональных данных или контрольно-надзорных органов. В-третьих, юридически обязательная природа положений кодекса поведения позволила сделать его одним из оснований для трансграничной передачи данных в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных, если оператор-импортер присоединился к нему. В-четвертых, их наличие и степень соблюдения могут влиять на размер штрафов за нарушение законодательства о персональных данных. Важно отметить, что контроль за соблюдением положений кодекса поведения может осуществлять не только уполномоченный государственный орган, но и аккредитованная им организация, что, по сути, означает частичное делегирование контрольно-надзорных функций за пределы собственно государственных органов. В условиях, когда количество операторов является чрезмерно большим, а ресурсы уполномоченных органов ограничены, данный подход является неизбежным шагом. Кроме того, саморегулирование позволяет осуществлять тонкую настройку регулирования с учетом специфики и нужд конкретной индустрии, в то время как механизмы государственного принуждения всегда являются примером "грубой" силы.

В России появляются первые примеры саморегулирования в этой области. Так, в 2019 г. был принят Кодекс этики использования данных, разработанный Ассоциацией "больших данных" <1>. Кодекс включает в себя принципы профессиональной этики при сборе, обработке и использовании данных, как пользовательских, так и промышленных. Помимо прочего он также предполагает создание и ведение реестра добросовестных участников.

--------------------------------

<1> https://rubda.ru/association_news/kodeks-etiki-ispolzovaniya-dannyh-prinyat-liderami-otrasli/ В числе подписантов указанного кодекса фигурируют такие компании, как: Газпром-медиа холдинг, Яндекс, МегаФон, Тинькофф Банк, Сбербанк, Газпромбанк, oneFactor, Группа QIWI, Mail.ru Group, Группа ВТБ, ВымпелКом, Ростелеком, МТС, а также Аналитический центр при Правительстве РФ.

 

К сожалению, российский Закон о персональных данных не предусматривает возможность принятия кодексов поведения и их правового статуса, поскольку в принципе не предполагает какой-либо возможности для саморегулирования в области защиты персональных данных. В этой связи до внесения изменений в Закон подобного рода кодексы поведения в лучшем случае могут выполнять лишь поясняющую роль. Соблюдение операторами подготовленных ассоциациями или иными объединениями кодексов поведения не может служить аргументом в спорах с Роскомнадзором при осуществлении последним контрольно-надзорной деятельности.

 

Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

Статья 5. Принципы обработки персональных данных

 

Комментарий к статье 5

 

1. Приведенные в данной статье принципы берут свое начало еще из Руководящих принципов ОЭСР и в той или иной мере отражены практически во всех международных документах (ст. 5 Конвенции 1981 г., ст. 5 GDPR), что свидетельствует об их устоявшемся и стабильном характере и возможности их квалификации как ядра законодательства о персональных данных. Данные принципы адресованы операторам, носят универсальный характер и в равной мере применимы к любым персональным данным и их категориям, способам обработки персональных данных, субъектам персональных данных.

2. Принципы, перечисленные в комментируемой статье, являются непосредственно действующими, их несоблюдение может рассматриваться в качестве нарушения законодательства о персональных данных, даже если каких-либо специальных, конкретизирующих их положений при этом не нарушено. Кроме того, принципы обработки персональных данных имеют важное значение, выступая в качестве руководящих ориентиров как при разрешении спорных ситуаций, которые прямо не предусмотрены в законодательстве, так и при разработке новых норм.

3. Принцип осуществления обработки на законной и справедливой основе, указанный в ч. 1 комментируемой статьи, является первоочередным. Все остальные принципы представляют собой его развитие. Законность обработки в широком смысле означает, что оператор должен соблюдать все применимые к такой обработке требования законодательства и не обрабатывать персональные данные в незаконных целях. Законность обработки в узком смысле означает, что должно иметь место одно из оснований для обработки, указанных в Законе, поскольку по общему правилу обработка персональных данных запрещена при отсутствии легитимирующего основания. Таким образом, обработка персональных данных в каждый конкретный момент должна иметь как минимум одно правовое основание.

Справедливость обработки означает необходимость принятия во внимание интересов субъектов персональных данных и их разумных ожиданий, не злоупотребляя предоставленными оператору возможностями. Если законность основания предполагает соблюдение буквы закона, то справедливость - его духа. В качестве возможного нарушения принципа справедливости обработки можно обозначить ситуацию, при которой определенный онлайн-сервис на начальных этапах формулирует достаточно сбалансированную политику обработки персональных данных, а впоследствии по мере роста пользовательской базы и привыкания пользователей к сервису начинает в одностороннем порядке постепенно изменять ее в сторону существенного расширения своих прав по дальнейшему использованию персональных данных пользователей (например, по их продаже третьим лицам для целей агрессивного маркетинга или составления профайлов и т.п.). Если бы пользователи знали о них на момент начала использования сервиса, их решение могло бы быть иным. В данном случае можно говорить о нарушении разумных ожиданий пользователей, существовавших на момент принятия ими решения о начале использования сервиса, и тем самым о нарушении требований справедливости обработки, а также принципа ограничения цели (см. далее).

Другим примером нарушения требований справедливости является изложение оператором условий обработки персональных данных неоднозначным, трудным для восприятия языком с использованием множества специальных терминов <1>.

--------------------------------

<1> См. п. 39 Преамбулы GDPR; The EU General Data Protection Regulation (GDPR): A Commentary / ed. by Christopher Kuner, Lee Bygrave and Christopher Docksey. P. 315.

 

GDPR дополняет принцип обеспечения законности и справедливости обработки также требованием обеспечения ее прозрачности (ст. 5(1)(a)). Представляется, что данный критерий вполне укладывается в рамки требования справедливости, что подтверждается комментариями к данной статье <1>. Хотя подобная конкретизация явно не ухудшила ситуацию, учитывая неопределенный характер понятия "справедливость".

--------------------------------

<1> См.: The EU General Data Protection Regulation (GDPR): A Commentary / ed. by Christopher Kuner, Lee Bygrave and Christopher Docksey. P. 314.

 

4. Принцип ограничения обработки конкретной целью (purpose limitation) имеет своей целью обеспечение прозрачности и предсказуемости процессов обработки персональных данных для их субъекта и обеспечение возможности реализации им своих прав по управлению данными. Его можно условно разбить на три составляющие:

1) цели сбора персональных данных должны быть конкретно определены и доведены до сведения субъекта персональных данных на момент сбора; иными словами, достаточно абстрактно сформулированные цели (вроде "улучшения качества сервиса", "маркетинговые цели") не укладываются в требования данного принципа, равно как и предоставление информации post factum;

2) указанные цели должны быть законными;

3) последующие действия по обработке персональных данных не должны быть несовместимыми с целью обработки, заявленной на момент сбора.

В последнем случае речь идет не о любом формальном или текстуальном различии между заявленной целью первоначальной обработки (первичной обработкой) и последующей обработкой для иной цели (вторичной обработкой), а именно об их несовместимости по существу, наличие которой должно определяться в каждом конкретном случае отдельно. В качестве ориентира можно использовать критерии, выработанные в европейской практике: а) характер взаимосвязи между целями первичной и вторичной обработки; б) контекст ситуации, при которой был осуществлен сбор, и разумные ожидания субъекта в связи с возможным последующим использованием таких данных; в) характер персональных данных и возможные негативные последствия от их последующей обработки (чем чувствительнее данные, тем меньше возможностей по их вторичному использованию); г) предпринятые оператором меры предосторожности, направленные на предотвращение возможных негативных последствий от вторичной обработки (например, обезличивание, шифрование данных, предоставление доступа к данным в режиме "только чтение" и т.п.) <1>. Указанные критерии нашли свое отражение в положениях GDPR (п. 50 Преамбулы, ст. 6(4)).

--------------------------------

<1> См.: Opinion 03/2013 on Purpose Limitation. Article 29 Data Protection Working Party, 2 April 2013.

 

Например, если заявленной целью видеонаблюдения является обеспечение безопасности, а впоследствии запись видеонаблюдения используется для привлечения работника к ответственности за длительное отсутствие на рабочем месте, то налицо несовместимость целей обработки. Аналогичным образом использование сведений из базы данных оператора связи, собранных для биллинга, с целью оказания содействия правообладателям в преследовании нарушителей интеллектуальных прав из числа клиентов данного оператора связи сопряжено с обработкой данных с несовместимыми целями <1>. Или другой пример. Субъект заключает договор с оператором, и последний в рамках исполнения такого договора обрабатывает контактные данные субъекта в объеме, необходимом для надлежащего исполнения договора. Если впоследствии оператор передаст такие данные иному лицу в составе набора данных клиентов такого оператора с целью их аналитики или осуществления получателем набора данных рекламной деятельности в отношении субъектов, то это будет вступать в противоречие с принципом совместимости цели обработки для исполнения заключенного договора с субъектом.

--------------------------------

<1> Данная позиция поддерживается и в европейской практике. См.: Opinion of Advocate General  in Bonnier Audio AB and Others v. Perfect Communication Sweden AB, ECJ, C-461/10, 19 April 2012, § 60.

 

В равной степени несовместимыми с рассматриваемым принципом являются положения политики конфиденциальности или формы согласия субъекта, в которых цели обработки конкретно не обозначены, а используются формулировки вроде "оператор вправе осуществлять обработку персональных данных для любых целей", поскольку в таких случаях требования комментируемой статьи, касающиеся принципов обработки, выполнены быть не могут.

Принцип ограничения обработки конкретной целью вступает в существенные противоречия с идеологией, лежащей в основе использования технологий "больших данных". В ней главный акцент делается на повторном использовании данных, поскольку все без исключения данные приобретают потенциальную ценность. При этом такое повторное использование зачастую предполагает постановку новой цели, отличной от цели первоначального сбора персональных данных <1>. И если применительно к использованию технологий "больших данных" для научно-исследовательских и статистических целей можно в ряде случаев полагаться на специальное основание для обработки персональных данных при отсутствии согласия субъекта (п. 9 ч. 1 ст. 6 Закона о персональных данных), то для применения их для коммерческих целей (адресной рекламы, индивидуализации сервиса, анализа платежеспособности и прочих подобных целей) необходимо получение явно выраженного согласия субъекта на это.

--------------------------------

<1> См. подробнее: Савельев А.И. Проблемы применения законодательства о персональных данных в эпоху "Больших данных" (Big Data) // Право. Журнал Высшей школы экономики. 2015. N 1. URL: https://publications.hse.ru/articles/150345962.

 

На момент подготовки настоящего издания комментария принятый в первом чтении законопроект о внесении изменений в Федеральный закон "О персональных данных" предусматривает положение, которое должно облегчить реализацию данного требования. Он предусматривает дополнение ст. 9 Закона о персональных данных ч. 9, согласно которой "обработка персональных данных, обрабатываемых оператором на законных основаниях, может осуществляться им в дополнительных целях в случае наличия согласия субъекта персональных данных, содержащего информацию об указанных дополнительных целях, или в иных случаях, указанных в части 1 статьи 6 настоящего Федерального закона". В случае принятия данного положения легитимировать последующие цели обработки можно будет посредством получения дополнительного согласия от субъекта. Кроме того, появляется прямое указание на то, что в качестве законной цели обработки выступает обработка по основаниям, предусмотренным Законом о персональных данных для обработки без согласия субъекта (ч. 1 ст. 6). Данное добавление является спорным, поскольку в числе таких оснований присутствует п. 7 ч. 1 ст. 6 ("законный интерес оператора"), который в силу своей неопределенности может поставить под сомнение реализацию принципа ограничения обработки определенной целью в ряде ситуаций. Тем не менее у субъекта и Роскомнадзора сохраняется возможность заявления о неприменимости данного основания по причине нарушения прав и законных интересов субъекта (см. подробнее комментарий к п. 7 ч. 1 ст. 6 Закона о персональных данных).

5. Принцип недопустимости объединения баз данных для совместной обработки персональных данных, собранных с несовместимыми целями, является конкретизацией принципа ограничения обработки конкретной целью. Данное положение, так же как и в случае с предыдущим принципом, накладывает существенные ограничения на осуществление легитимной деятельности посредством инструментария "больших данных", результаты которой могут влиять на экономическое, социальное или юридическое положение индивидов. В литературе о "больших данных" подчеркивается, что "истинная ценность данных - как айсберг в океане. На первый взгляд видна лишь незначительная их часть, в то время как все остальное сокрыто под водой. Такая скрытая ценность может быть зачастую получена путем объединения одного набора данных с другим, на первый взгляд совершенно с ним не связанным, поскольку при анализе "больших данных" совокупность важнее отдельных частей, а при перекомпоновке совокупностей нескольких наборов данных получается еще более удачная совокупность <1> (см. подробнее комментарий к ст. 16 Закона).

--------------------------------

<1> См.: Майер-Шенбергер В., Кукьер К. Большие данные. Революция, которая изменит то, как мы живем, работаем и мыслим. М., 2014. С. 111.

 

Примером возможного нарушения принципа недопустимости объединения баз данных для совместной обработки персональных данных, собранных с разными целями, являются инициативы, направленные на создание так называемого цифрового профиля гражданина.

В паспорте федеральной программы "Цифровое госуправление" сказано, что к 2024 г. в России должна быть разработана и сформирована платформа идентификации личности. Она включает в себя биометрию, "облачную" квалифицированную электронную подпись и вместе с ними - цифровые профили физических и юридических лиц <1>. В законопроекте N 747513-7 "О внесении изменений в отдельные законодательные акты (в части уточнения процедур идентификации и аутентификации)", подготовленном в июле 2019 г. Комитетом Государственной Думы по информационной политике, информационным технологиям и связи, цифровой профиль определен как "совокупность сведений о гражданах и юридических лицах, содержащихся в информационных системах государственных органов, органов местного самоуправления и организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия, а также в единой системе идентификации и аутентификации" <2>. Данный законопроект стал предметом критики в том числе со стороны ФСБ, по мнению которой "обработка информации о россиянах в единой инфраструктуре повысит риски ее незаконного сбора и распространения" <3>. Тем не менее было принято решение о создании инфраструктуры цифрового профиля граждан в рамках эксперимента по повышению качества и связанности данных, содержащихся в государственных информационных ресурсах <4>. Участниками данного эксперимента являются ряд государственных органов (Минцифры России, Минэкономразвития России, Минтруд России, МВД России, ФНС, Росреестр), Пенсионный фонд РФ, ЦБ РФ, Судебный департамент при Верховном Суде РФ и ряд иных лиц. При этом отмечено, что граждане, операторы связи, работодатели участвуют в нем на добровольной основе. Формируемая в рамках данного эксперимента инфраструктура должна позволить оптимизировать межведомственный обмен данными о гражданах, формируемый при оказании им разного рода государственных услуг, а также предоставить возможность отдельным организациям (например, кредитным, страховым, микрофинансовым) получать доступ к таким сведениям в определенном объеме. Объем сведений, которые будут выступать предметом обмена в рамках данной системы, составляет порядка 40 позиций и включает в себя не только паспортные данные, но и сведения о зарегистрированных автотранспортных средствах и недвижимости, сведения из электронных трудовых книжек, налоговых деклараций, об актах гражданского состояния, о судимости, исполнительном производстве в отношении гражданина и ряд других сведений. Срок действия эксперимента - до 31 декабря 2021 г., однако не исключена возможность его продления.

--------------------------------

<1> См. п. 1.10 Паспорта федерального проекта "Цифровое государственное управление", утв. президиумом Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности, протокол от 28 мая 2019 г. N 9.

<2> https://sozd.duma.gov.ru/bill/747513-7

<3> Касми Э. ФСБ обрушилась с критикой на идею цифрового профиля россиян. 13 ноября 2019 г. URL: https://gov.cnews.ru/news/top/2019-11-13_fsb_obrushilas_s_kritikoj.

<4> См.: Постановление Правительства РФ от 3 июня 2019 г. N 710 "О проведении эксперимента по повышению качества и связанности данных, содержащихся в государственных информационных ресурсах".

 

Очевидно, что аккумулирование такого рода сведений, собранных с различными целями в контексте разных жизненных ситуаций, представляет собой риск не только утечек, причем с повышенно негативными последствиями для гражданина, но и нецелевого использования таких данных, в частности в коммерческих целях и целях манипулирования гражданами, поскольку проконтролировать соблюдение получившими доступ к таким данным организациями принципов обработки персональных данных будет крайне затруднительно, а эти данные представляют собой значительную коммерческую ценность.

6. Принципы, приведенные в ч. 4 и 5 комментируемой статьи, можно обобщенно обозначить как принцип минимизации данных (data minimization). Данный принцип предполагает, что сбор и обработка данных должны быть ограничены лишь теми данными, которые минимально необходимы и достаточны для достижения заявленных целей обработки. При этом обработка персональных данных, которая не отвечает целям обработки, запрещена. Данный принцип основан на идее того, что чем меньше информации будет иметь оператор для реализации своих целей, тем меньше риски для субъекта персональных данных в случае утечки его данных или иных неправомерных действий с ними.

В качестве примера нарушения указанного принципа можно привести следующее дело, в котором "суд... сделал правильный вывод о том, что для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность, в котором содержатся все необходимые сведения. Хранение копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребенка на рабочем месте превышает объем обрабатываемых персональных данных работника... нарушает права и свободы гражданина, снижает уровень прав и гарантий работника, противоречит федеральному законодательству. При проведении проверки управление сделало правильный вывод о том, что банк производит обработку избыточных персональных данных по сравнению с теми, которые определены к заявленным целям их обработки, что является нарушением части 5 статьи 5 Закона N 152-ФЗ" (Постановление ФАС Северо-Кавказского округа от 21 апреля 2014 г. по делу N А53-13327/2013). Аналогичным образом было квалифицировано указание в анкете работника полей для указания судимости такого работника или его близких родственников при отсутствии положения законодательства, обязывающего осуществлять сбор таких данных (Постановление Арбитражного суда Поволжского округа от 16 апреля 2019 г. N А55-21355/2018). Схожий подход применяется судами не только в трудовых отношениях, но и в случаях включения в анкету на выдачу кредита сведений о родственниках заемщика (Постановление Арбитражного суда Уральского округа от 22 декабря 2016 г. по делу N А76-5164/2016).

В другом деле суд признал нарушение указанного принципа со стороны компании "Ростелеком", предъявлявшей требование о предоставлении паспортных данных и адреса регистрации при получении активационного кода для Единого портала государственных и муниципальных услуг, поскольку "общество не сослалось на соответствующие нормы права, обязывающие его при выдаче кода активации не только устанавливать личность лиц, обратившихся за кодом активации, но и обрабатывать их персональные данные, такие как паспортные данные (серия, номер, кем выдан, дата выдачи) и адрес регистрации (адрес места жительства)" (Постановление Четырнадцатого арбитражного апелляционного суда от 25 апреля 2013 г. по делу N А44-7781/2012).

Вместе с тем обработка работодателем персональных данных работника и его близких родственников в объеме, предусмотренном унифицированными формами, утвержденными Госкомстатом РФ, является допустимой и не нарушающей рассматриваемый принцип <1>. Однако если в такой форме появляются дополнительные сведения, прямо ею не предусмотренные, то это составляет нарушение. Например, Роскомнадзор констатировал нарушение в случае, когда в унифицированной форме Т-2 было обнаружено сделанное от руки указание телефона близкого родственника (Апелляционное определение Московского городского суда от 4 июня 2018 г. по делу N 33а-3957/2018).

--------------------------------

<1> См.: Письмо Минкомсвязи России от 28 августа 2020 г. N ЛБ-С-074-24059 "О методических рекомендациях" (вместе с Методическими рекомендациями для общеобразовательных организаций по вопросам обработки персональных данных) (СПС "КонсультантПлюс"). См. также п. 2 Разъяснений Роскомнадзора по вопросам обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве, от 14 декабря 2012 г. URL: https://rkn.gov.ru/news/rsoc/news17877/.

 

Представляется, что не будет соответствовать данному принципу интернет-сервис или мобильное приложение, которое запрашивает или фактически получает доступ к большому количеству данных, хранимых на устройстве пользователя, если это, безусловно, не является необходимым для его нормального функционирования.

Напротив, если какие-либо правовые акты прямо предусматривают необходимость получения оператором определенных сведений о субъекте, их сбор и последующая обработка не могут считаться избыточными. Так, согласно позиции Верховного Суда РФ, поскольку требованиями Центрального банка РФ предусмотрено, что возврат денег покупателю из кассы организации на основании письменного заявления покупателя осуществляется при условии указания в расходном кассовом ордене фамилии, имени, отчества и данных документа, удостоверяющего личность, истребование указанных персональных данных продавцом от покупателя избыточным не является и не противоречит требованиям законодательства (Постановление Верховного Суда РФ от 15 июня 2015 г. N 25-АД15-3).

Субъект персональных данных, который обнаружил, что оператор осуществляет обработку избыточных персональных данных, вправе требовать блокирования или уничтожения таких данных, а также реализовывать иные средства защиты (см. комментарий к ст. 14 Закона).

7. Согласно ч. 6 комментируемой статьи, обрабатываемые персональные данные должны быть точными, достаточными, а в необходимых случаях - актуальными. Требование точности предполагает, что собранные и обрабатываемые данные должны соответствовать действительности и не должны вводить в заблуждение. Требование достаточности, указанное в комментируемой норме, выглядит несколько странно, поскольку пересекается с принципом минимизации данных. Представляется, что термин "достаточный" является следствием неудачной попытки перевода слова "неполный" (incomplete), фигурирующего в схожем принципе, который был в свое время закреплен в ст. 6(1)(d) Директивы 1995 г. <1>. В данном случае требование достаточности данных означает, что соответствующие действия и решения, которые принимаются оператором по результатам обработки, не должны приниматься на основании неполной информации.

--------------------------------

<1> См.: Every reasonable step must be taken to ensure that data which are inaccurate or incomplete, having regard to the purposes for which they were collected or for which they are further processed, are erased or rectified. Примечательно, что GDPR уже не упоминает данный термин в аналогичном принципе, предусмотренном в ст. 5(1)(d).

 

Неактуальность персональных данных является одним из возможных условий реализации права быть забытым, закрепленного в ст. 10.3 Закона об информации, согласно которой гражданин вправе требовать от оператора поисковой системы прекращения выдачи ссылок, позволяющих получить доступ к информации о таком гражданине.

Следует отметить, что данный принцип не означает, что оператор обязан по собственной инициативе, в интрузивной форме обращаться к субъекту с целью проверки точности и актуальности обрабатываемых им персональных данных. Скорее он предполагает предоставление субъекту возможности уточнения таких данных, в том числе посредством специального функционала интерфейса онлайн-сервиса (см. комментарий к ст. 14 Закона).

По мере увеличения масштабов использования систем алгоритмического принятия решений, затрагивающих права и законные интересы граждан (см. комментарий к ст. 16 Закона), точность и актуальность обрабатываемых данных будет иметь ключевое значение для принятия обоснованных и законных решений. Действующее российское законодательство предусматривает ряд механизмов, наделяющих граждан правом требовать корректировки обрабатываемых данных. Так, согласно ч. 3 ст. 8 Федерального закона от 30 декабря 2004 г. N 218-ФЗ "О кредитных историях" <1> субъект кредитной истории вправе полностью или частично оспорить информацию, содержащуюся в его кредитной истории, подав в бюро кредитных историй, в котором хранится указанная кредитная история, заявление о внесении изменений и (или) дополнений в эту кредитную историю. При этом бюро кредитных историй в течение 30 дней со дня получения заявления, указанного в ч. 3 настоящей статьи, обязано, за исключением случаев, определенных данным Законом, провести дополнительную проверку информации, входящей в состав кредитной истории, запросив ее у источника формирования кредитной истории. В случае если субъект кредитной истории указал в заявлении о наличии у него обоснованных причин, в том числе обстоятельств, угрожающих причинением вреда жизни или здоровью, для получения соответствующей информации в более короткий срок, бюро кредитных историй проводит проверку в указанный им срок. На время проведения такой проверки в кредитной истории делается соответствующая пометка.

--------------------------------

<1> См.: СПС "КонсультантПлюс".

 

Источник формирования кредитной истории обязан в течение 14 дней со дня получения запроса бюро кредитных историй, а в случае наличия у субъекта кредитной истории обоснованных причин для получения такой информации в более короткий срок - в срок, указанный бюро кредитных историй, представить в письменной форме в бюро кредитных историй информацию, подтверждающую достоверность ранее переданных сведений или правомерность запроса кредитного отчета, оспариваемые субъектом кредитных историй, либо исправить его кредитную историю в оспариваемой части, направив соответствующие достоверные сведения или просьбу об удалении неправомерного запроса в бюро кредитных историй. В случае если в течение установленного срока бюро кредитных историй не получило ответ на запрос, источник формирования кредитной истории несет ответственность, установленную законодательством Российской Федерации (ч. 4 - 4.2 ст. 8 указанного Закона). Так, размещение недостоверной информации в бюро кредитных историй, которое создало для гражданина препятствия для получения кредитов в иных банках, может являться основанием для предъявления требования о компенсации морального вреда (Апелляционное определение Самарского областного суда от 19 декабря 2018 г. по делу N 33-15523/2018; Апелляционное определение Кемеровского областного суда от 27 августа 2015 г. по делу N 33-8786/2015).

В связи с тем что данные кредитной истории являются одним из ключевых параметров, учитываемых при решении вопроса о выдаче кредита, причем нередко они анализируются автоматизированным способом, возможность получения кредита ставится напрямую в зависимость от качества таких данных и от активности самого гражданина в реализации своих прав на получение сведений о содержании кредитной истории и ее оперативную корректировку при необходимости. Аналогичная ситуация будет складываться в обозримом будущем и в ряде иных сфер (трудоустройство, выезд за рубеж и т.п.), что обусловливает необходимость активного вовлечения гражданина в процессы обработки его данных.

8. Последним принципом, упомянутым в комментируемой статье, является принцип ограничения хранения данных (storage limitation). Согласно данному принципу персональные данные должны быть уничтожены или обезличены по достижении целей обработки. Данный принцип имеет в своей основе достаточно очевидную установку: "Если данные существуют, значит, они уязвимы, следовательно, единственным надежным способом устранить такую уязвимость является прекращение их существования" <1>. Тем самым указанный принцип является важным инструментом обеспечения контроля субъектов над своими персональными данными.

--------------------------------

<1> См.: Bernal P. Internet Privacy Rights. Cambridge University Press, 2014. P. 177.

 

Исключениями из требований данного принципа являются ситуации, когда законодательство или договор с участием субъекта персональных данных прямо предусматривает более длительный срок их хранения. Так, например, в случае увольнения работника формально отпадает основание для дальнейшей обработки его персональных данных, однако работодатель должен продолжать обрабатывать определенные данные о работнике в силу требований публичного права. Так, налоговым законодательством установлена обязанность налоговых агентов (работодателей) в течение 5 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (подп. 5 п. 3 ст. 24 Налогового кодекса РФ). Бухгалтерские документы подлежат хранению в течение не менее чем пяти лет (ст. 29 Федерального закона от 6 декабря 2011 г. N 402-ФЗ "О бухгалтерском учете" <1>). Впоследствии личные дела работников подлежат архивному хранению, на которое законодательство о персональных данных уже не распространяется (см. комментарий к ст. 1 Закона). Обработка оператором персональных данных уволенных работников свыше 5 лет является нарушением законодательства о персональных данных (Постановление Арбитражного суда Московского округа от 15 января 2018 г. по делу N А40-81171/17-149-793). Помимо прочего, такого рода нарушение может выявляться в ходе проверки Роскомнадзора при визуальном осмотре СУБД, используемой кадровой службой (Апелляционное определение Московского городского суда от 4 июня 2018 г. по делу N 33а-3957/2018).

--------------------------------

<1> См.: СПС "КонсультантПлюс".

 

В тех случаях, когда обработка конкретных персональных данных предусматривает несколько целей, обязанность по их уничтожению или обезличиванию возникает с момента достижения последней из них. Таким образом, указанный принцип не позволяет осуществлять обработку персональных данных бесконечно или определять ее сроки исключительно по усмотрению оператора, хотя последний обладает значительной степенью гибкости при определении целей обработки и момента их достижения.

Такого рода гибкость находит свое отражение при определении целей обработки данных о гражданах, содержащихся в банках данных органов МВД. Так, в соответствии со ст. 17 Федерального закона от 7 февраля 2011 г. N 3-ФЗ "О полиции" <1> полиция имеет право обрабатывать данные о гражданах, необходимые для выполнения возложенных на нее обязанностей, и вносить в банки данных информацию о лицах, осужденных за совершение преступления. В соответствии с п. 40, 41 Положения о едином порядке регистрации уголовных дел и учета преступлений, утв. Приказом Генпрокуратуры России N 39, МВД России N 1070, МЧС РФ N 1021, Минюста России N 253, ФСБ России N 780, Минэкономразвития России N 353, ФСКН России N 399 от 29 декабря 2005 г. "О едином учете преступлений" <2>, учету подлежат все лица, в отношении которых вынесено постановление об отказе в возбуждении уголовного дела по нереабилитирующим основаниям, о прекращении уголовного дела или уголовного преследования по нереабилитирующим основаниям, уголовное дело направлено прокурором в суд с обвинительным заключением (актом) либо вынесен обвинительный приговор по уголовному делу частного обвинения.

--------------------------------

<1> См.: Там же.

<2> См.: СПС "КонсультантПлюс".

 

В одном из дел гражданин обратился к МВД с требованием об удалении сведений о факте уголовного преследования в отношении него в связи с тем, что уголовное дело было прекращено в связи с примирением сторон, а также что с данного момента прошло более 17 лет. Свои требования он мотивировал не только тем, что цель обработки данных была достигнута и они подлежат удалению, но и тем, что данные сведения создают ему существенные сложности при трудоустройстве. В удовлетворении данных требований судом было отказано со ссылкой на то, что цели обработки таких данных достигнуты не были, поскольку "необходимость обработки подобных персональных данных граждан, связанных с фактами уголовного преследования, обусловлена положениями ст. 65 Трудового кодекса РФ и корреспондирующей ст. 331 этого же Кодекса, абз. 3 ч. 2 которой предусмотрено, что к педагогической деятельности не допускаются лица, подвергавшиеся уголовному преследованию (за исключением лиц, уголовное преследование в отношении которых прекращено по реабилитирующим основаниям) за преступления против жизни и здоровья, свободы, чести и достоинства личности (за исключением незаконной госпитализации в медицинскую организацию, оказывающую психиатрическую помощь в стационарных условиях, и клеветы), половой неприкосновенности и половой свободы личности, против семьи и несовершеннолетних, здоровья населения и общественной нравственности, основ конституционного строя и безопасности государства, мира и безопасности человечества, а также против общественной безопасности, за исключением случаев, предусмотренных ч. 3 данной статьи" (Апелляционное определение Нижегородского областного суда от 22 ноября 2017 г. по делу N 33а-13873/2017). Данного подхода придерживаются и иные суды (Апелляционное определение Московского городского суда от 4 сентября 2018 г. по делу N 33-29818/2018; Апелляционное определение Санкт-Петербургского городского суда от 10 июля 2019 г. по делу N 2а-5092/2018; Апелляционное определение Красноярского краевого суда от 14 февраля 2018 г. по делу N 33а-1948/2018).

Схожая ситуация наблюдается и применительно к хранению сведений о совершении лицом административного правонарушения в информационной системе ГИБДД по истечении сроков, в течение которых лицо считается подвергнутым административному наказанию (ст. 4.6 КоАП РФ). Суд указал на правомерность такой обработки, сославшись на необходимость использования указанных данных для целей "учета показателей состояния безопасности дорожного движения" (Апелляционное определение Верховного суда Республики Башкортостан от 30 октября 2019 г. по делу N 33а-21322/2019; Апелляционное определение Свердловского областного суда от 29 июля 2015 г. по делу N 33-11645/2015). Правда, в этой связи непонятно, почему указанные цели, статистические по своей природе, не могут быть достигнуты при обезличивании соответствующих данных, учитывая, что именно на это ориентирует сам Закон о персональных данных в п. 9 ч. 1 ст. 6.

9. Следует отметить, что уничтожение и обезличивание персональных данных являются способами обработки, в связи с чем должны соответствовать установленным правилам, касающимся обработки персональных данных, в том числе принципам, указанным в комментируемой статье.

Положения, относящиеся к комментируемому принципу, не в полной мере гармонизированы с иными нормами Закона о персональных данных. Так, в соответствии с ч. 4 ст. 21 в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами. Данное положение не предусматривает возможности обезличивания персональных данных, а только их уничтожение. Представляется, что нормы ч. 7 ст. 5 Закона о персональных данных имеют приоритет, поскольку закрепляют собой принципы - положения, которые должны определять содержание и смысл всех остальных норм законодательства о персональных данных.

10. Принцип ограничения хранения данных, так же как и принцип ограничения обработки определенной целью, находится в прямом противоречии с идеологией "больших данных", которая стимулирует организации собирать как можно больше информации. Чем больше данных у компании, тем больше у нее простора для применения технологий "больших данных" в целях выявления разного рода закономерностей, которые могут иметь значение для принятия бизнес-решений, тем самым являясь еще одной точкой напряжения между законодательством о персональных данных и новыми технологиями. По всей видимости, примирить их может лишь развитие и совершенствование технологий обезличивания данных.

 

Статья 6. Условия обработки персональных данных

 

Комментарий к статье 6

 

1. Часть первая комментируемой статьи еще раз подчеркивает, что принципы, указанные в ст. 5, носят характер непосредственного правового предписания, а также конкретизирует перечень оснований, которые придают обработке персональных данных легитимный статус. Все приведенные в комментируемой статье основания касаются "обычных" персональных данных, основания для обработки специальных категорий персональных данных и биометрических данных содержатся в ст. 10 и 11 Закона о персональных данных соответственно.

2. Согласие субъекта персональных данных является одним из наиболее часто используемых оснований для легитимации процессов обработки персональных данных, однако оно является при этом одним из наиболее хрупких как с точки зрения предъявляемых к нему требований, так и с точки зрения возможности его отзыва, что обусловило существование еще ряда дополнительных оснований для обработки при отсутствии такого согласия. Правда, с принятием Федерального закона от 30 декабря 2020 г. N 519-ФЗ, который ввел особый правовой режим для персональных данных, разрешенных субъектом для распространения, альтернатив согласию как основному легитимирующему основанию для обработки таких данных практически нет. Подробно данное основание будет рассмотрено в комментарии к ст. 9 и 10.1 Закона.

3. Пункт 2 ч. 1 комментируемой статьи предусматривает, по сути, два основания для обработки персональных данных при отсутствии согласия субъекта: 1) когда это необходимо для целей, предусмотренных международным договором, и 2) когда это необходимо для целей, предусмотренных законодательством РФ, в том числе "для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей". В тех случаях, когда речь идет о наличии международного договора, для применения рассматриваемого основания не требуется прямого упоминания в нем вопросов обработки персональных данных, достаточно установления факта необходимости их обработки для достижения целей сотрудничества, ради которых заключалось соответствующее соглашение. На это прямо указывает использование законодателем формулировки "для целей, предусмотренных международным договором", а не "в случаях, предусмотренных международным договором". В качестве примера можно привести ряд международных договоров в сфере авиаперевозок, стороной которых является Российская Федерация <1>. Они не содержат положений об обмене персональными данными, однако такой обмен предполагается в силу необходимости оформления документов, сопровождающих перевозку, а также обеспечения безопасности полетов.

--------------------------------

<1> Чикагская конвенция (Конвенция о международной гражданской авиации заключена в г. Чикаго 7 декабря 1944 г., вступила в силу для Российской Федерации 16 августа 2005 г.), Варшавская конвенция (Конвенция для унификации некоторых правил, касающихся международных воздушных перевозок заключена в г. Варшаве 12 октября 1929 г., вступила в силу для СССР 13 февраля 1933 г.), Гвадалахарская конвенция (Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых правил, касающихся международных воздушных перевозок, осуществляемых лицом, не являющимся перевозчиком по договору заключена в г. Гвадалахаре 18 сентября 1961 г.).

 

Обработка персональных данных при отсутствии согласия субъекта персональных данных может осуществляться и в случае, когда на то есть прямое указание в законодательстве РФ. При этом данная норма оперирует термином "законодательство Российской Федерации", тем самым допуская наличие соответствующих положений не только в федеральных законах, но и в постановлениях Правительства РФ, актах органов государственной власти РФ и субъектов РФ, а также органов местного самоуправления. При этом требования законодательства иных государств, даже если они могут быть применимы к оператору в силу ведения им деятельности на территории таких государств или в силу экстерриториального характера таких актов, не охватываются рассматриваемым основанием. Аналогичным образом не являются обязательными для российских операторов запросы иностранных государственных органов о предоставлении персональных данных, за исключением случаев, когда такие запросы могут направляться в соответствии с действующими международными договорами РФ. Данный подход вытекает из принципа национального суверенитета и является типичным для любого государства. В качестве примера можно привести положения GDPR, согласно которым любое решение иностранного суда или государственного органа, которое обязывает оператора или обработчика предоставить персональные данные, является действительным только в рамках существующих международных соглашений, существующих между таким иностранным государством и страной - членом ЕС, на территории которой находится такой оператор или обработчик (ст. 48 GDPR). Данный подход последовательно отражен и в позиции европейских регуляторов, согласно которой требования американских государственных органов, адресованные европейским компаниям о предоставлении информации в рамках US Clarifying Overseas Use of Data Act 2018 (CLOUD Act), являются юридически обязательными для них только при наличии международного договора <1>.

--------------------------------

<1> См.: EDPB-EDPS Joint Response to the LIBE Committee on the impact of the US Cloud Act on the European legal framework for personal data protection, 10 July 2019.

 

В качестве наиболее релевантных примеров международных соглашений, в рамках которых требования иностранных судов или государственных органов о предоставлении документов, содержащих персональные данные, могут являться обязательными для российских операторов, можно указать соглашения о взаимной правовой помощи, именуемые иногда в англоязычной практике как Mutual Legal Assistance Treaties (MLAT). Такое соглашение существует между США и Россией в части взаимной помощи при предотвращении преступлений, расследовании уголовных дел, а также проведении иных официальных процедур, имеющих отношение к уголовным делам <1>. В части судопроизводства по гражданским спорам имеет значение Гаагская конвенция о предоставлении доказательств за рубеж по гражданским и коммерческим делам 1970 г. (The Convention on the Taking of Evidence Abroad in Civil or Commercial Matters), членами которой являются Российская Федерация, США, Великобритания, Китай, ряд европейских, азиатских и латиноамериканских стран <2>. Подобные международные договоры предусматривают особый порядок взаимодействия между государственными органами стран-участниц, который подлежит соблюдению. Иными словами, попытки получить документы или иные доказательства в обход установленных процедур даже при наличии международного договора между Россией и соответствующей страной не будут охватываться легитимирующим основанием для обработки персональных данных без согласия субъекта, предусмотренным в комментируемом положении Закона о персональных данных. Данное замечание особенно важно, поскольку суды США не считают себя связанными порядком, установленным в Гаагской конвенции 1970 г., и исходят из приоритета собственного процессуального законодательства, что было прямо одобрено Верховным судом США (Societe Rationale Industrielle Areospatiale v. U.S. District Court, 482 U.S. 522, 107 S. Ct. 2542, 96 L. Ed. 2d 461 (1987)).

--------------------------------

<1> См.: Договор между Российской Федерацией и Соединенными Штатами Америки о взаимной правовой помощи по уголовным делам 1999 г.

<2> Общее количество участников Конвенции на момент подготовки данного издания комментария составляло 63 государства. С полным перечнем можно ознакомиться по ссылке: https://www.hcch.net/en/instruments/conventions/status-table/?cid=82.

 

В качестве примера предусмотренных законодательством РФ оснований для обработки оператором персональных данных без согласия субъекта во исполнение соответствующих требований можно привести положения п. 4 ст. 7 Федерального закона от 7 августа 2001 г. N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" <1>, согласно которому документы, содержащие сведения, указанные в настоящей статье, и сведения, необходимые для идентификации личности, подлежат хранению не менее 5 лет со дня прекращения отношений с клиентом. К подобного рода сведениям Закон относит: Ф.И.О., гражданство, дату рождения, реквизиты документа, удостоверяющего личность, данные миграционной карты, документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации, адрес места жительства (регистрации) или места пребывания, ИНН (при его наличии). Также требованиями ч. 1 и 2 ст. 29 Федерального закона от 6 декабря 2011 г. N 402-ФЗ "О бухгалтерском учете" и подп. 8 п. 1 ст. 23 Налогового кодекса РФ установлены сроки хранения и обеспечения сохранности документов бухгалтерского и налогового учета, допускающих наличие в них персональных данных, составляющие 5 лет.

--------------------------------

<1> См.: СПС "КонсультантПлюс".

 

Сам по себе факт наличия соответствующего легитимирующего основания в каком-либо нормативно-правовом акте, составляющем законодательство РФ, не означает, что предусмотренная им обработка автоматически соответствует требованиям Закона о персональных данных. Принципы обработки персональных данных, закрепленные в ст. 5 Закона, должны соблюдаться в любом случае, равно как и иные положения Закона о персональных данных. В противном случае его действие в отношении государственного сектора фактически сведется к фикции, поскольку государство в лице соответствующего органа всегда сможет создать для себя максимально благоприятные условия для обработки персональных данных граждан, не руководствуясь ни интересами последних, ни интересами общества и бизнеса. К сожалению, как показывает практика принятия и применения региональных законов в рамках борьбы с коронавирусной инфекцией, данные опасения не являются беспочвенными. Органами государственной власти субъектов РФ принимались акты, предусматривающие сбор избыточных данных о гражданах с непрозрачными процессами обработки и неопределенными сроками их удаления.

4. Обработка персональных данных без согласия субъекта допустима в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.

Таким образом, представление в суд разного рода документов, содержащих персональные данные граждан, в качестве доказательств возможно без получения на то их согласия. Например, передача сведений об ответчике (фамилии, имени, отчестве и месте его регистрации) представителю юридического лица для подготовки искового заявления в суд о взыскании с истца задолженности подпадает под положения, предусмотренные п. 3 ч. 1 ст. 6 Закона о персональных данных (Определение Третьего кассационного суда общей юрисдикции от 3 февраля 2020 г. N 88-1304/2020).

Вместе с тем это не означает, что рассматриваемое основание освобождает лицо от соблюдения требований закона при получении таких данных. В соответствии с требованиями процессуального законодательства доказательства, полученные с нарушениями требований закона, являются недопустимыми (ч. 3 ст. 26.2 КоАП РФ, ч. 3 ст. 64 АПК РФ, ч. 2 ст. 55 ГПК РФ, ч. 1 ст. 75 УПК РФ). Таким образом, получение документов с персональными данными при отсутствии на то законного основания означает недопустимость их в качестве доказательств (Апелляционное определение Свердловского областного суда от 14 апреля 2016 г. по делу N 33-6362/2016). Например, если документы, содержащие персональные данные, были получены в результате использования услуг "пробива", то есть незаконного получения сведений из баз данных государственных органов или организаций, такие документы должны признаваться недопустимыми доказательствами.

Если речь идет о приобщении в качестве доказательства материалов переписки, аудио- и видеозаписей, в которых фигурируют третьи лица, то они, по общему правилу, могут быть признаны допустимыми доказательствами, если приобщающая их сторона являлась участником соответствующей переписки или разговора и по своему характеру они не могут быть отнесены к частной жизни (Определения Судебной коллегии по гражданским делам Верховного Суда РФ от 14 апреля 2015 г. N 33-КГ15-6 и от 6 декабря 2016 г. N 35-КГ16-18. См. также комментарий к ст. 2 Закона). В тех случаях, когда в таких материалах фигурируют третьи лица, не являющиеся участниками процесса, суд может признать соответствующие доказательства недопустимыми. Как отметил один из судов, если ответчик не раскрыл информацию о том, где, когда, при каких обстоятельствах она сделана, при прослушивании аудиозаписи усматривается, что на ней содержатся голоса не только истца и ответчика (предположительно), но и иных лиц, которые в правоотношениях со сторонами не состоят, согласия на аудиозапись разговора стороны не давали, суд может признать аудиозапись недопустимым доказательством (Апелляционное определение Санкт-Петербургского городского суда от 29 января 2020 г. N 33-3572/2020 по делу N 2-5268/2019). В другом деле суд признал недопустимым доказательством электронную переписку, поскольку "ответчиком не представлены в суд первой инстанции сведения о получении согласия граждан Сидоровой А.А., Исаева Д.И. на получение ответчиком сведений об их частной жизни и доступа к личной переписке, неприкосновенность и тайна которых охраняется в силу норм ст. 23 Конституции Российской Федерации" (Постановление Девятого арбитражного апелляционного суда от 4 июня 2019 г. по делу N А40-122683/18).

Следует отметить, что комментируемое положение касается обработки персональных данных только в связи с участием лица в судопроизводстве, осуществляемом российскими судами. На это указывает содержащийся в обновленной редакции указанного положения закрытый перечень видов судопроизводства, воспроизводящий положения Федерального конституционного закона от 31 декабря 1996 г. N 1-ФКЗ "О судебной системе Российской Федерации" <1> (ч. 3 ст. 1). Таким образом, лицо, получившее запрос от иностранного суда с требованием представить доказательства, содержащие персональные данные, имеет возможность отказать в его исполнении при отсутствии согласия субъектов персональных данных, поскольку комментируемое положение в новой редакции легитимировать обработку в виде передачи таких данных третьему лицу, коим является иностранный суд, более не может <2>. В свою очередь, если такие субъекты возражают против передачи их данных в иностранный суд, иное возможное основание для обработки без согласия субъекта, предусмотренное п. 7 ч. 1 ст. 6 Закона о персональных данных, также не может быть использовано по причине нарушения такой обработкой прав и законных интересов гражданина.

--------------------------------

<1> См.: СПС "КонсультантПлюс".

<2> Предыдущая редакция данной нормы, которая содержала фразу "для осуществления правосудия", не позволяла сделать столь однозначный вывод.

 

Приведенные соображения релевантны только применительно к иностранным государственным судам. Если же речь идет о международном коммерческом арбитраже, то передача персональных данных в рамках производства, осуществляемого в таком арбитраже, может быть осуществлена без согласия субъекта на основании п. 2 ч. 1 ст. 6 Закона о персональных данных ("для целей, предусмотренных международным договором") в случаях, когда применима Конвенция ООН о признании и приведении в исполнение иностранных арбитражных решений 1958 г., стороной которой является Россия.

Обработка персональных данных, осуществляемая при предоставлении доступа к информации о деятельности судов в порядке, установленном Федеральным законом от 22 декабря 2008 г. N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации", не охватывается действием Закона о персональных данных (см. комментарий к ст. 1 Закона).

5. Пункт 3.1 комментируемой статьи предусматривает отдельное основание для обработки персональных данных без согласия субъекта для случаев, когда она необходима "для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве". Данное основание применимо для обработки персональных данных не только непосредственно самими судебными приставами, но и иными органами и лицами, которые вовлечены в процесс исполнительного производства, в частности работодателями должника, кредитными организациями и другими лицами, которые обязаны исполнять законные постановления судебных приставов.

Кроме того, следует отметить п. 2 ч. 1 ст. 64 Федерального закона от 2 октября 2007 г. N 229-ФЗ "Об исполнительном производстве", наделяющий судебного пристава правом "запрашивать необходимые сведения, в том числе персональные данные, у физических лиц, организаций и органов, находящихся на территории Российской Федерации, а также на территориях иностранных государств, в порядке, установленном международным договором Российской Федерации, получать от них объяснения, информацию, справки". Вместе с тем судебная практика нередко толкует данное право судебного пристава ограничительно и отдает приоритет специальным положениям законодательства, регламентирующим порядок предоставления отдельных видов информации. Например, один из судов пришел к выводу, что "законодатель не включил в число прав судебных приставов-исполнителей возможность запрашивать информацию об абонентах у операторов связи, так как не указал в ФЗ "Об исполнительном производстве" те необходимые условия, при которых в соответствии со ст. 6 ФЗ "О персональных данных" Федеральный закон может быть основанием для обработки персональных данных без согласия субъекта персональных данных" (Постановление Девятого арбитражного апелляционного суда от 2 октября 2017 г. по делу N А40-38929/17).

Запросы приставов о получении сведений о регистрации актов гражданского состояния также признавались судами неправомерными (Апелляционное определение Московского городского суда от 24 ноября 2020 г. по делу N 33а-5626/2020) со ссылкой на позицию Минюста России, выраженную в Письме от 12 апреля 2019 г. N 12-47778/19, согласно которой сведения о государственной регистрации актов гражданского состояния по запросам ФССП России (ее территориальных органов) в соответствии с п. 3 ст. 13.2 Федерального закона от 15 ноября 1997 г. N 143-ФЗ "Об актах гражданского состояния" <1> могут предоставляться лишь при производстве дознания в рамках расследования конкретного уголовного дела. Однако следует отметить, что Федеральным законом от 1 октября 2019 г. N 328-ФЗ "О службе в органах принудительного исполнения Российской Федерации и внесении изменений в отдельные законодательные акты Российской Федерации" <2> в данную норму были внесены изменения, в рамках которых судебные приставы прямо указаны в числе органов, обладающих правом запрашивать сведения о регистрации актов гражданского состояния. В связи с этим подобную позицию суда можно признать спорной.

--------------------------------

<1> См.: СПС "КонсультантПлюс".

<2> См.: Там же.

 

6. Обработка персональных данных без согласия субъекта может осуществляться для целей осуществления полномочий государственных и муниципальных органов, в том числе для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" <1>, для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг. В этой связи требование от гражданина дополнительного предоставления согласия на обработку его персональных данных является неправомерным (Постановление Четырнадцатого арбитражного апелляционного суда от 25 апреля 2013 г. по делу N А44-7781/2012; Апелляционное определение Костромского областного суда от 16 мая 2012 г. по делу N 33-703А). Данная позиция была подтверждена и Верховным Судом РФ, дополнительно указавшим, что иной подход противоречил бы принципу добровольности согласия (Кассационное определение Судебной коллегии по административным делам Верховного Суда РФ от 22 января 2020 г. N 5-КА19-56). Таким образом, в свете сформулированной Верховным Судом РФ позиции государственные органы не должны ориентироваться на ранее существовавшую практику нижестоящих судов, признававшую законным отказ в предоставлении государственной услуги по причине непредоставления гражданином согласия на обработку его персональных данных по установленной форме (см., например, Апелляционное определение Московского городского суда от 6 июля 2017 г. по делу N 33а-8/2017).

--------------------------------

<1> См.: Там же.

 

Следует отметить стремление отдельных государственных органов расширительно толковать положения данного пункта и применять его к ситуациям, не связанным с оказанием государственных или муниципальных услуг. Так, в Минцифры России выразили мнение, что персональные данные работников, переведенных на дистанционный режим работы, могут быть переданы в мэрию Москвы в рамках требований Указа Мэра Москвы от 6 октября 2020 г. N 97-УМ <1> без согласия работника "на основании пункта 4 части 1 статьи 6 Закона "О персональных данных", с учетом Указа Президента от 11 мая 2020 года N 316 "Об определении порядка продления действия мер по обеспечению санитарно-эпидемиологического благополучия населения в субъектах РФ в связи с распространением новой коронавирусной инфекции" и статьи 11 Закона "О защите населения и территорий от ЧС" от 21 декабря 1994 года" <2>.

--------------------------------

<1> См.: Указ Мэра Москвы от 6 октября 2020 г. "О внесении изменений в Указы Мэра Москвы от 5 марта 2020 г. N 12-УМ и от 8 июня 2020 г. N 68-УМ". URL: https://rg.ru/2020/10/06/moscow-ukaz97-reg-site-dok.html.

<2> В сборе данных сотрудников на "удаленке" без их согласия не нашли нарушений. URL: https://www.interfax.ru/russia/731251.

 

Данный пример демонстрирует, что даже регулятор в сфере персональных данных иногда может ошибаться в толковании норм законодательства, относящихся к его предметной компетенции. Дело в том, что приведенное Минцифры России положение в данном случае не подходит, поскольку оно касается случаев, когда государственный орган обрабатывает данные для целей предоставления государственной услуги <1>. При этом согласно п. 1 ст. 2 Федерального закона от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" государственная услуга представляет собой деятельность по реализации функций соответствующего государственного органа, которая осуществляется по запросам заявителей в пределах установленных нормативными правовыми актами Российской Федерации и нормативными правовыми актами субъектов Российской Федерации полномочий органов, предоставляющих государственные услуги. Деятельность, осуществляемая мэрией Москвы в рамках реализации положений Указа N 97-УМ, не может быть отнесена к государственной услуге, поскольку в данном случае никакого запроса со стороны заявителей не предполагается, текст Указа N 97-УМ в этой части говорит об исполнении работодателями указанных в нем обязанностей. Соответственно, в этой части более правильным было бы применение к обработке персональных данных без согласия субъекта положений п. 2 ч. 1 ст. 6 Закона о персональных данных: "обработка персональных данных необходима для... осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей", которые вытекают из положений законодательства РФ, регламентирующих полномочия органов государственной власти субъектов РФ по борьбе с коронавирусной инфекцией. Данный тезис не означает, что требования Указа N 97-УМ в части обязания работодателей предоставить персональные данные дистанционных работников являются законными. Подробный анализ данной ситуации содержится в Заключении Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России от 19 октября 2020 г. <2>. Более детально данный вопрос будет рассмотрен в комментарии к ст. 9 Закона применительно к требованию добровольности дачи субъектом согласия на обработку его данных.

--------------------------------

<1> См. п. 4 ч. 1 ст. 6 Закона о персональных данных: "Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг".

<2> https://alrf.msk.ru/komissiya_po_pravovomu_obespecheniyu_cifrovoy_ekonomiki

 

7. Пункт 5 ч. 1 комментируемой статьи содержит одно из важнейших оснований для обработки персональных данных при отсутствии согласия субъекта, которое может быть использовано в коммерческой деятельности оператора. Речь идет о возможности обработки персональных данных физического лица, если это необходимо для заключения и (или) исполнения договора, стороной, выгодоприобретателем или поручителем по которому он является. Данное основание действует только в тех случаях, когда субъект персональных данных является участником договора в одной из тех форм, которые указаны в Законе: стороной, выгодоприобретателем или поручителем. Таким образом, данное основание не распространяется, в частности, на случаи, когда договор заключается между оператором и организацией, выступающей работодателем субъекта.

Комментируемое положение не содержит конкретизации типа договора, однако в практике Роскомнадзора оно применяется именно в отношении гражданско-правовых договоров, поскольку основания для обработки персональных данных в рамках трудовых отношений рассматриваются им в рамках требований гл. 14 Трудового кодекса РФ <1>.

--------------------------------

<1> См., например: Публичный семинар Роскомнадзора для операторов 28 января 2021 г. URL: https://www.youtube.com/watch?v=jUfF06S1_Yk.

 

Содержание понятия выгодоприобретателя зависит от типа заключаемого договора и обстоятельств его заключения. Так, в гражданском законодательстве под выгодоприобретателем может пониматься лицо, в пользу которого заключен договор (ст. 430 ГК РФ), в частности лицо, в пользу которого застраховано имущество по договору страхования (ст. 930 ГК РФ); лицо, в интересах которого осуществляется доверительное управление имуществом (ст. 1012 ГК РФ); лицо, в пользу которого открыт банковский вклад (ст. 842 ГК РФ). В публично-правовой сфере под понятием выгодоприобретателя понимается лицо, к выгоде которого действует клиент, в том числе на основании агентского договора, договоров поручения, комиссии и доверительного управления, при проведении операций с денежными средствами и иным имуществом (ст. 3 Федерального закона от 7 августа 2001 г. N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма").

Под поручителем понимается лицо, являющееся стороной договора поручительства. По договору поручительства поручитель обязывается перед кредитором другого лица отвечать за исполнение последним его обязательства полностью или в части (п. 1 ст. 361 ГК РФ). Отношения поручительства регулируются ст. 361 - 367 ГК РФ.

Комментируемое основание для обработки персональных данных применяется только к тем данным и способам обработки, которые безусловно необходимы для заключения или исполнения договора, например для осуществления оплаты товара (услуги), доставки, послегарантийного обслуживания. Предоставление онлайн-сервиса на основании пользовательского соглашения также может охватываться комментируемым основанием для обработки персональных данных без согласия субъекта (Апелляционное определение Новосибирского областного суда от 2 ноября 2017 г. по делу N 33-10623/2017). Однако такие способы обработки, как продажа персональных данных третьим лицам для целей предоставления рекламных услуг, составление профайлов пользователей, осуществление маркетинговых исследований и т.п., к ним не относятся. В этой связи для их осуществления необходимо использование иных оснований, в частности согласия субъекта. При этом хранение и предоставление соответствующей информации о договоре в уполномоченные органы (налоговые, органы валютного контроля) может осуществляться оператором в соответствии с п. 2 ч. 1 ст. 6 Закона о персональных данных.

С 1 января 2017 г. из комментируемого положения была исключена возможность обработки персональных данных без согласия субъекта в виде уступки оператором своих прав по такому договору. Таким образом, с указанного времени оператор не может осуществлять уступку права требования оплаты по договору коллекторам или иным лицам без согласия субъекта персональных данных, поскольку гражданин не является стороной по договору, заключенному между банком и коллектором (Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 1 августа 2017 г. N 78-КГ17-45; Обзор судебной практики по делам, связанным с защитой прав потребителей финансовых услуг, утв. Президиумом Верховного Суда РФ 27 сентября 2017 г.).

При этом, если кредитная организация в нарушение требований законодательства о персональных данных все же осуществляет уступку прав требования оплаты третьим лицам, такое действие может получить негативную оценку со стороны Центрального банка РФ. Как отмечено в Письме Банка России от 29 сентября 2014 г. N 41-2-2-8/1757, "в целях снижения правового, репутационного и регуляторного риска при работе с персональными данными банкам следует иметь внутренние процедуры, обеспечивающие соблюдение требований законодательства о защите персональных данных. Недостатки в деятельности банков, связанные с исполнением норм Федерального закона "О персональных данных", выявленные при осуществлении банковского надзора, рассматриваются как негативный фактор при оценке качества управления банком, в том числе оценке организации системы внутреннего контроля в соответствии с Положением Банка России от 16 декабря 2003 г. N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" <1>.

--------------------------------

<1> https://cbr.ru/StaticHtml/File/50624/140925.pdf

 

Согласие субъекта на последующую уступку прав требования к нему может быть выражено в основном договоре при условии его соответствия требованиям ст. 9 Закона о персональных данных (см. комментарий к ней). При этом само по себе присоединение заемщика к стандартным условиям договора банка не может служить безусловным выражением личного согласия заемщика в силу отсутствия у него специальных познаний в указанной области и с учетом того, что в отношениях с банком - исполнителем услуги по предоставлению заемщику денежных средств (кредита) гражданин является экономически слабой стороной и нуждается в особой защите своих прав (Постановление Девятого арбитражного апелляционного суда от 5 ноября 2013 г. N 09АП-34398/2013 по делу N А40-20717/13). При определенных условиях такое условие может быть признано недействительным как ущемляющее права потребителя <1>.

--------------------------------

<1> См. подробнее: Карапетов А.Г., Савельев А.И. Свобода договора и ее пределы. Т. 2. М., 2012. С. 382 - 385.

 

8. Пункт 6 ч. 1 комментируемой статьи содержит редко используемое, но от этого не менее важное условие обработки персональных данных при отсутствии согласия субъекта: обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (в частности, по причине бессознательного состояния такого лица, его безвестного отсутствия, лишения дееспособности и т.д.). Данное основание предполагает самостоятельное определение оператором жизненно важных интересов субъекта, к числу которых может относиться защита его жизни и здоровья, а также обусловленную объективными обстоятельствами невозможность использования основания, предусмотренного п. 1 ч. 1 ст. 6 Закона о персональных данных (согласие субъекта персональных данных). Тем самым в нем заложена идея о том, что право лица на жизнь и здоровье имеет приоритет перед правом лица на защиту его персональных данных, но только в тех случаях, когда оно не может само сделать выбор.

В качестве примера можно привести размещение заинтересованными гражданами в социальных сетях объявления о пропаже определенного человека с указанием его примет и иных персональных данных. Другим примером, потенциально подпадающим под данное исключение, являются случаи обработки персональных данных малолетних детей их родителями или иными законными представителями.

9. Обработка персональных данных без согласия субъекта персональных данных возможна, если она необходима для осуществления прав и законных интересов оператора, третьих лиц или достижения общественно значимых целей, но при условии ненарушения прав и законных интересов субъекта персональных данных. Данное положение дает определенную степень усмотрения оператору при решении вопросов обработки персональных данных, снижая степень его зависимости от согласия субъекта персональных данных. Оператор может оправдать осуществляемую им обработку своими законными правами и интересами либо законными правами и интересами иных лиц, а равно публичным интересом. Однако при этом ему необходимо также продемонстрировать, что такого рода обработка не имеет негативных последствий для субъектов персональных данных, и принять на себя риск возможного несогласия с этой оценкой со стороны субъектов или уполномоченных органов по защите персональных данных. Бремя доказывания наличия всех указанных условий лежит на операторе.

В целом представляется, что о законном интересе оператора можно говорить в ряде случаев, когда осуществляется обработка персональных данных для целей проявления должной осмотрительности при заключении сделок, для целей предотвращения мошеннических действий, угроз информационной безопасности и наступления иных обстоятельств, при которых оператор может понести существенный ущерб вследствие неправомерных действий третьих лиц.

На практике ссылка на законный интерес оператора использовалась, в частности, для оправдания права банка, выступающего в качестве собственника здания, получать и обрабатывать информацию о проживающих в нем лицах (Постановление Арбитражного суда Северо-Кавказского округа от 8 сентября 2015 г. N Ф08-6355/2015 по делу N А63-12601/2014). Данное основание также может использоваться для легитимации функционирования пропускного режима на территории оператора, поскольку в таком случае можно говорить об общественно полезной цели: обеспечении безопасности работников оператора и посетителей (Апелляционное определение Московского городского суда от 18 июня 2015 г. по делу N 33-20949/2015). В качестве еще одного примера возможного применения данной статьи можно указать разъяснения ВАС РФ, согласно которым "не требуется согласия физических лиц, вступивших в правоотношения с обществом, на предоставление участнику хозяйственного общества документов, содержащих персональные данные таких физических лиц (фамилию, имя, отчество и место жительства физического лица, иную информацию, необходимую для обращения в суд в соответствии с требованиями процессуального законодательства, сведения о размере вознаграждения физического лица и т.д.), если эта информация необходима участнику для целей защиты своих прав и законных интересов, например оспаривания сделки, заключенной с этим лицом, либо обращения в суд с иском к члену совета директоров (наблюдательного совета) общества, единоличному исполнительному органу общества, временному единоличному исполнительному органу общества, члену коллегиального исполнительного органа общества (правления, дирекции), равно как и к управляющему о возмещении причиненных обществу убытков" (п. 15 Информационного письма Президиума ВАС РФ от 18 января 2011 г. N 144 "О некоторых вопросах практики рассмотрения арбитражными судами споров о предоставлении информации участникам хозяйственных обществ").

Данное основание имеет субсидиарный характер по отношению к иным основаниям для обработки персональных данных без согласия оператора и не должно использоваться для обхода условий и ограничений, установленных в них. В частности, если соответствующее основание устанавливает в качестве обязательного условия для обработки выполнение требования обезличивания или содержит ограничение по целям такой обработки, например, недопустимость ее осуществления в целях политической агитации или прямого маркетинга (п. 9 ч. 1 ст. 6 Закона о персональных данных), то обходить указанные ограничения ссылкой на наличие у оператора "законного интереса" неправомерно. Не может быть и своего особого законного интереса у таких операторов, как органы государственной власти и органы местного самоуправления, поскольку они всегда должны действовать в рамках своей компетенции, прямо предусмотренной законом, и не могут ее произвольно расширять, прикрываясь категориями вроде "законный интерес". Представляется недопустимым использовать ссылки на законный интерес оператора для расширения возможностей по обработке персональных данных для целей исполнения договора, стороной которого является субъект (п. 5 ч. 1 ст. 6 Закона о персональных данных, см. выше комментарий к данному положению).

В отдельных судебных решениях можно найти проявление позиции, что законный интерес выступает в качестве остаточного основания и не должен использоваться для обхода иных оснований для обработки данных. Так, суды отказывают в применении данного пункта в случаях, когда оператор ссылается на законный интерес, выражающийся в защите своего права, а запрашиваемая информация может быть распространена только с согласия субъекта и отсутствуют иные основания для обработки без такого согласия (см., например, Апелляционное определение Московского городского суда от 24 октября 2019 г. по делу N 33-47975/2019).

Интересен вопрос о допустимости использования данного основания для обоснования введения системы видеонаблюдения за деятельностью работников на рабочем месте. Как отмечает Роскомнадзор в своих Разъяснениях, при соблюдении определенных условий это возможно. К ним относится отражение в локальном нормативном акте организации (например, правилах внутреннего трудового распорядка) факта наличия систем слежения с обоснованием производственной необходимости в их установке <1>. Кроме того, целесообразно обеспечение наличия в каждом рабочем помещении, где установлено видеооборудование, соответствующей таблички - предупреждения о видеозаписи. Примечательно, что недавняя практика ЕСПЧ также исходит из наличия у работодателя права контролировать, как работники исполняют свои трудовые обязанности, в том числе с использованием технических средств <2>. Отечественные суды обычно также решают вопрос в пользу работодателя, однако используя более прямолинейную логику. Так, в одном из решений суд указал, что "использование работодателем средств видеофиксации не нарушает основные конституционные права истца, поскольку видеозапись рабочего процесса не является раскрытием персональных данных работника и не используется для того, чтобы установить обстоятельства его частной жизни либо его личную и семейную тайну" (Апелляционное определение Московского городского суда от 4 августа 2016 г. N 33-30048/2016). Другой суд пришел к выводу, что "установка системы видеонаблюдения в... связана с обеспечением безопасности, в силу чего не является источником получения персональных данных работника по смыслу, заложенному в Федеральном законе "О персональных данных" (Апелляционное определение Свердловского областного суда от 25 марта 2016 г. по делу N 33-5427/2016). Как видно, суды в данном случае вообще рассматривают данные действия как выходящие за рамки законодательства о персональных данных, что вряд ли можно признать его корректным толкованием, на что косвенно указывает и отсутствие каких-либо аргументов у суда, кроме беспомощной ссылки на "смысл закона". При таких обстоятельствах представляется, что даже если они и признают применимость данного Закона, то вряд ли будут возражать против применения положений п. 7 ч. 1 ст. 6 Закона о персональных данных для ее легитимации.

--------------------------------

<1> См.: Разъяснения Роскомнадзора от 2 сентября 2013 г. "О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки" // СПС "КонсультантПлюс".

<2> См.: Постановление ЕСПЧ от 12 января 2016 г. по делу "Бэрбулеску (Barbelescu) против Румынии", жалоба N 61496/08. В данном случае речь шла о праве работодателя осуществлять контроль за использованием трафика и просмотр аккаунта мессенджера, используемого работником на рабочем компьютере.

 

GDPR содержит аналогичное основание, которое по сравнению с ранее действовавшей Директивой 1995 г. было дополнено положениями, согласно которым оно не может быть использовано государственными органами, а также в случаях, когда речь идет об обработке персональных данных несовершеннолетних (ст. 6(1)(f)).

10. Обработка персональных данных допустима без согласия субъекта в тех случаях, когда она осуществляется в общественном интересе, таком как реализация права на свободу слова (ст. 29 Конституции РФ) профессиональным журналистом и (или) в рамках законной деятельности средства массовой информации, а также для реализации права на свободу литературного, художественного, научного, технического и других видов творчества, преподавания (ст. 44 Конституции РФ). Однако при этом положения п. 8 ч. 1 ст. 6 Закона о персональных данных делают оговорку о недопустимости нарушения прав и законных интересов субъекта персональных данных.

Следует отметить, что комментируемое основание формально относится только к профессиональным журналистам, то есть к лицам, занимающимся редактированием, созданием, сбором или подготовкой сообщений и материалов для редакции зарегистрированного средства массовой информации, связанным с ней трудовыми или иными договорными отношениями либо занимающимся такой деятельностью по ее уполномочию <1>. Данный статус не распространяется на так называемых блогеров, даже если у них имеется значительное количество подписчиков.

--------------------------------

<1> См. ст. 2 Закона РФ от 27 декабря 1991 г. N 2124-1 "О средствах массовой информации" (СПС "КонсультантПлюс").

 

Под средством массовой информации понимается "периодическое печатное издание, сетевое издание, телеканал, радиоканал, телепрограмма, радиопрограмма, видеопрограмма, кинохроникальная программа, иная форма периодического распространения массовой информации под постоянным наименованием (названием)". Интернет-сайт, по общему правилу, СМИ не является, хотя в добровольном порядке может быть зарегистрирован как сетевое издание <1>. Поэтому, если интернет-ресурс не имеет регистрации СМИ, он не может воспользоваться комментируемым основанием для обработки персональных данных без согласия субъекта.

--------------------------------

<1> См.: Там же, ст. 8.

 

Применение данного основания для обработки персональных данных без согласия субъекта предполагает соблюдение журналистом обязанностей, предусмотренных законом. Так, к обязанностям журналиста в силу п. 5 ч. 1 ст. 49 Закона РФ от 27 декабря 1991 г. N 2124-1 "О средствах массовой информации" отнесена обязанность получать согласие (за исключением случаев, когда это необходимо для защиты общественных интересов) на распространение в средстве массовой информации сведений о личной жизни гражданина от самого гражданина или его законных представителей. Как указал Верховный Суд РФ, данным положением предусмотрен запрет на распространение в средствах массовой информации сведений о личной жизни граждан, если от них самих или от их законных представителей не было получено на то согласие, за исключением случаев, когда это необходимо для защиты общественных интересов. При этом к общественным интересам следует относить не любой интерес, проявляемый аудиторией, а, например, потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде (п. 25 Постановления Пленума Верховного Суда РФ от 15 июня 2010 г. N 16 "О практике применения судами Закона Российской Федерации "О средствах массовой информации").

На основании данных положений российская судебная практика исходит из приоритета согласия субъекта как основания для публикации его персональных данных в СМИ. В качестве иллюстрации можно привести дело, где фигурировала опубликованная статья, которая содержала сведения о заявителе: фамилию, имя, место работы, звание. Кроме того, в статье имелась врезка из статьи этой же газеты, в которой также публиковались персональные данные заявителя. Данные были опубликованы без согласования и разрешения заявителя. Суды указали, что наличия какой-либо необходимости или потребности общества в раскрытии персональных данных лица, упомянутого в статье, при этом не занимающегося какой-либо публичной деятельностью, по материалам дела не усматривается. Обстоятельства, свидетельствующие о том, что сведения были распространены для защиты общественных интересов, не установлены (Постановление Верховного Суда РФ от 28 июня 2018 г. N 74-АД18-11). В другом деле суд указал, что, опубликовав статью "Фронтовичка станет бомжом?" в газете, издательство таким образом раскрыло неопределенному кругу лиц персональные данные их субъекта без его согласия. По мнению суда, исключительные обстоятельства, при наличии которых в целях защиты общественных интересов раскрытие указанных данных допускается, отсутствовали (Постановление Арбитражного суда Волго-Вятского округа от 20 марта 2018 г. по делу N А43-11782/2017). Существуют и иные подобные решения (Постановление Волгоградского областного суда от 20 сентября 2018 г. по делу N 4а-697/2018).

К слову сказать, европейская практика подходит к данному вопросу гораздо более либерально, понимая под обработкой персональных данных в журналистских целях все случаи, когда соответствующие действия имеют своей целью "раскрытие общественности информации, мнений или идей безотносительно к используемым средствам коммуникации и носителям информации, а также к наличию или отсутствию факта получения прибыли за указанную деятельность" (Tietosuojavaltuutettu v. Satakunnan Markkinaporssi Oy and Satamedia Oy, ECJ, C-73/07, 16 December 2008).

Обработка персональных данных авторов научных работ или иных лиц, осуществляемая при написании работ, имеющих учебную или научную направленность, охватывается комментируемым основанием для обработки персональных данных как осуществляемая в рамках "научной, литературной или иной творческой деятельности".

Следует отметить, что комментируемое основание для обработки персональных данных может быть использовано только в той мере, в которой не нарушаются права и законные интересы субъекта персональных данных. Такое нарушение может иметь место, например, при описании события преступления с указанием персональных данных обвиняемого, потерпевшего и иных участников процесса (Постановление Верховного суда Республики Саха (Якутия) от 29 октября 2015 г. N 4а-547/2015). Кроме того, необходимо принимать во внимание положения ст. 41 Закона РФ "О средствах массовой информации", в частности, обязанность редакции разглашать в распространяемых сообщениях и материалах сведения, прямо или косвенно указывающие на личность несовершеннолетнего, совершившего преступление либо подозреваемого в его совершении, а равно совершившего административное правонарушение или антиобщественное действие, без согласия самого несовершеннолетнего и его законного представителя.

В связи со вступлением в силу ст. 10.1 Закона о персональных данных, устанавливающей особый правовой режим обработки персональных данных, разрешенных субъектом для распространения, перепечатывание содержащих персональные данные фрагментов статьи в СМИ или ином источнике, доступном неограниченному кругу лиц, возможно только с соблюдением такого правового режима. Это означает, что в основе такого дальнейшего распространения должно лежать соответствующее согласие субъекта персональных данных. Таким образом, сфера применения п. 8 ч. 1 ст. 6 Закона о персональных данных существенным образом сужается.

11. Допустимость обработки персональных данных без согласия их субъекта для статистических или иных исследовательских целей при условии обезличивания таких данных является одним из основных легитимирующих оснований (помимо согласия субъекта и законного интереса оператора) для разного рода действий с "большими данными", включающими в себя персональные данные, учитывая, что использование "больших данных" обычно сопряжено с деятельностью, которую специалисты по статистике определили бы как статистическую <1>.

--------------------------------

<1> Так, статистику определяют как отрасль знаний, объединяющую принципы и методы работы с числовыми данными, характеризующими массовые явления. См.: Елисеева И.И., Юзбашев М.М. Общая теория статистики. М., 2004. С. 13.

 

Применение данного основания возможно при одновременном соблюдении следующих условий:

1) наличии статистической или иной исследовательской цели;

2) обязательного предварительного обезличивания данных;

3) неиспользования результатов обработки в целях, указанных в ст. 15 Закона.

Понятие статистики имеет несколько значений. Во-первых, под статистикой понимают самостоятельную науку, изучающую количественную сторону массовых общественных явлений и процессов в неразрывной связи с их качественной стороной в конкретных условиях места и времени с целью выявления присущих этим явлениям закономерностей и тенденций. Во-вторых, статистикой также называют результат статистической деятельности, т.е. массив статистических данных или обобщающие показатели, характеризующие состояние массовых явлений и процессов по определенной совокупности за определенный период <1>. Как видно, данное понятие достаточно широкое, и нет никаких оснований для применения п. 9 ч. 1 ст. 6 Закона о персональных данных исключительно к официальной статистической информации в том смысле, который вкладывается в это понятие Федеральным законом от 29 ноября 2007 г. N 282-ФЗ "Об официальном статистическом учете и системе государственной статистики в Российской Федерации" <2>. Обработка персональных данных в статистических целях может осуществляться и в иных случаях.

--------------------------------

<1> См.: Садовникова Н.А., Дарда Е.С. и др. Статистика. Теория статистики / Российский государственный университет им. Плеханова. Кафедра статистики. М., 2017. С. 3.

<2> См.: СПС "КонсультантПлюс".

 

Под иными исследовательскими целями понимаются цели, отвечающие критериям научно-исследовательской деятельности в соответствии с Федеральным законом от 23 августа 1996 г. N 127-ФЗ "О науке и государственной научно-технической политике", который ее определяет как "деятельность, направленную на получение и применение новых знаний, в том числе:

- фундаментальные научные исследования - экспериментальная или теоретическая деятельность, направленная на получение новых знаний об основных закономерностях строения, функционирования и развития человека, общества, окружающей среды;

- прикладные научные исследования - исследования, направленные преимущественно на применение новых знаний для достижения практических целей и решения конкретных задач;

- поисковые научные исследования - исследования, направленные на получение новых знаний в целях их последующего практического применения (ориентированные научные исследования) и (или) на применение новых знаний (прикладные научные исследования) и проводимые путем выполнения научно-исследовательских работ".

Об обезличивании - см. комментарий к ст. 3 Закона.

В силу прямого указания п. 9 ч. 1 ст. 6 Закона о персональных данных такая обработка не должна использоваться для целей прямого маркетинга (продвижения товаров, работ, услуг на рынке посредством осуществления прямых контактов с потенциальным потребителем с помощью средств связи), а также для политической агитации. Таким образом, данное основание не может использоваться для легитимации обработки массивов данных клиентов с целью последующего направления им персонализированных (таргетированных) предложений. Однако данное основание вполне может быть использовано для обработки клиентских данных с целью принятия каких-либо внутренних управленческих решений (стратегии развития компании, изменения бизнес-модели и пр.).

Кроме того, следует отметить, что данное основание касается только обычных персональных данных, не затрагивая специальные их категории (например, данные о здоровье), а ст. 10 Закона о персональных данных, посвященная основаниям для обработки таких данных без согласия субъекта, в свою очередь, не содержит аналогичного положения.

Схожее основание существует и в GDPR (ст. 9(2)(j)), правда, в отличие от российского подхода в Европе оно прямо распространено на обработку персональных данных специальных категорий и несколько расширено: в перечень оснований включаются не только статистические и исследовательские цели, но и "архивирование данных в публичном интересе" и осуществление "исторических исследований". При этом должны обеспечиваться гарантии защиты прав субъектов персональных данных (в частности, посредством обезличивания данных), а также должно уважаться существо права на защиту персональных данных (essence of the right to data protection). К сожалению, GDPR не конкретизирует, в чем состоит существо данного права, оставляя этот вопрос на усмотрение правоприменительной практики.

12. С 1 июля 2020 г. в Законе о персональных данных появилось еще одно основание для обработки персональных данных без согласия субъекта: в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Законом о проведении эксперимента в области ИИ. В июле 2021 г. данное основание также было дополнено ссылкой на Федеральный закон от 31 июля 2020 г. N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации".

Данное основание потенциально имеет крайне широкую сферу применения, поскольку согласно ч. 1 ст. 3 Закона о проведении эксперимента в области ИИ помимо повышения эффективности государственного или муниципального управления целями эксперимента являются: 1) обеспечение повышения качества жизни населения; 2) повышение эффективности деятельности хозяйствующих субъектов в ходе внедрения технологий искусственного интеллекта; 3) формирование комплексной системы регулирования общественных отношений, возникающих в связи с развитием и использованием технологий искусственного интеллекта, по результатам установления экспериментального правового режима. Как видно, обтекаемость данных формулировок оставляет широкий простор для их творческого толкования как операторами, так и правоприменительными органами. Единственными формальными ограничителями сферы потенциального применения данного основания для обработки персональных данных являются: 1) наличие у оператора статуса участника эксперимента, приобретаемого в порядке, установленном ст. 5 данного Закона; 2) обработка и хранение таких данных на территории г. Москвы (ч. 7 ст. 4).

Закон о проведении эксперимента в области ИИ предусматривает следующие полномочия Правительства Москвы:

- определять порядок и случаи передачи собственниками средств и систем фото- и видеонаблюдения изображений, а также предоставления доступа к таким средствам и системам фото- и видеонаблюдения органам государственной власти и организациям, осуществляющим публичные функции в соответствии с нормативными правовыми актами РФ (п. 5 ч. 1 ст. 4). Данный порядок предусмотрен Постановлением Правительства Москвы от 3 декабря 2020 г. N 2136-ПП "О порядке и случаях передачи собственниками средств и систем фото- и видеонаблюдения изображений, а также предоставления доступа к средствам и системам фото- и видеонаблюдения в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в городе Москве". В нем указано, что передача и предоставление доступа к таким сведениям осуществляется с использованием государственной информационной системы "Единый центр хранения и обработки данных" на основе соглашения, заключаемого Департаментом информационных технологий города Москвы с собственником средств и систем наблюдения, в котором в том числе определяются случаи передачи изображений и предоставления доступа к средствам и системам наблюдения. Для того чтобы понять, какой объем информации может выступать предметом обработки в данном случае, необходимо обратиться к п. 2 Положения о государственной информационной системе "Единый центр хранения и обработки данных", утв. Постановлением Правительства Москвы от 7 февраля 2012 г. N 24-ПП, согласно которому в данной системе содержится совокупность информации об объектах, за которыми ведется видеонаблюдение (объекты видеонаблюдения), а именно: видеоизображение объекта видеонаблюдения; сведения о его местонахождении, дате и времени осуществления видеонаблюдения; совокупность сведений о поставщиках и пользователях информации об объектах видеонаблюдения; история движения данной информации;

- по согласованию с уполномоченным федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, определять порядок и условия обработки участниками экспериментального правового режима персональных данных, полученных в результате обезличивания (п. 6 ч. 1 ст. 4). При этом такие персональные данные не могут быть переданы лицам, не являющимся участниками экспериментального правового режима. В случае утраты статуса участника экспериментального правового режима или прекращения эксперимента в связи с истечением срока его проведения лицо, являвшееся участником экспериментального правового режима, утрачивает право на получение персональных данных, полученных в результате обезличивания, а хранящиеся у такого лица персональные данные, полученные в результате обезличивания, подлежат уничтожению. Порядок и условия обработки участниками экспериментального правового режима персональных данных, полученных в результате обезличивания, утвержден Постановлением Правительства Москвы от 3 декабря 2020 г. N 2138-ПП. Данный Порядок предусматривает необходимость заключения участниками эксперимента специальных соглашений с Департаментом информационных технологий г. Москвы, требования к содержанию которых установлены в приложении к такому порядку. При отсутствии такого соглашения комментируемое основание для обработки персональных данных без согласия субъекта применяться не может. Обезличивание персональных данных осуществляется в соответствии с методологиями, предусмотренными законодательством РФ (см. комментарий к понятию "обезличивание" в ст. 3 Закона).

Кроме того, указанный порядок устанавливает ряд запретов: 1) на реидентификацию обезличенных данных, 2) на передачу обезличенных данных лицам, не обладающим статусом участника эксперимента, 3) на обработку обезличенных данных участниками экспериментального правового режима с применением технологий, не позволяющих обеспечить уничтожение обезличенных данных посредством средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в составе которых реализована функция уничтожения информации.

Федеральный закон от 31 июля 2020 г. N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации" устанавливает в ст. 3 еще более широкий перечень оснований для установления экспериментального правового режима (далее - ЭПР): 1) формирование по результатам реализации ЭПР новых видов и форм экономической деятельности, способов осуществления экономической деятельности; 2) развитие конкуренции; 3) расширение состава, повышение качества или доступности товаров, работ и услуг; 4) повышение эффективности государственного или муниципального управления; 5) обеспечение развития науки и социальной сферы; 6) совершенствование общего регулирования по результатам реализации ЭПР; 7) привлечение инвестиций в развитие предпринимательской деятельности в сфере цифровых инноваций в Российской Федерации; 8) создание благоприятных условий для разработки и внедрения цифровых инноваций.

Решение об установлении ЭПР и утверждении программы ЭПР принимается Правительством РФ (в отношении финансовых рынков - Банком России) путем издания соответственно акта Правительства РФ, акта Банка России об установлении ЭПР и утверждении его программы.

В программе ЭПР в обязательном порядке должны содержаться порядок и условия обезличивания и последующей обработки субъектом ЭПР персональных данных при условии обязательного обезличивания персональных данных, если ЭПР предусматривает обработку субъектом ЭПР персональных данных, полученных в результате обезличивания.

При этом программой ЭПР должно быть предусмотрено, что персональные данные, полученные в результате обезличивания и обрабатываемые субъектом ЭПР, не могут быть переданы иным лицам. В случае прекращения статуса ЭПР субъект экспериментального правового режима утрачивает право на обработку персональных данных, полученных в результате обезличивания, а хранящиеся у него персональные данные, полученные в результате обезличивания, подлежат уничтожению в порядке, установленном Минцифры РФ. Для уничтожения персональных данных, полученных в результате обезличивания, применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации.

Срок действия экспериментального правового режима определяется программой экспериментального правового режима с учетом целей, указанных в ст. 3 Федерального закона N 258-ФЗ, и не может превышать три года.

Как видно из приведенных положений, они допускают достаточно большую степень усмотрения в формулировании изъятий из общего режима обработки персональных данных, делегированную на подзаконный уровень. Такого рода подход со временем способен уничтожить определенное единство регулирования вопросов обработки персональных данных, обеспечиваемое Законом о персональных данных, создавая лоскутное одеяло из льготных правовых режимов, применимых к крупным операторам - участникам ЭПР. Как следствие, соблюдение общих требований Закона о персональных данных может стать уделом малого и среднего бизнеса, а также тех немногих крупных компаний, которые не участвуют в тех или иных ЭПР.

13. Последнее основание для обработки персональных данных при отсутствии согласия субъекта персональных данных касается случаев обязательного раскрытия информации в соответствии с требованиями федерального закона. Данное основание представляется излишним, поскольку лицо, которое обязано раскрывать или публиковать персональные данные в силу закона, могло бы это делать на основании п. 2 ч. 1 ст. 6 "для выполнения возложенных законодательством РФ на оператора обязанностей".

Примеры такого рода требований законодательства:

- положения, обязывающие граждан, претендующих на замещение должностей государственной или муниципальной службы, раскрывать сведения о своих доходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей (ст. 8 Федерального закона от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции");

- законодательство о банкротстве, в соответствии с которым подлежат публикации сведения о наименовании должника, его адресе и идентифицирующих должника сведениях (государственный регистрационный номер записи о государственной регистрации юридического лица, государственный регистрационный номер записи о государственной регистрации индивидуального предпринимателя, идентификационный номер налогоплательщика, страховой номер индивидуального лицевого счета) (п. 8 ст. 28 Федерального закона от 26 октября 2002 г. N 127-ФЗ "О несостоятельности (банкротстве)" <1> (далее - Закон о банкротстве));

- обязанность медицинских организаций размещать в сети Интернет сведения о медицинских работниках медицинских организаций, об уровне их образования и об их квалификации (п. 7 ч. 1 ст. 79 Закона об охране здоровья);

- обязанность образовательных организаций размещать на своем официальном сайте в сети Интернет следующие данные о работниках организации: информация о руководителе образовательной организации, его заместителях, руководителях филиалов образовательной организации (при их наличии), в том числе: фамилия, имя, отчество (при наличии) руководителя, его заместителей; должность руководителя, его заместителей; контактные телефоны; адрес электронной почты; персональный состав педагогических работников с указанием уровня образования, квалификации и опыта работы, в том числе: фамилия, имя, отчество (при наличии) работника; занимаемая должность (должности); преподаваемые дисциплины; ученая степень (при наличии); ученое звание (при наличии); наименование направления подготовки и (или) специальности; данные о повышении квалификации и (или) профессиональной переподготовке (при наличии); общий стаж работы; стаж работы по специальности (Постановление Правительства РФ от 10 июля 2013 г. N 582 "Об утверждении Правил размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети Интернет и обновления информации об образовательной организации").

--------------------------------

<1> См.: СПС "КонсультантПлюс".

 

В связи со вступлением в силу Федерального закона N 519-ФЗ и появлением особого правового режима в отношении персональных данных, разрешенных субъектом для распространения, а также отсутствием в нем прямо предусмотренных исключений в отношении персональных данных, раскрытие которых осуществляется в рамках исполнения закона не органами государственной власти или местного самоуправления, а иными лицами, возникает вопрос о том, как соблюдать требования законодательства о раскрытии информации в новых реалиях. Конечно, можно попробовать получить от всех подобных лиц согласие в порядке, установленном ст. 10.1 Закона о персональных данных, но такой подход является достаточно абсурдным. Во-первых, потому что наличие в специальном законе специального требования об обязательном раскрытии информации означает, что данная информация является важной для общества и в данном случае конституционное право на поиск и распространение информации имеет приоритет перед правом на неприкосновенность частной жизни. При таких обстоятельствах получение согласия от субъекта является требованием, не адекватным сложившейся ситуации. Во-вторых, обязание операторов, обязанных раскрывать персональные данные в силу закона, получать согласие от их субъектов под страхом привлечения оператора к ответственности за неполучение такого согласия будет вынуждать последних к использованию различных форм принуждения лиц к даче такого согласия. Это будет не только провоцировать конфликтные ситуации, но и будет деформировать институт согласия и лежащий в основе него принцип добровольности его дачи, что будет негативным образом сказываться на толковании требований к согласию в иных ситуациях. В этой связи получение согласия от субъекта на раскрытие его данных в силу требований закона будет противоречить самой сути положений ст. 10.1 Закона о персональных данных как направленных на обеспечение гражданина контролем над публичным распространением своих данных.

Очевидно, что в данном случае имеет место пробел законодательства, вызванный спешкой в принятии Федерального закона N 519-ФЗ. Лицо не может нести ответственность за совершение действий, которые оно обязано совершить в силу закона. В этой связи недопустимо привлекать такое лицо к административной ответственности по ст. 13.11 КоАП РФ за нарушение правил обработки персональных данных, если оно при этом осуществило обязательное раскрытие информации в силу закона. В качестве формального основания для данной позиции могут выступать положения ч. 7 ст. 3 Федерального закона от 31 июля 2020 г. N 247-ФЗ "Об обязательных требованиях в Российской Федерации": "В случае действия противоречащих друг другу обязательных требований в отношении одного и того же объекта и предмета регулирования, установленных нормативными правовыми актами равной юридической силы, лицо считается добросовестно соблюдающим обязательные требования и не подлежит привлечению к ответственности, если оно обеспечило соблюдение одного из таких обязательных требований".

Представляется, что в перспективе данная ошибка будет признана законодателем и исключения из правового режима персональных данных, разрешенных субъектом для распространения, будут прописаны более точно и с использованием при этом уже сложившихся категорий Закона о персональных данных. Имеется в виду указание такого рода исключений посредством ссылок на основания для обработки данных, уже предусмотренные в ст. 6, 10, 11 Закона о персональных данных, вместо создания новых сущностей, коей является ч. 15 ст. 10.1. Это позволит не только обеспечить единообразие терминологии, но и распространить наработанный по соответствующим основаниям массив правоприменительной практики на новые отношения, что будет способствовать определенности и некоторой предсказуемости правового регулирования. До указанного момента в качестве одного из ключевых аргументов об отсутствии нарушений в действиях оператора, размещающего персональные данные в рамках обязательного раскрытия информации, предусмотренного федеральным законом, при отсутствии специального согласия субъекта по ст. 10.1 может также выступать Постановление Конституционного Суда РФ от 25 мая 2021 г. N 22-П. Данное Постановление, принятое уже после вступления в силу ст. 10.1 Закона о персональных данных, признало допустимым размещение на веб-сайте СМИ информации о физическом лице в виде отзыва о его профессиональной деятельности на основании п. 8 ч. 1 ст. 6 Закона о персональных данных. Учитывая, что данное Постановление, по сути, подтвердило применимость уже существовавших на момент вступления в силу ст. 10.1 оснований для обработки персональных данных без согласия субъекта и непосредственно касается размещения таких данных в сети Интернет, выраженная в нем правовая позиция вполне может быть распространена и на п. 11 ч. 1 ст. 6 Закона о персональных данных.

14. Обработка персональных данных лиц, подлежащих государственной охране ("объекты государственной охраны"), и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 г. N 57-ФЗ "О государственной охране" <1>. К таким лицам относятся Президент РФ, Председатель Правительства, Председатель Совета Федерации, Председатель Государственной Думы, Председатель Конституционного Суда, Председатель Верховного Суда, Генеральный прокурор, Председатель Следственного комитета РФ, главы иностранных государств и правительств и иные лица иностранных государств во время пребывания на территории Российской Федерации, а также иные лица, установленные законом.

--------------------------------

<1> См.: СПС "КонсультантПлюс".

 

Ключевая особенность обработки персональных данных таких лиц содержится в п. 14.1 вышеуказанного Закона и сводится к тому, что органы государственной охраны могут давать согласие на обработку персональных данных объектов государственной охраны и членов их семей, а также принимать непосредственные меры по защите таких данных. Закон не конкретизирует характер этих мер, по всей видимости, такая конкретизация содержится в ведомственных актах с грифом "для служебного пользования".

15. Часть 3 комментируемой статьи регулирует статус лица, осуществляющего обработку персональных данных по поручению оператора, которое в европейской практике именуется "обработчиком" (data processor).

Ключевыми характеристиками данного лица являются: 1) наличие самостоятельной правосубъектности, то есть такое лицо должно быть юридически самостоятельным по отношению к оператору, что позволяет исключить из его сферы работников оператора и обособленные подразделения организации - оператора, а также 2) обработка осуществляется данным лицом в интересах оператора. Таким образом, у обработчика отсутствует собственный интерес (цели) в обработке таких данных помимо предоставления соответствующих услуг заказчику.

Таким образом, можно обозначить отношения, возникающие между оператором и обработчиком, как отношения "аутсорсинга" в широком смысле, предполагающие при э