Содержание статьи:

Судебная практика по спорам о защите персональных данных

определении Верховного Суда РФ от 24.06.2015 N 18-АПГ15-7

Постановлением Правительства РФ от 19 января 1998 г. N 55
Положение о порядке ведения кассовых операций с банкнотами и монетой Банка России на территории Российской Федерации
Указания Банка России от 11 марта 2014 г. N 3210-У

1. Закон о защите персональных граждан не противоречит Конституции РФ

Конституционный Суд РФ решил, что норма «О персональных данных», согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, не противоречит Конституции РФ.

2. За распространение материалов, содержащих персональные данные, СМИ может быть закрыто

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может прекратить деятельность средства массовой информации, если были установлены факты распространения материалов, содержащих персональные данные, и другие систематические нарушения требований закона, допущенные редакцией издания. Так решил Верховный суд РФ.

3. Требование о предъявлении паспорта на кассе не является нарушением

Нарушение установленного законом порядка сбора, хранения и использования информации о гражданах подлежит административному наказанию. Однако у покупателя в магазине при возврате товара кассир обязан проверить паспорт и заполнить финансовую документацию, в соответствии с требованием законодательства. Верховный суд РФ, что такие действия не являются нарушением закона о защите персональных данных.

4. Организации обязаны предоставлять ФАС сведения о персональных данных клиентов

Федеральная антимонопольная служба имеет право наказать организацию за отказ предоставить по запросу документы, которые содержат персональные данные физических лиц. Так решил Верховный суд РФ.

5. Журналисты должны получать согласие на использование изображений и персональных данных граждан

Если журналист не получил согласия гражданина на публикацию информации о нем и фотографии в СМИ, то он нарушил закон и должен компенсировать гражданину моральный вред. Так решил Санкт-Петербургский городской суд.

Защита персональных данных: первые итоги и перспективы судебных дел

Жердина, Двенадцатова_Защита персональных данных_первые итоги и перспективы судебных дел_11.2017

Защита персональных данных на сегодняшний день – тематика весьма актуальная, что связано не только с молниеносным развитием интернет технологий и глобализацией в целом, но и необходимостью защитить право граждан на частную жизнь. Распространение облачных технологий, появление Big Data, трансграничная передача персональных данных бросают все новые вызовы как законодателю, так и судам при рассмотрении споров о защите персональных данных.

В роли органа по надзору и контролю за защитой прав субъектов персональных данных выступает Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор). В своем стремлении обеспечить порядок при обработке персональных данных и выполнение требований законодательства о персональных данных Роскомнадзор порой идет на весьма радикальные меры по отношению к правонарушителям.

Не так давно обсуждалась блокировка портала LinkedIn (ноябрь 2016 года), как на днях Роскомнадзор выступил с новым заявлением о возможной блокировке социальной сети Facebook[1]. К слову, у Роскомнадзора также заведена страница в данной социальной сети[2]. Инициатива с блокировкой одного из самых посещаемых интернет-порталов[3] связана с несоблюдением Facebook требования о хранении персональных данных российских гражданах на локальных серверах[4]. Требование о локализации персональных данных стало камнем преткновения и в случае с LinkedIn.

В данной статье будут рассмотрены самые масштабные и интересные дела о защите персональных данных. Вместе с тем, перед этим отметим, что даже само понятие персональных данных трактуется судами по-разному, о чем следует сказать отдельно.

Понятие персональных данных в судебной практике

Понятие персональных данных имеет принципиальное значение, так как именно признание или непризнание информации персональными данными определяет то, будут ли применяться положения законодательства о персональных данных или нет. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) признает персональными данными любую информацию, относящуюся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных).

В качестве ключевого фактора отнесения информации к персональным данным выступает возможность идентифицировать лицо на основе данных, имеющихся у оператора. В связи с тем, что Закон о персональных данных не уточняет, что именно на базе таких данных лицо может быть установлено/определено, в судебной практике часто возникают споры о том, что следует относить к персональным данным субъекта.

Так, например, споры возникают относительно того, можно ли считать IP-адрес персональными данными или нет. Ведь IP-адрес позволяет идентифицировать устройство, с которого был осуществлен выход в интернет, но никак не конкретного пользователя[5]. Хотя Суд Европейского союза, например, считает иначе, заявляя о том, что IP-адреса являются охраняемыми персональными данными[6]. Российские суды не так категоричны и прямо не указывают в своих решениях на то, что IP-адрес можно отнести к персональным данным. Однако, совершенно очевидно, что в подавляющем большинстве случаев с помощью IP-адресов можно идентифицировать устройство, с которого выполнялся выход Интернет, и круг пользователей, а также их взаимосвязь, если пользователи выходили в сеть с одного IP-адреса[7].

Немало споров возникает и относительно того, стоит ли признавать фото (изображение) лица персональными данными. Закон о персональных данных упоминает лишь о биометрических персональных данных, к которым следует относить данные, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. При этом фото или изображение само по себе, без привязки к иным данным, позволяющим идентифицировать личность, персональными данными признаваться не могут. Именно так квалифицировал суд изображение истца, размещенное на косметической продукции, распространяемой ответчиком, обозначив, что Закон о персональных данных к данным отношениям неприменим[8]. При этом, в разъяснениях Роскомнадзора[9] справедливо указано на то, что нормы Гражданского кодекса (далее – ГК РФ) о нематериальных благах, включая изображение гражданина (ст. 152.1 ГК РФ), могут применяться к отношениям, возникающим в связи и по поводу персональных данных.

По мнению некоторых судов, не относятся к персональным данным и адрес электронной почты в силу того, что он, по мнению судов, не позволяет идентифицировать субъект персональных данных, а является лишь средством передачи данных[10]. Однако такая позиция далеко не однозначна, поэтому в судебной практике нет единого подхода относительно того, считать ли адрес электронной почты персональными данными или нет. Есть мнение, что адрес электронной почты позволяет определить конкретное лицо, которому он принадлежит[11].

На сегодняшний день суды безоговорочно признают персональными данными:

ФИО, адрес и паспортные данные лица;

размер задолженности по оплате коммунальных платежей[12];

анкетные данные, указанные в заявлении на получение потребительского кредита (ФИО, дата и место рождения, адрес регистрации и фактического проживания, рабочий и мобильный телефон, паспортные данные, сведения о работе и членах семьи)[13];

материалы пенсионного дела[14];

данные о работнике из трудового договора[15];

информация о привлечении к административной ответственности физических лиц[16];

информация об автомототранспортных средствах, зарегистрированных на физических лиц[17].

В одном из решений[18] были перечислены т.н. идентификаторы, — данные, позволяющие однозначно установить конкретное лицо: номер и серия паспорта; СНИЛС; ИНН[19]; биометрические данные; банковские реквизиты[20].

Таким образом, если совокупность данных необходима и достаточна для идентификации лица, такие данные следует относить к персональным данным.

Локализация персональных данных в судебной практике

Согласно части 5 статьи 18 Закона о персональных данных при сборе персональных данных, в том-числе в сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Из этого правила есть исключения:

обработка для достижения целей, предусмотренных международным договором Российской Федерации или для осуществления и выполнения возложенных законодательством российской Федерации на оператора функций, полномочий и обязанностей;

обработка в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

обработка при предоставлении государственных или муниципальных услуг;

обработка для осуществления профессиональной деятельности журналиста, законной деятельности СМИ, научной литературной творческой деятельности, если не нарушаются права и законные интересы субъекта персональных данных.

У Роскомнадзора есть в арсенале весьма действенный способ борьбы с правонарушителями – блокирование интернет-ресурса.

Самым «громким» делом, связанным с нарушением требования локализации, безусловно, является блокировка LinkedIn в ноябре 2016 года (дело № 33-38783/16[21]). В связи с возможной блокировкой Facebook кратко вспомним, в чем состоял данный спор.

Суть спора: истец (Роскомнадзор) обратился в Московский городской суд с требованием признать деятельность интернет-ресурсов (http://www.linkedin.com, http://linkedin.com) по сбору, использованию и хранению персональных данных граждан Российской Федерации нарушающей требования Закона о персональных данных и права граждан на неприкосновенность частной жизни, личную и семейную тайну. По мнению истца, нарушение ответчиком (LinkedIn Corporation) Закона о персональных данных заключалось в сборе персональных данных граждан Российской Федерации без локализации баз данных как того требует Закон о персональных данных. Кроме того, истец через указанные интернет-ресурсы получал доступ к сведениям третьих лиц, не являющимися пользователями LinkedIn, посредством синхронизации с электронной почтой и устройствами пользователей.

Смотрите так же:  Судебные приставы г саратов волжский район

Несмотря на то, что ответчик зарегистрирован за пределами Российской Федерации, Роскомнадзор в ходе рассмотрения дела указал на то, что интернет-ресурс направлен на территорию Российской Федерации. Об этом, по мнению Роскомнадзора, свидетельствует наличие русскоязычной версии сайта, а также возможность использования рекламы на русском языке. Отметим, что подобные выводы коррелируются с разъяснениями Министерства связи и массовых коммуникаций Российской Федерации «Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года»[22].

Исход дела: суд полностью удовлетворил требования истца.

Указанное выше дело доказывает серьезность намерений Роскомнадзора обеспечить локализацию баз данных на территории Российской Федерации. Отметим, что LinkedIn Corporation на дату написания данной статьи не сумела договориться с Роскомнадзором о снятии блокировки с сайта LinkedIn[23].

Судебная практика, когда цели обработки персональных данных не совпадали с заявленными

В соответствии с частью 2 статьи 5 Закона о персональных данных обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработка, несовместимая с целями сбора персональных данных, влечет административную ответственность по части 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ).

В этой связи интересным представляется дело № А40-18827/2017, которое в октябре 2017 года рассмотрено в Арбитражном суде г. Москвы и широко освещалось в прессе[24]. Истцом по данному делу является социальная сеть «ВКонтакте»[25].

Суть спора: истец обратился в Арбитражный суд г. Москвы к ООО «Дабл» и АО «Национальное бюро кредитных историй» (далее – НБКИ) о защите исключительных смежных прав на базу данных. Дело в том, что ответчики, по мнению истца, использовали открытую информацию пользователей социальной сети «ВКонтакте» для оценки кредитоспособности пользователей. Кроме того, ответчики продавали эту информацию банкам.

Требования истца: обязать ответчиков прекратить использовать открытые данные пользователей для оценки кредитоспособности и продажи своих услуг, взыскать с ответчиков по 1 рублю в качестве символической денежной компенсации.

Рассмотрение дела: c одним из ответчиков, НБКИ, истец заключил мировое соглашение. Как следует из мирового соглашения, НБКИ основывалось на том, что ООО «Дабл» правомерно использует данные из социальной сети. В течение 30 дней с даты утверждения судом мирового соглашения НБКИ обязуется пересмотреть свои правоотношения с ООО «Дабл» таким образом, чтобы они не нарушали права истца, или прекратить их. Кроме того, НБКИ обязуется не использовать технологию и продукты третьих лиц, а также собственные технологии и продукты, функционирование которых основано на извлечении информационных элементов из базы данных истца без соответствующего разрешения истца.

Что касается рассмотрения дела в отношении второго ответчика (ООО «Дабл»), Арбитражный суд города Москвы 12 октября 2017 года полностью отказал в удовлетворении иска ВКонтакте.

Комментарии к делу: внимание прессы к данному делу вполне оправдано. С одной стороны, данные находятся в открытом доступе. С другой, ни истец, ни пользователи социальной сети не давали своего согласия на извлечение информации из базы данных и ее коммерческое использование. Кроме того, здесь может иметь место и коммерческий подтекст – дело в том, что Mail.Ru Group (владелец истца) и сам начал инвестировать в продукты для оценки кредитных рисков для российских банков (об этом напоминает ответчик ООО «Дабл»[26], а также ранее сообщалось в сети «Интернет»[27]). Таким образом, суду предстояло решить, может ли ООО «Дабл» использовать в своих коммерческих интересах данные пользователей, находящиеся в публичном доступе.

Арбитражный суд города Москвы отказал в удовлетворении иска. Как указал суд, истец не доказал факт создания базы данных, факт возникновения исключительных прав на базу данных, не представлено доказательств, подтверждающих факт осуществления затрат на создание, работу по сбору или обработку материалов, составляющих базу данных, а также не представлено доказательств извлечения ответчиком каких-либо материалов из базы данных истца.

Ответчик (ООО «Дабл») пояснил, что его программное обеспечение обрабатывает исключительно открытую информацию о пользователях и является, по сути, поисковой системой.

В решении суд особо отметил, что, исходя из предмета и основания иска, судом не рассматриваются вопросы законной обработки персональных данных. В рамках судебного разбирательства истец должен доказать исключительные права на базу данных, а также факт использования базы данных ответчиком.

Отметим, что дело ВКонтакте рассмотрено лишь в первой инстанции. У истца есть 30 дней на обжалование решения.

Дальнейшее рассмотрение дела ВКонтакте покажет, пойдет ли российская практика по пути американских судов, которые в августе 2017 года разрешили компании hiQ Labs использовать данные пользователей социальной сети LinkedIn, находящиеся в открытом доступе[28]. Компания hiQ Labs использовала указанные данные с целью создания алгоритмов, позволяющих предсказывать поведение работников (например, вероятность увольнения).

Есть и противоположный опыт. Так, в ноябре 2016 года компания Facebook запретила страховой компании Admiral Insurance использовать данные о поведении пользователей для расчета стоимости страхования для автовладельцев[29]. Компания Admiral Insurance собирала данные о «лайках» и «постах» пользователей, анализировала их и предлагала скидку на страховку до 350 фунтов в год тем пользователям, поведение которых в сети ассоциируется с сознательным управлением автомобилем (например, бОльшую скидку получали пользователи, которые используют в письменной речи короткие предложения, назначают точную дату и время для встречи с друзьями и т.п.).

По нашему мнению, и как правильно отмечают некоторые авторы[30], использование технологии «больших данных» (англ. Big Data)[31] (а именно к ним относятся данные пользователей социальных сетей) в данном случае требует согласия пользователей, если данные используются в коммерческих целях, а не в статистических или иных исследовательских целях. Напомним, что обработка персональных данных в статистических и иных исследовательских целях по общему правилу не требует согласия согласно пункту 9 части 1 статьи 6 Закона о персональных данных, если эти данные обезличены.

Судебная практика, связанная с нарушением законодательства о персональных данных, весьма неоднородна. В этой связи особая роль в регулировании отношений, связанных с персональными данными, отводится Роскомнадзору, наделённому сегодня ключевыми полномочиями по контролю за соблюдением законодательства о персональных данных. При этом, представляется, что подход Роскомнадзора и судов должен быть сбалансированным для целей формирования последовательной и однородной судебной практики. На примере LinkedIn Роскомнадзор, а также российский суд показали серьезность намерений бороться с правонарушителями. Не давая оценки подходу Роскомнадзора и судов к борьбе с правонарушителями, мы рекомендуем российским и зарубежным компаниям, деятельность которых направлена на российский рынок, тщательно проанализировать работу с персональными данными, выявить «уязвимые» места и предпринять меры по минимизации рисков, связанных с некорректной обработкой персональных данных.

[3] По данным агентства Mediascope, число посетителей социальной сети Facebook составило порядка 19,2 млн. См. подробнее: http://mediascope.net/press/news/329016/?sphrase_id=165578.

[4] См.: Федеральный закон о внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях от 21 июля 2014 года № 242-ФЗ.

[5] Под IP-адресом (сокр. от англ. Internet Protocol Address) следует понимать сетевой адрес — уникальный идентификатор (адрес) устройства, подключенного к сети Интернет. См. подробнее судебную практику, где суды не призвали IP-адрес персональными данными: Постановление Тринадцатого арбитражного апелляционного суда от 05.07.2017 № 13АП-5614/2017, 13АП-5604/2017 по делу № А56-12177/2016.

Статический IP-адрес выделяется устройству (конечному пользователю) на постоянной основе.

[7] См.: Постановление Третьего арбитражного апелляционного суда от 08.09.2017 по делу № А74-13090/2016; Постановление Восьмого арбитражного апелляционного суда от 05.09.2017 № 08АП-7948/2017 по делу № А75-16756/2016.

[8] См.: Апелляционное определение Санкт-Петербургского городского суда от 15.11.2016 № 33-22976/2016 по делу № 2-2932/2015.

[9] См.: Разъяснения Роскомнадзора от 2 сентября 2013 г. «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки».

[10] См.: Апелляционное определение Московского городского суда от 12.12.2016 по делу № 33-42101/2016.

[11] Апелляционное определение Санкт-Петербургского городского суда от 31.01.2017 № 33а-1151/2017 по делу № 2а-4760/2016.

[12] См.: Постановление Нижегородского областного суда от 12 мая 2015 г. № 4а-288/2015; Апелляционное определение Московского городского суда от 22 мая 2014 г. по делу № 33-14709.

[13] См.: Апелляционное определение Тульского областного суда от 28 апреля 2015 г. по делу № 33-850.

[14] См.: Определение Приморского краевого суда от 19 января 2015 г. по делу № 33-470, 33-11759.

[15] См.: Апелляционное определение Верховного суда Республики Саха (Якутия) от 23 октября 2013 г. по делу № 33-4172/13; Постановление Арбитражного суда Западно-Сибирского округа от 21.10.2016 № Ф04-4431/2016 по делу № А45-2491/2016; Апелляционное определение Самарского областного суда от 02.06.2017 по делу № 33а-7253/2017.

[16] См.: Постановление Верховного Суда РФ от 14.03.2017 № 46-АД17-2; Постановление Восемнадцатого арбитражного апелляционного суда от 27.12.2016 № 18АП-15436/2016 по делу № А76-15768/2016.

[17] См.: Постановление Четвертого арбитражного апелляционного суда от 02.08.2017 № 04АП-3856/17 по делу № А19-342/2017; Апелляционное определение Верховного суда Республики Крым от 03.07.2017 по делу № 33а-5225/2017.

[18] См.: Апелляционное определение Новосибирского областного суда от 04.07.2017 по делу № 33-6394/2017.

[19] Вместе с тем, относительно ИНН позиция судов неоднозначна. В частности, в некоторых судебных решениях четко обозначено, что ИНН к персональным данным не относится: Апелляционное определение Санкт-Петербургского городского суда от 3 февраля 2015 г. № 33-1644/2015 по делу № 2-3097/2014.

Смотрите так же:  Пособие беременной неработающей женщине

[20] См.: Апелляционное определение Волгоградского областного суда от 01.12.2016 по делу № 33-14837/2016.

[21] См. Определение Московского городского суда от 10 ноября 2016 года по делу № 33-38783/16.

[22] Разъяснения доступны по ссылке http://minsvyaz.ru/ru/personaldata/#1438546529980 (дата обращения к странице – 28.09.2017).

[25] Для удобства изложения далее мы будем называть данное дело как «дело ВКонтакте».

[27] См., например, https://corp.mail.ru/ru/press/releases/9507/ (дата обращения к странице — 28.09.2017), https://vc.ru/17097-mrg-banks (дата обращения к странице — 28.09.2017).

[30] А.И. Савельев. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных. С.92. Издательство «Статут».

[31] Не претендуя на универсальность, в данной статье под «большими данными» (Big Data) мы будем понимать различные возможности (методы, способы, инструменты) для обработки больших массивов данных (например, таких, как данные пользователей соцсетей) с целью использования их для достижения конкретных задач и целей.

Прокуроры взялись за судебную практику по защите персональных данных

Генпрокуратура призывает прокуроров активнее и в полной мере использовать свои полномочия для пресечения нарушений закона РФ о персональных данных. Об этом говорится в статье начальника Главного управления по надзору за исполнением Федерального законодательства Генпрокуратуры Анатолия Паламарчука в журнале «Законность», опубликованной сегодня на сайте Генпрокуратуры.

В материале говорится, что в числе полномочий Роскомнадзора Законом о персональных данных предусмотрено право на обращение в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представление их интересов в суде, на принятие мер по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований закона.

Анализ практики показывает, что в современных условиях деятельность уполномоченного органа по защите прав субъектов персональных данных не всегда осуществляется на должном уровне, что обусловливает необходимость повышенного внимания прокуроров к этой сфере правоотношений.

Так Генеральная прокуратура РФ в рамках мониторинга размещаемой в российском сегменте информационно-телекоммуникационной сети Интернет информации выявила нарушения прав граждан на защиту и сохранность их персональных данных, неприкосновенность частной жизни.

Вопреки требованиям ст. 9 Закона о персональных данных, без согласия субъектов персональных данных на ряде Интернет-сайтов неограниченному кругу лиц предоставлялся доступ к персональным данным проживающих в Москве и Московской области граждан РФ, включающим фамилии, имена, отчества, даты рождения и адреса места жительства.

По поручению Генпрокуратуры органами прокуратуры Москвы наиболее крупным 7-ми магистральным провайдерам, находящимся на территории Москвы, объявлены предостережения о недопустимости нарушения требований Закона о персональных данных. В предостережениях указано, что с момента объявления предостережения руководитель компании – магистрального провайдера считается уведомленным о наличии нарушений Закона о персональных данных и должен предпринять организационно-технические меры для защиты персональных данных пользователей российского сегмента сети Интернет и прекратить доступ к незаконно предоставляемой информации. Требования прокурора были выполнены незамедлительно.

Учитывая, что два сайта, на которых размещена информация, нарушающая права граждан на защиту персональных данных зарегистрированы в США, Генпрокуратурой в Министерство юстиции США направлен запрос о правовой помощи в целях принятия мер по блокированию доступа пользователей к этим Интернет-ресурсам.

Кроме того, прокуратура Москвы по фактам нарушения ст. 9 Закона о персональных данных организовала проверку, в ходе которой установлено физическое лицо – регистратор доменных имен сайтов, зарегистрированных на территории РФ, решается вопрос о привлечении его к уголовной ответственности.

В настоящее время еще не сформирована судебная практика по спорам, касающимся защиты и сохранности персональных данных физических лиц при их распространении в сети Интернет. Эта практика нарабатывается c участием органов прокуратуры. Так, по требованию Генпрокуратуры РФ, в связи с массовыми нарушениями прав граждан в сети Интернет, Роскомнадзор, как уполномоченный орган по защите прав субъектов персональных данных, в августе текущего года направил в суд иск о признании действий регистратора по обработке данных граждан РФ нарушающими права неопределенного круга лиц, являющихся субъектами персональных данных, о неприкосновенности частной жизни, с требованием об обязании регистратора уничтожить незаконно размещенные в сети Интернет персональные данные граждан.

При выявлении нарушений Закона о персональных данных в сети Интернет прокурору необходимо дать им надлежащую правовую оценку и принять исчерпывающие меры прокурорского реагирования.

Учитывая экстерриториальный характер сети Интернет, прежде всего, целесообразно объявить предостережения наиболее крупным магистральным провайдерам, предоставляющим услуги доступа к Интернету.

С момента объявления предостережения магистральный провайдер считается уведомленным о наличии нарушений Закона о персональных данных на указанных в предостережении сайтах и может предпринять организационно-технические меры для блокирования доступа пользователей российского сегмента сети Интернет к незаконно предоставляемой информации.

Если после объявления предостережения магистральные провайдеры не приняли мер к блокированию сайтов-нарушителей, возможно внесение в адрес руководителей компаний – основных магистральных провайдеров представлений о недопустимости нарушения Закона о персональных данных.

Кроме того, следует принять меры к установлению юридического или физического лица, являющегося администратором доменного имени сайта, на котором выявлены нарушения Закона о персональных данных. Эта информация может быть представлена регистратором по запросу прокурора или уполномоченного органа по защите прав субъектов персональных данных. Регистратор – юридическое лицо, аккредитованное координатором для оказания услуг регистрации доменных имен. В настоящее время в России действует Координационный центр национального домена сети Интернет (координатор), установивший правила регистрации доменных имен (официальный сайт www.cctld.ru).

Законодательство РФ предусматривает гражданскую, уголовную, административную и дисциплинарную ответственность за нарушение Закона о персональных данных.

Статьей 13.11 КоАП установлена ответственность за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), допускаемое физическими, должностными и юридическими лицами. Санкцией статьи предусмотрено предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц – от пятисот до одной тысячи рублей; на юридических лиц – от пяти тысяч до десяти тысяч рублей.

Возбуждение этой категории дел является прерогативой прокурора, в соответствии с ч. 1 ст. 28.4 КоАП. При выявлении в действиях регистратора доменного имени Интернет-сайта признаков административного правонарушения, предусмотренного ст. 13.11 КоАП, органы Роскомнадзора обязаны направить материалы в органы прокуратуры для принятия мер прокурорского реагирования. Вместе с тем, необходим системный мониторинг прокурорами сети Интернет для своевременного выявления фактов массового нарушения прав в части несанкционированного распространения персональных данных граждан, краж баз данных из различного рода государственных и социальных учреждений, у сотовых операторов, иных правообладателей. Необходимо оперативное реагирование прокуроров и на обращения граждан в связи с нарушением их прав.

Уголовный кодекс РФ предусматривает ответственность за нарушение неприкосновенности частной жизни (ст. 137), а также за неправомерный доступ к компьютерной информации (ст. 272). Поэтому при выявлении в ходе соответствующих проверок признаков составов этих преступлений прокурор должен оперативно вынести постановление о передаче материалов в органы, уполномоченные на проведение проверки в соответствии со ст. 144, 145 УПК РФ.

Резюмируя сказанное, можно констатировать, что прокурор наделен широким спектром полномочий для профилактики и устранения нарушений требований законодательства РФ о персональных данных в целом и в российском сегменте сети Интернет, в частности: объявление предостережений, внесение представлений, опротестование незаконных нормативных актов в этой сфере, возбуждение дел об административных правонарушениях, обращение в суд с заявлением в защиту прав, свобод и законных интересов неопределенного круга лиц. При этом прокурорам субъектов Российской Федерации необходимо максимально использовать полномочия Роскомнадзора, уполномоченного органа в названной сфере, направляя ему соответствующую информацию о выявленных нарушениях закона через Генеральную прокуратуру Российской Федерации, либо напрямую – в территориальные управления Роскомнадзора.

В силу специфики Интернет-пространства и еще не сформировавшейся практики правоприменения это направление работы новое, однако прокурорам необходимо осуществлять постоянный мониторинг этой сферы правоотношений и реагировать на каждое нарушение законодательства о персональных данных в российском сегменте сети Интернет.

5 мифов о персональных данных

Пару месяцев назад владельцы сайтов горячо обсуждали введение новых штрафов за нарушение законодательства о персональных данных. Находчивые юристы стали наперебой убеждали, что любая форма обратной связи или виджет заказа обратного звонка на сайте свидетельствует об обработке персональных данных пользователей, Роскомнадзор уже штрафует за нарушения и нужно вставать на учет. Вся эта шумиха основана на мифах.

Давайте разберемся, что произошло на самом деле, чем это грозит и как этого избежать.

Правила обработки персональных данных не изменились. В июле 2017 года вступили в силу поправки в КоАП РФ, ужесточающие ответственность за нарушение законодательства о персональных данных. Введены новые составы правонарушений и суммы штрафов повышены до 75 000 рублей. Это правда.

Но нужно понимать, что суммы штрафов для физических лиц на порядок, а для предпринимателей в разы ниже штрафов для юридических лиц. Максимальный штраф в 75 тыс. руб. установлен для юридических лиц по одному их 7 составов. В остальных случаях максимальный штраф колеблется от 30 до 50 тыс. руб.

Из неприятного – штрафы по различным составам частично могут складываться. Среди возможных нарушений в частности перечислены:

  • обработка персональных данных в случаях, не предусмотренных законом, или несовместимая с целями сбора персональных данных;
  • обработка персональных данных при отсутствии письменного согласия субъекта;
  • неисполнение обязанности по опубликованию политики по обработке персональных данных.

Однако беспокойство по данному поводу в большинстве случаев вызвано поверхностным пониманием закона о персональных данных. Чтоб оценить риски привлечения к ответственности рассмотрим 5 наиболее популярных мифов о персональных данных, блуждающих в умах интернет-сообщества.

Смотрите так же:  Пояснительная записка для надомного обучения

1. Персональные данные — это любые сведения о физическом лице

На первый взгляд так и есть.

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ч.1 ст.3 ФЗ «О персональных данных»).

Однако если переложить данную норму на обычный язык, персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна.

Проверим тезис на информации о номере телефона или адресе электронной почты. У вас нет легального доступа к абонентской базе или базе пользователей почтового сервиса. Следовательно, сами по себе данные сведения не позволяют установить личность человека, который ими пользуется.

Поэтому данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.

Если у вас остались сомнения в такой трактовке нормы, можно ознакомиться с первоисточником на сайте Роскомнадзора. Дословно норма Конвенции о защите физических лиц при автоматизированной обработке персональных данных звучит так:

«Персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица (»субъекта данных»)» (ст.2 Конвенции).

Другими словами пока мистер «Х» вам не известен вы можете хранить о нем данные без нарушений. Например, по поводу телефонного номера «инкогнито» есть прямые ответы региональных отделений Роскомнадзора:

«Абонентский номер (номер телефона) служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца».

Если форма обратной связи не предполагает предоставление помимо номера телефона или электронного адреса дополнительных сведений, идентифицирующих пользователя, такая информация не относится к персональных данным. Запрос имени совместно с номером телефона или email пользователя также не делает данные персональными, т.к. имя не идентифицирует гражданина.

«Гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и собственно имя, а также отчество, если иное не вытекает из закона или национального обычая (ч.1 ст.19 ГК РФ)».

Поэтому с точки зрения гражданского законодательства просто имени не достаточно для возникновения юридических последствий. Как минимум, необходимы еще отчество и фамилия.

Аналогичным образом не относятся к ПДн сведения об IP, cookie, и прочие данные, собираемые в автоматическом режиме в связи с активностью на сайте или в приложении пользователя, не прошедшего полную идентификацию.

2. Оператор по обработке персональных – это лицо, осуществляющее их обработку

«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» (ч.2 ст.3).

Однако из данного правила есть исключение.

«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора» (ч.3 ст.6).

Указанные лица не определяют «цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными», а потому не считаются операторами персональных данных.

На практике к таким лицам могут относиться любые консалтинговые и сервисные компании, включая облачные сервисы. Персональные данные предоставляются клиентами, они же и несут ответственность за легальность их обработки.

Аналогично любые сервисы не должны отвечать за обработку ПДн сотрудников клиентов, которые последние самостоятельно загружают в сервис. Именно клиент должен получить согласие субъекта персональных данных на передачу сервису и их обработку соответствующими способами.

Не спешите хоронить считать себя оператором. Возможно, вы получили персональные данные для обработки от оператора, а не субъекта персональных данных.

3. Все сайты должны опубликовать Политику конфиденциальности

Действительно, в ФЗ «О персональных данных» есть норма о публикации Политики конфиденциальности:

«Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети» (ч.2 ст.18.1).

Однако не забывайте о возможных исключениях из данного правила.

Во-первых, не все сведения о физическом лице относятся к персональным данным (см. миф 1).

Во-вторых, такие правила не возлагаются на лицо, осуществляющее обработку персональных данных по поручению оператора (см. миф 2 выше).

В-третьих, сам ФЗ «О персональных данных» не возлагает на физических лиц (в том числе ИП) обязанность издания документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных. Такие документы должны издаваться только юридическими лицами (пп.2 ч.1 ст.18.1).

4. На обработку персональных данных требуется письменное согласие

Действительно, в качестве первого условия обработки ПДн названо согласие субъекта персональных данных на обработку его персональных данных (пп.1 ч.1 ст.6 ФЗ «О ПДн»).Но при этом не всегда обязательно оформлять согласие на бумаге за собственноручной подписью субъекта ПДн. Есть ряд дополнительных или взаимоисключающих правил.

1. Согласие на обработку ПДн не требуется лицу, действующему по поручению оператора (ч.4 ст.6)

2. Отдельное согласие не требуется в случаях, когда оператором выполняется обработка ПДн:

  • в целях заключения или исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пп.5 ч.1 ст.6);
  • к которым предоставлен доступ неограниченного круга лиц субъектом персональных данных либо по его просьбе (пп.10 ч.1 ст.6).

Таким образом в случае принятия пользовательского соглашения достаточно уведомить пользователя об обработке его персональных данных.

3. Согласие может быть дано оператору в иной форме

«Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом» (ч.1 ст.9).

Другими словами, если федеральный закон не требует получения согласия строго в письменной форме, оно может быть дано любым иным способом, в том числе путем совершения запрашиваемых действий. Например, такими действиями могут признаваться направление проверочного кода, указанного в СМС, переход по ссылке, направленной на электронную почту пользователя при регистрации в аккаунте и т.п.

4. Согласие в письменной форме может быть подписано электронной подписью

«Согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью признается равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе» (ч.4 ст.9)

Здесь следует принимать во внимание, что под электронной подписью понимается усиленная квалифицированная электронная подпись (см. ч.3 ст.18 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи»).

5. Каждый оператор ПДн должен быть включен в реестр Роскомнадзора

Многие консультанты рекомендуют подать уведомление в Роскомнадзор для включения в реестр операторов персональных данных, ссылаясь на данную норму:

«Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных» (ч.1 ст.22).

Однако при этом забывают, что в той же статье закона предусмотрены исключения из данного правила. К рассматриваемой ситуации обработки ПДн частным интернет-сервисом относятся минимум два основания освобождения от обязанности подачи уведомления.

В частности оператор вправе осуществлять без уведомления Роскомнадзора обработку следующих персональных данных:

«полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» (пп.2 ч.2 ст.22)
«сделанных субъектом персональных данных общедоступными» (пп.4 ч.2 ст.22)

1) В первом случае для обработки ПДн без уведомления Роскомнадзора достаточно предложить пользователю принять пользовательское соглашение, которое по сути является договором. Для получения сообщений на номер телефона и адрес электронной почты в любом случае необходимо получать согласие пользователя, поэтому принятие пользовательского соглашение решает две задачи одновременно: с одной стороны вы легально используете данные без уведомления Роскомнадзора, с другой – получаете согласие на обращение к пользователю по указанным номерам и адресам, включая при необходимости рекламную рассылку.

2) Второе исключение из правил касается общедоступных данных. Это основание может пригодиться социальной сети, доске объявлений или сайту поиска работы, где пользователи самостоятельно делают доступной информацию о себе. В таком случае нет необходимости не только уведомлять Роскомнадзор об обработки данной категории ПДн, но и получать дополнительное согласие пользователя на их обработку.

3) Помимо этого вспомните, что не все лица, осуществляющие обработку ПДн считаются операторами. Некоторые из них действуют по поручению оператора (см. миф 2 выше). Поэтому им не нужно направлять уведомление в Роскомнадзор об обработке ПДн, предоставленных оператором.

4) Отдельного упоминания заслуживает регомендация встать на учет «как бы чего не вышло». Это во всех отношениях вредный совет, т.к. Роскомнадзор должен проводить плановые проверки операторов, включенных в реестр. И тогда вам простая политика конфиденциальности не поможет: спросят все внутренние регламенты по информационной безопасности и проверят фактическое выполнение!

Обращайте внимание на детали – в них кроется юрист дьявол.