Закон об обработки персональных данных 2014

Рубрики Процессы

Закон «О персональных данных»

Федеральный закон от 27 июля 2006 г. N 152-ФЗ
«О персональных данных»

С изменениями и дополнениями от:

25 ноября, 27 декабря 2009 г., 28 июня, 27 июля, 29 ноября, 23 декабря 2010 г., 4 июня, 25 июля 2011 г., 5 апреля, 23 июля, 21 декабря 2013 г., 4 июня, 21 июля 2014 г., 3 июля 2016 г., 22 февраля, 1, 29 июля, 31 декабря 2017 г.

Принят Государственной Думой 8 июля 2006 года

Одобрен Советом Федерации 14 июля 2006 года

См. комментарии к настоящему Федеральному закону

Президент Российской Федерации

Закон создает правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.

Персональными данными признаются любые сведения о физическом лице, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.

Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона.

Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.

Операторы, осуществляющие обработку персональных данных до вступления в силу закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление не позднее 1 января 2008 года.

Информационные системы персональных данных, созданные до дня вступления в силу закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года.

Закон вступает в силу по истечении ста восьмидесяти дней после официального опубликования.

Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»

Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования

Текст Федерального закона опубликован в «Российской газете» от 29 июля 2006 г. N 165, в «Парламентской газете» от 3 августа 2006 г. N 126-127, в Собрании законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3451

В настоящий документ внесены изменения следующими документами:

Федеральный закон от 31 декабря 2017 г. N 498-ФЗ

Изменения вступают в силу с 30 июня 2018 г.

Федеральный закон от 29 июля 2017 г. N 223-ФЗ

Изменения вступают в силу с 10 августа 2017 г.

Федеральный закон от 1 июля 2017 г. N 148-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 22 февраля 2017 г. N 16-ФЗ

Изменения вступают в силу с 1 марта 2017 г.

Федеральный закон от 3 июля 2016 г. N 231-ФЗ

Изменения вступают в силу с 1 января 2017 г.

Федеральный закон от 21 июля 2014 г. N 242-ФЗ

Изменения вступают в силу с 1 сентября 2015 г.

Федеральный закон от 21 июля 2014 г. N 216-ФЗ

Изменения вступают в силу с 1 января 2015 г.

Федеральный закон от 4 июня 2014 г. N 142-ФЗ

Изменения вступают в силу по истечении шестидесяти дней после дня официального опубликования названного Федерального закона

Федеральный закон от 21 декабря 2013 г. N 363-ФЗ

Изменения вступают в силу с 1 июля 2014 г.

Федеральный закон от 23 июля 2013 г. N 205-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

Федеральный закон от 5 апреля 2013 г. N 43-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

Федеральный закон от 25 июля 2011 г. N 261-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона и распространяются на правоотношения, возникшие с 1 июля 2011 г.

Федеральный закон от 4 июня 2011 г. N 123-ФЗ

Изменения вступают в силу по истечении десяти дней после дня официального опубликования названного Федерального закона

Федеральный закон от 23 декабря 2010 г. N 359-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 29 ноября 2010 г. N 313-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 27 июля 2010 г. N 227-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 27 июля 2010 г. N 204-ФЗ

Изменения вступает в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 28 июня 2010 г. N 123-ФЗ

Изменения вступают в силу с 1 июля 2010 г.

Федеральный закон от 27 декабря 2009 г. N 363-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 25 ноября 2009 г. N 266-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

© ООО «НПП «ГАРАНТ-СЕРВИС», 2018. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Технологии

Чем нам грозит закон «О персональных данных»

Что будет с персональными данными россиян в 2015 году

Совет Федерации одобрил поправки к закону «О персональных данных». Таким образом, 1 сентября 2015 года он вступит в силу.

Новые поправки к закону «О персональных данных», которые одобрила верхняя палата Федерального собрания, вызвали бурю обсуждения в сети. «Газета.Ru» решила разобраться, чем эти изменения в законодательстве обернутся для обычных пользователей.

О настоящей опасности киберугроз рассказывает «Газета.Ru»

Ключевые поправки в Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных» вносятся в статью 18. Согласно этим изменениям, оператор, собирающий персональные данные, обязан хранить их на сервере, который располагается на территории России.

При этом предусмотрены исключения для указанных в четырех пунктах данных (2, 3, 4, 8 части 1 статьи 6). Они связаны с международными обязательствами России, осуществлением правосудия, работой органов государственной власти, научной, творческой и журналистской деятельностью. Стоит понимать, что речь в поправках идет только об операторах данных. Оператор данных — это физическое либо юридическое лицо или государственный орган, который осуществляет хранение и обработку персональных данных.

Исходя из системного толкования законодательства (и недопустимости необоснованной экстерриториальности его действия), требования закона о персональных данных распространяются на российские компании и зарегистрированные на территории РФ филиалы и представительства иностранных юридических лиц, подчеркивает руководитель группы практики по разрешению споров международной юридической компании Goltsblat BLP Наталья Беломестнова.

Если у иностранного юридического лица нет на территории России филиала или представительства, то на него не распространяются требования закона «О персональных данных», говорит юрист. Такого толкования всегда придерживался и сам Роскомнадзор.

Россия предложила сделать интернет более национальным

Важный момент — действующий закон №152-ФЗ трактует понятие персональных данных максимально широко. Согласно закону, персональные данные — это ЛЮБАЯ информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В реестре Роскомнадзора в России сейчас зарегистрировано почти 314 тыс. физических и юридических лиц, а также государственных органов, которые осуществляют подобную деятельность. И закон касается в первую очередь именно тех, кто в этом реестре фигурирует.

Также были внесены и поправки в статью 15 №152-ФЗ «Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных». Теперь для борьбы с «операторами персональных данных», нарушающих данный закон, будет создан «Реестр нарушителей прав субъектов персональных данных», а доступ к этим операторам будет блокироваться Роскомнадзором.

Поправки в закон касаются только хранения персональных данных на территории РФ. То есть серверы с базами данных должны находиться на территории Российской Федерации, но передачи и обработки этих данных за рубежом поправки не коснулись.

В законе «О персональных данных» уже существует статья 12 под названием «Трансграничная передача персональных данных». И согласно первому пункту статьи, персональные данные граждан могут отправляться в те страны, которые приняли конвенцию Совета Европы о защите этих самых данных, а также в страны, не являющиеся стороной конвенции, но обеспечивающие адекватную защиту прав субъектов персональных данных.

При этом никто не запрещает вам как пользователю интернета отправлять свои персональные данные в условный французский или немецкий интернет-магазин, который торгует вязаными шарфиками. Во всяком случае, в законе таких ограничений нет.

«Гражданин РФ имеет полное право распоряжаться своими персональными данными любым способом, в том числе и передавать свои данные за границу интернет-магазину, — говорит Наталья Беломестнова. — Основной вопрос как раз в другом: какие будут последствия такой передачи для самого интернет-магазина и сможет ли Роскомнадзор предъявлять ему какие-то претензии (в том числе заблокировать доступ к его сайту на территории России)».

В законодательстве нет никаких оснований распространять на не работающий в РФ интернет-магазин требования российского закона, однако как пойдет правоприменительная практика, покажет время. «Не исключено, что в целом будет соблюдаться принцип территориального действия закона (контролироваться на предмет размещения серверов в России будут только российские юридические лица и иностранцы, имеющие здесь филиалы и представительства), но для каких-то отдельных случаев правоприменитель будет толковать закон шире (хотя очевидных оснований для этого нет)», — отмечает Наталья Беломестнова.

Главный аналитик Российской ассоциации электронных коммуникаций (РАЭК) Карен Казарян считает, что оценить, как повлияют новые поправки на интернет-бизнес и российских интернет-пользователей, пока сложно.

«Поправки к закону написаны так, что трактовка закона может быть максимально широкой.

С одной стороны, это дает возможность использовать его избирательно против определенных компаний, с другой, в нем столько «дыр», что и сами операторы персональных данных могут использовать эти лазейки для его обхода.

Так, например, у России есть немало международных обязательств, которые позволяют хранить персональные данные не на территории России. Кроме того, проверить, хранит ли оператор все персональные данные (а они зашифрованы) на российских серверах или только их часть, весьма затруднительно. И таких нюансов много. Мы (РАЭК) ожидаем, что будут приняты подзаконные акты, которые уточнят и дополнят действие закона. Многое станет ясно уже после начала действия закона и первых случаев его применения», — сказал Казарян.

Какие изменения претерпел закон «О защите персональных данных»

Наталия Герус, старший юрист юридической фирмы «Клиффорд Чанс», об изменениях в законе «О защите персональных данных», которые вступили в силу в январе 2014 года

1 января 2014 года вступили в силу изменения к Закону Украины «О защите персональных данных» (далее — «Закон»). Среди основных изменений необходимо отметить следующие.

Новый уполномоченный орган в сфере защиты персональных данных

Согласно Закону, функции Государственной службы Украины по вопросам защиты персональных данных — уполномоченного органа в сфере защиты персональных данных — передаются Уполномоченному Верховной Рады Украины по правам человека (далее — «Омбудсмен»). Кроме того, полномочия Омбудсмена были значительно расширены.

Так, Омбудсмен имеет право проводить выездные и безвыездные, плановые и внеплановые проверки владельцев и распорядителей персональных данных. Причем порядок проведения таких проверок утверждается самим Омбудсменом. Основанием для проведения внеплановой проверки может быть обращение или жалоба физического или юридического лица, наличие фактов или информация о нарушении законодательства о защите персональных данных, а также инициатива самого Омбудсмена.

По результатам проведения проверки или рассмотрения обращения или жалобы от физического или юридического лица Омбудсмен имеет право выдавать обязательные для выполнения требования (предписания), составлять протоколы о привлечении к административной ответственности и передавать их на рассмотрение в суд.

Кроме того, Омбудсмен имеет право доступа к любой информации (документам) владельцев или распорядителей персональных данных, в том числе право доступа к самим персональным данным. Необходимо отметить, что Государственная служба Украины по вопросам защиты персональных данных ранее не имела права доступа к самим персональным данным.

Также Омбудсмен уполномочен предоставлять рекомендации относительно практического применения законодательства о защите персональных данных, утверждать нормативно-правовые акты в сфере защиты персональных данных, а также выдавать заключения относительно проектов кодексов поведения в сфере защиты персональных данных.

Поскольку изменения к Закону вступили в силу только 1 января 2014 года, еще пока рано судить или характеризовать деятельность Омбудсмена, однако сам факт предоставления ему достаточно широких полномочий в сфере контроля может способствовать усилению давления со стороны контролирующих органов на бизнес.

Отмена обязательной регистрации баз персональных данных

Закон отменяет обязательную регистрацию баз персональных данных, однако Закон вводит требование об обязательном уведомлении Омбудсмена в случае, если владелец персональных данных производит обработку персональных данных, которая представляет особый риск для прав и свобод субъектов персональных данных. 8 января 2014 года Омбудсмен разъяснил, обработка каких персональных данных представляет особый риск для прав и свобод субъектов персональных данных, а именно это персональные данные относительно:

• расового, этнического и национального происхождения;

• политических, религиозных или мировоззренческих убеждений;

• членства в политических партиях и/или организациях, профессиональных союзах, религиозных организациях или в общественных организациях мировоззренческой направленности;

• состояния здоровья, половой жизни;

• биометрические или генетические данные;

• привлечения к административной или уголовной ответственности;

• применения к лицу мер в рамках досудебного расследования или мер, предусмотренных Законом Украины «Об оперативно-розыскной деятельности»;

• совершения в отношении лица тех или иных видов насилия;

• местонахождения и/или путей передвижения лица.

Такое уведомление должно быть сделано на протяжении 30 дней со дня начала такой обработки. Также владельцы персональных данных обязаны уведомлять Омбудсмена о каждом изменении сведений, подлежащих уведомлению, в течение 10 дней со дня наступления такого изменения.

Владельцы персональных данных, которые на момент вступления в силу изменений к Закону (т.е. по состоянию на 1 января 2014 года) осуществляют обработку персональных данных, которая подлежит уведомлению, обязаны подать соответствующее уведомление Омбудсмену в течение 6 месяцев со дня вступления изменений в силу, т.е. до 1 июля 2014 года.

В целом отмена обязательной регистрации персональных баз данных является позитивным нововведением. Также учитывая, что на практике достаточно немного компаний осуществляют обработку выше указанных персональных данных, есть основания надеяться, что эта норма Закона будет иметь лишь позитивное влияние на бизнес-среду в Украине.

Другие изменения

Из Закона было удалено определение «согласие субъекта персональных данных». Таким образом, Закон не устанавливает форму, в которой согласие должно быть предоставлено. Однако Омбудсмен разъяснил , что согласие может быть предоставлено как в письменной форме, так и в электронной форме, которая дает возможность сделать заключение о ее предоставлении.

Также был дополнен перечень оснований для обработки персональных данных. Так, согласие субъекта персональных данных на обработку его персональных данных не требуется, если такая обработка вызвана необходимостью исполнения владельцем или распорядителем персональных данных его обязанностей, предусмотренных законом.

Кроме того, срок уведомления субъекта персональных данных о владельце персональных данных, содержание собранных персональных данных и его правах, предусмотренных Законом, в некоторых определенных Законом случаях, был продлен с 10 до 30 дней.

Типовой порядок обработки персональных данных

8 января 2014 года Омбудсмен утвердил Типовой порядок обработки персональных данных (далее — «Порядок»), в котором детализируются многие положения Закона. Однако в Порядке нашли отображение и достаточно много нововведений. Так, владельцы и распорядители персональных данных обязаны осуществлять меры по обеспечению защиты персональных данных, которые, предусматривают обязанность владельцев и распорядителей персональных данных, среди прочих:

• вести учет операций, связанных с обработкой персональных данных;

• разработать план действий на случай несанкционированного доступа к персональным данным, повреждения технического оборудования или возникновения чрезвычайных ситуаций;

• проводить регулярное обучение сотрудников, которые работают с персональными данными.

В целом изменения к Закону, которые вступили в силу 1 января 2014 года, можно считать позитивными, поскольку отменяется обязательная регистрация баз персональных данных, устанавливаются дополнительные основания для обработки персональных данных, которые позволят сократить количество случаев, в которых необходимо получать согласие субъекта персональных данных.

Однако среди возможных негативных нововведений следует отметить расширение полномочий Омбудсмена, что может привести к увеличению давления контролирующих органов на бизнес-среду. Также уточненные и детализированные требования к обработке персональных данных, изложенные в Порядке, несут в себе достаточно много новых и обременительных требований для владельцев и распорядителей персональных данных. А их несоблюдение может привести к административной, а в самых крайних случаях, даже к уголовной ответственности должностных лиц владельцев и распорядителей персональных данных.

Защита персональных данных

ФУНКЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛОЖЕНО НА УПОЛНОМОЧЕННОГО

Законом Украины от 6 июля 2010 года Украина ратифицировала Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительный протокол к ней . Этим Украина взяла на себя обязательства обеспечить соблюдение прав и свобод человека, в частности , права на неприкосновенность частной жизни , предусмотренного статьей 8 Конвенции о защите прав человека и основных свобод и гарантированного статьей 32 Конституции Украины .

Для введения реальных механизмов реализации взятого на себя обязательства Верховной Радой Украины принят Закон Украины « О защите персональных данных» , который вступил в силу 1 января 2011 года и стал основополагающим актом национального законодательства в сфере защиты персональных данных.

Учитывая опыт функционирования системы защиты персональных данных в Украине , 3 июля 2013 Верховная Рада Украины приняла Закон Украины «О внесении изменений в некоторые законодательные акты Украины по усовершенствованию системы защиты персональных данных» , который вступил в силу 1 января 2014 года.

Этим Законом в целях обеспечения независимости уполномоченного органа по вопросам защиты персональных данных , как того требует Конвенция Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных , полномочия по контролю за соблюдением законодательства о защите персональных данных возложена на Уполномоченного Верховной Рады Украины по правам человека (далее — Уполномоченный ) .

Согласно статье 23 Закона Украины « О защите персональных данных» в сфере защиты персональных данных Уполномоченный имеет следующие полномочия:

— Получать предложения , жалобы и иные обращения физических и юридических лиц по вопросам защиты персональных данных и принимать решения по результатам их рассмотрения;

— Проводить на основании обращений или по собственной инициативе выездные и невыездные , плановые , внеплановые проверки владельцев или распорядителей персональных данных в порядке , определенном Уполномоченным , с обеспечением в соответствии с законом доступа к помещениям , где осуществляется обработка персональных данных;

— Получать на свое требование и иметь доступ к любой информации (документов ) владельцев или распорядителей персональных данных , которые необходимы для осуществления контроля за обеспечением защиты персональных данных , в том числе доступ к персональным данным , соответствующих баз данных или картотек , информации с ограниченным доступом;

— Утверждать нормативно — правовые акты в области защиты персональных данных в случаях , предусмотренных настоящим Законом;

— По итогам проверки , рассмотрения обращения издавать обязательные для выполнения требования ( предписания) о предотвращении или устранении нарушений законодательства о защите персональных данных , в том числе по изменению , удаления или уничтожения персональных данных , обеспечения доступа к ним , предоставления или запрета их предоставления третьему лицу , приостановлении или прекращении обработки персональных данных;

— Давать рекомендации по практическому применению законодательства о защите персональных данных , разъяснять права и обязанности соответствующих лиц по обращению субъектов персональных данных , владельцев или распорядителей персональных данных , структурных подразделений или ответственных лиц по организации работы по защите персональных данных , других лиц;

— Взаимодействовать со структурными подразделениями или ответственными лицами , которые в соответствии с настоящим Законом организуют работу , связанную с защитой персональных данных при их обработке; обнародовать информацию о таких структурных подразделениях и ответственных лиц ;

— Обращаться с предложениями в Верховную Раду Украины , Президента Украины , Кабинета Министров Украины , других государственных органов , органов местного самоуправления , их должностных лиц по принятию или внесении изменений в нормативно — правовых актов по вопросам защиты персональных данных;

— Предоставлять по обращению профессиональных , самоуправляющихся и других общественных объединений или юридических лиц заключения по проектам кодексов поведения в сфере защиты персональных данных и изменений в них ;

— Составлять протоколы о привлечении к административной ответственности и направлять их в суд в случаях , предусмотренных законом;

— Информировать о законодательстве по вопросам защиты персональных данных , проблемы его практического применения , права и обязанности субъектов отношений , связанных с персональными данными;
— Осуществлять мониторинг новых практик , тенденций и технологий защиты персональных данных;

— Организовывать и обеспечивать взаимодействие с иностранными субъектами отношений , связанных с персональными данными , выполнением Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительного протокола к ней , других международных договоров Украины в сфере защиты персональных данных;

— Участвовать в работе международных организаций по вопросам защиты персональных данных.

Уполномоченный Верховной Рады Украины по правам человека также включать в свой ежегодный доклад о состоянии соблюдения и защиты прав и свобод человека и гражданина в Украине отчет о состоянии соблюдения законодательства в сфере защиты персональных данных.

С целью обеспечения выполнения Уполномоченным функций контроля над выполнением законодательства в сфере защиты персональных данных в Секретариате Уполномоченного Верховой Рады Украины по правам человека создан Департамент по вопросам защиты персональных данных

Публикации

Защита персональных данных: первые итоги и перспективы судебных дел

Светлана Жердина, Юрист Группы международных проектов

Жердина, Двенадцатова_Защита персональных данных_первые итоги и перспективы судебных дел_11.2017

Защита персональных данных на сегодняшний день – тематика весьма актуальная, что связано не только с молниеносным развитием интернет технологий и глобализацией в целом, но и необходимостью защитить право граждан на частную жизнь. Распространение облачных технологий, появление Big Data, трансграничная передача персональных данных бросают все новые вызовы как законодателю, так и судам при рассмотрении споров о защите персональных данных.

В роли органа по надзору и контролю за защитой прав субъектов персональных данных выступает Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор). В своем стремлении обеспечить порядок при обработке персональных данных и выполнение требований законодательства о персональных данных Роскомнадзор порой идет на весьма радикальные меры по отношению к правонарушителям.

Не так давно обсуждалась блокировка портала LinkedIn (ноябрь 2016 года), как на днях Роскомнадзор выступил с новым заявлением о возможной блокировке социальной сети Facebook[1]. К слову, у Роскомнадзора также заведена страница в данной социальной сети[2]. Инициатива с блокировкой одного из самых посещаемых интернет-порталов[3] связана с несоблюдением Facebook требования о хранении персональных данных российских гражданах на локальных серверах[4]. Требование о локализации персональных данных стало камнем преткновения и в случае с LinkedIn.

В данной статье будут рассмотрены самые масштабные и интересные дела о защите персональных данных. Вместе с тем, перед этим отметим, что даже само понятие персональных данных трактуется судами по-разному, о чем следует сказать отдельно.

Понятие персональных данных в судебной практике

Понятие персональных данных имеет принципиальное значение, так как именно признание или непризнание информации персональными данными определяет то, будут ли применяться положения законодательства о персональных данных или нет. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) признает персональными данными любую информацию, относящуюся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных).

В качестве ключевого фактора отнесения информации к персональным данным выступает возможность идентифицировать лицо на основе данных, имеющихся у оператора. В связи с тем, что Закон о персональных данных не уточняет, что именно на базе таких данных лицо может быть установлено/определено, в судебной практике часто возникают споры о том, что следует относить к персональным данным субъекта.

Так, например, споры возникают относительно того, можно ли считать IP-адрес персональными данными или нет. Ведь IP-адрес позволяет идентифицировать устройство, с которого был осуществлен выход в интернет, но никак не конкретного пользователя[5]. Хотя Суд Европейского союза, например, считает иначе, заявляя о том, что IP-адреса являются охраняемыми персональными данными[6]. Российские суды не так категоричны и прямо не указывают в своих решениях на то, что IP-адрес можно отнести к персональным данным. Однако, совершенно очевидно, что в подавляющем большинстве случаев с помощью IP-адресов можно идентифицировать устройство, с которого выполнялся выход Интернет, и круг пользователей, а также их взаимосвязь, если пользователи выходили в сеть с одного IP-адреса[7].

Немало споров возникает и относительно того, стоит ли признавать фото (изображение) лица персональными данными. Закон о персональных данных упоминает лишь о биометрических персональных данных, к которым следует относить данные, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. При этом фото или изображение само по себе, без привязки к иным данным, позволяющим идентифицировать личность, персональными данными признаваться не могут. Именно так квалифицировал суд изображение истца, размещенное на косметической продукции, распространяемой ответчиком, обозначив, что Закон о персональных данных к данным отношениям неприменим[8]. При этом, в разъяснениях Роскомнадзора[9] справедливо указано на то, что нормы Гражданского кодекса (далее – ГК РФ) о нематериальных благах, включая изображение гражданина (ст. 152.1 ГК РФ), могут применяться к отношениям, возникающим в связи и по поводу персональных данных.

По мнению некоторых судов, не относятся к персональным данным и адрес электронной почты в силу того, что он, по мнению судов, не позволяет идентифицировать субъект персональных данных, а является лишь средством передачи данных[10]. Однако такая позиция далеко не однозначна, поэтому в судебной практике нет единого подхода относительно того, считать ли адрес электронной почты персональными данными или нет. Есть мнение, что адрес электронной почты позволяет определить конкретное лицо, которому он принадлежит[11].

На сегодняшний день суды безоговорочно признают персональными данными:

ФИО, адрес и паспортные данные лица;

размер задолженности по оплате коммунальных платежей[12];

анкетные данные, указанные в заявлении на получение потребительского кредита (ФИО, дата и место рождения, адрес регистрации и фактического проживания, рабочий и мобильный телефон, паспортные данные, сведения о работе и членах семьи)[13];

материалы пенсионного дела[14];

данные о работнике из трудового договора[15];

информация о привлечении к административной ответственности физических лиц[16];

информация об автомототранспортных средствах, зарегистрированных на физических лиц[17].

В одном из решений[18] были перечислены т.н. идентификаторы, — данные, позволяющие однозначно установить конкретное лицо: номер и серия паспорта; СНИЛС; ИНН[19]; биометрические данные; банковские реквизиты[20].

Таким образом, если совокупность данных необходима и достаточна для идентификации лица, такие данные следует относить к персональным данным.

Локализация персональных данных в судебной практике

Согласно части 5 статьи 18 Закона о персональных данных при сборе персональных данных, в том-числе в сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Из этого правила есть исключения:

обработка для достижения целей, предусмотренных международным договором Российской Федерации или для осуществления и выполнения возложенных законодательством российской Федерации на оператора функций, полномочий и обязанностей;

обработка в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

обработка при предоставлении государственных или муниципальных услуг;

обработка для осуществления профессиональной деятельности журналиста, законной деятельности СМИ, научной литературной творческой деятельности, если не нарушаются права и законные интересы субъекта персональных данных.

У Роскомнадзора есть в арсенале весьма действенный способ борьбы с правонарушителями – блокирование интернет-ресурса.

Самым «громким» делом, связанным с нарушением требования локализации, безусловно, является блокировка LinkedIn в ноябре 2016 года (дело № 33-38783/16[21]). В связи с возможной блокировкой Facebook кратко вспомним, в чем состоял данный спор.

Суть спора: истец (Роскомнадзор) обратился в Московский городской суд с требованием признать деятельность интернет-ресурсов (http://www.linkedin.com, http://linkedin.com) по сбору, использованию и хранению персональных данных граждан Российской Федерации нарушающей требования Закона о персональных данных и права граждан на неприкосновенность частной жизни, личную и семейную тайну. По мнению истца, нарушение ответчиком (LinkedIn Corporation) Закона о персональных данных заключалось в сборе персональных данных граждан Российской Федерации без локализации баз данных как того требует Закон о персональных данных. Кроме того, истец через указанные интернет-ресурсы получал доступ к сведениям третьих лиц, не являющимися пользователями LinkedIn, посредством синхронизации с электронной почтой и устройствами пользователей.

Несмотря на то, что ответчик зарегистрирован за пределами Российской Федерации, Роскомнадзор в ходе рассмотрения дела указал на то, что интернет-ресурс направлен на территорию Российской Федерации. Об этом, по мнению Роскомнадзора, свидетельствует наличие русскоязычной версии сайта, а также возможность использования рекламы на русском языке. Отметим, что подобные выводы коррелируются с разъяснениями Министерства связи и массовых коммуникаций Российской Федерации «Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года»[22].

Исход дела: суд полностью удовлетворил требования истца.

Указанное выше дело доказывает серьезность намерений Роскомнадзора обеспечить локализацию баз данных на территории Российской Федерации. Отметим, что LinkedIn Corporation на дату написания данной статьи не сумела договориться с Роскомнадзором о снятии блокировки с сайта LinkedIn[23].

Судебная практика, когда цели обработки персональных данных не совпадали с заявленными

В соответствии с частью 2 статьи 5 Закона о персональных данных обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработка, несовместимая с целями сбора персональных данных, влечет административную ответственность по части 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ).

В этой связи интересным представляется дело № А40-18827/2017, которое в октябре 2017 года рассмотрено в Арбитражном суде г. Москвы и широко освещалось в прессе[24]. Истцом по данному делу является социальная сеть «ВКонтакте»[25].

Суть спора: истец обратился в Арбитражный суд г. Москвы к ООО «Дабл» и АО «Национальное бюро кредитных историй» (далее – НБКИ) о защите исключительных смежных прав на базу данных. Дело в том, что ответчики, по мнению истца, использовали открытую информацию пользователей социальной сети «ВКонтакте» для оценки кредитоспособности пользователей. Кроме того, ответчики продавали эту информацию банкам.

Требования истца: обязать ответчиков прекратить использовать открытые данные пользователей для оценки кредитоспособности и продажи своих услуг, взыскать с ответчиков по 1 рублю в качестве символической денежной компенсации.

Рассмотрение дела: c одним из ответчиков, НБКИ, истец заключил мировое соглашение. Как следует из мирового соглашения, НБКИ основывалось на том, что ООО «Дабл» правомерно использует данные из социальной сети. В течение 30 дней с даты утверждения судом мирового соглашения НБКИ обязуется пересмотреть свои правоотношения с ООО «Дабл» таким образом, чтобы они не нарушали права истца, или прекратить их. Кроме того, НБКИ обязуется не использовать технологию и продукты третьих лиц, а также собственные технологии и продукты, функционирование которых основано на извлечении информационных элементов из базы данных истца без соответствующего разрешения истца.

Что касается рассмотрения дела в отношении второго ответчика (ООО «Дабл»), Арбитражный суд города Москвы 12 октября 2017 года полностью отказал в удовлетворении иска ВКонтакте.

Комментарии к делу: внимание прессы к данному делу вполне оправдано. С одной стороны, данные находятся в открытом доступе. С другой, ни истец, ни пользователи социальной сети не давали своего согласия на извлечение информации из базы данных и ее коммерческое использование. Кроме того, здесь может иметь место и коммерческий подтекст – дело в том, что Mail.Ru Group (владелец истца) и сам начал инвестировать в продукты для оценки кредитных рисков для российских банков (об этом напоминает ответчик ООО «Дабл»[26], а также ранее сообщалось в сети «Интернет»[27]). Таким образом, суду предстояло решить, может ли ООО «Дабл» использовать в своих коммерческих интересах данные пользователей, находящиеся в публичном доступе.

Арбитражный суд города Москвы отказал в удовлетворении иска. Как указал суд, истец не доказал факт создания базы данных, факт возникновения исключительных прав на базу данных, не представлено доказательств, подтверждающих факт осуществления затрат на создание, работу по сбору или обработку материалов, составляющих базу данных, а также не представлено доказательств извлечения ответчиком каких-либо материалов из базы данных истца.

Ответчик (ООО «Дабл») пояснил, что его программное обеспечение обрабатывает исключительно открытую информацию о пользователях и является, по сути, поисковой системой.

В решении суд особо отметил, что, исходя из предмета и основания иска, судом не рассматриваются вопросы законной обработки персональных данных. В рамках судебного разбирательства истец должен доказать исключительные права на базу данных, а также факт использования базы данных ответчиком.

Отметим, что дело ВКонтакте рассмотрено лишь в первой инстанции. У истца есть 30 дней на обжалование решения.

Дальнейшее рассмотрение дела ВКонтакте покажет, пойдет ли российская практика по пути американских судов, которые в августе 2017 года разрешили компании hiQ Labs использовать данные пользователей социальной сети LinkedIn, находящиеся в открытом доступе[28]. Компания hiQ Labs использовала указанные данные с целью создания алгоритмов, позволяющих предсказывать поведение работников (например, вероятность увольнения).

Есть и противоположный опыт. Так, в ноябре 2016 года компания Facebook запретила страховой компании Admiral Insurance использовать данные о поведении пользователей для расчета стоимости страхования для автовладельцев[29]. Компания Admiral Insurance собирала данные о «лайках» и «постах» пользователей, анализировала их и предлагала скидку на страховку до 350 фунтов в год тем пользователям, поведение которых в сети ассоциируется с сознательным управлением автомобилем (например, бОльшую скидку получали пользователи, которые используют в письменной речи короткие предложения, назначают точную дату и время для встречи с друзьями и т.п.).

По нашему мнению, и как правильно отмечают некоторые авторы[30], использование технологии «больших данных» (англ. Big Data)[31] (а именно к ним относятся данные пользователей социальных сетей) в данном случае требует согласия пользователей, если данные используются в коммерческих целях, а не в статистических или иных исследовательских целях. Напомним, что обработка персональных данных в статистических и иных исследовательских целях по общему правилу не требует согласия согласно пункту 9 части 1 статьи 6 Закона о персональных данных, если эти данные обезличены.

Судебная практика, связанная с нарушением законодательства о персональных данных, весьма неоднородна. В этой связи особая роль в регулировании отношений, связанных с персональными данными, отводится Роскомнадзору, наделённому сегодня ключевыми полномочиями по контролю за соблюдением законодательства о персональных данных. При этом, представляется, что подход Роскомнадзора и судов должен быть сбалансированным для целей формирования последовательной и однородной судебной практики. На примере LinkedIn Роскомнадзор, а также российский суд показали серьезность намерений бороться с правонарушителями. Не давая оценки подходу Роскомнадзора и судов к борьбе с правонарушителями, мы рекомендуем российским и зарубежным компаниям, деятельность которых направлена на российский рынок, тщательно проанализировать работу с персональными данными, выявить «уязвимые» места и предпринять меры по минимизации рисков, связанных с некорректной обработкой персональных данных.

[3] По данным агентства Mediascope, число посетителей социальной сети Facebook составило порядка 19,2 млн. См. подробнее: http://mediascope.net/press/news/329016/?sphrase_id=165578.

[4] См.: Федеральный закон о внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях от 21 июля 2014 года № 242-ФЗ.

[5] Под IP-адресом (сокр. от англ. Internet Protocol Address) следует понимать сетевой адрес — уникальный идентификатор (адрес) устройства, подключенного к сети Интернет. См. подробнее судебную практику, где суды не призвали IP-адрес персональными данными: Постановление Тринадцатого арбитражного апелляционного суда от 05.07.2017 № 13АП-5614/2017, 13АП-5604/2017 по делу № А56-12177/2016.

Статический IP-адрес выделяется устройству (конечному пользователю) на постоянной основе.

[7] См.: Постановление Третьего арбитражного апелляционного суда от 08.09.2017 по делу № А74-13090/2016; Постановление Восьмого арбитражного апелляционного суда от 05.09.2017 № 08АП-7948/2017 по делу № А75-16756/2016.

[8] См.: Апелляционное определение Санкт-Петербургского городского суда от 15.11.2016 № 33-22976/2016 по делу № 2-2932/2015.

[9] См.: Разъяснения Роскомнадзора от 2 сентября 2013 г. «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки».

[10] См.: Апелляционное определение Московского городского суда от 12.12.2016 по делу № 33-42101/2016.

[11] Апелляционное определение Санкт-Петербургского городского суда от 31.01.2017 № 33а-1151/2017 по делу № 2а-4760/2016.

[12] См.: Постановление Нижегородского областного суда от 12 мая 2015 г. № 4а-288/2015; Апелляционное определение Московского городского суда от 22 мая 2014 г. по делу № 33-14709.

[13] См.: Апелляционное определение Тульского областного суда от 28 апреля 2015 г. по делу № 33-850.

[14] См.: Определение Приморского краевого суда от 19 января 2015 г. по делу № 33-470, 33-11759.

[15] См.: Апелляционное определение Верховного суда Республики Саха (Якутия) от 23 октября 2013 г. по делу № 33-4172/13; Постановление Арбитражного суда Западно-Сибирского округа от 21.10.2016 № Ф04-4431/2016 по делу № А45-2491/2016; Апелляционное определение Самарского областного суда от 02.06.2017 по делу № 33а-7253/2017.

[16] См.: Постановление Верховного Суда РФ от 14.03.2017 № 46-АД17-2; Постановление Восемнадцатого арбитражного апелляционного суда от 27.12.2016 № 18АП-15436/2016 по делу № А76-15768/2016.

[17] См.: Постановление Четвертого арбитражного апелляционного суда от 02.08.2017 № 04АП-3856/17 по делу № А19-342/2017; Апелляционное определение Верховного суда Республики Крым от 03.07.2017 по делу № 33а-5225/2017.

[18] См.: Апелляционное определение Новосибирского областного суда от 04.07.2017 по делу № 33-6394/2017.

[19] Вместе с тем, относительно ИНН позиция судов неоднозначна. В частности, в некоторых судебных решениях четко обозначено, что ИНН к персональным данным не относится: Апелляционное определение Санкт-Петербургского городского суда от 3 февраля 2015 г. № 33-1644/2015 по делу № 2-3097/2014.

[20] См.: Апелляционное определение Волгоградского областного суда от 01.12.2016 по делу № 33-14837/2016.

[21] См. Определение Московского городского суда от 10 ноября 2016 года по делу № 33-38783/16.

[22] Разъяснения доступны по ссылке http://minsvyaz.ru/ru/personaldata/#1438546529980 (дата обращения к странице – 28.09.2017).

[25] Для удобства изложения далее мы будем называть данное дело как «дело ВКонтакте».

[27] См., например, https://corp.mail.ru/ru/press/releases/9507/ (дата обращения к странице — 28.09.2017), https://vc.ru/17097-mrg-banks (дата обращения к странице — 28.09.2017).

[30] А.И. Савельев. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных. С.92. Издательство «Статут».

[31] Не претендуя на универсальность, в данной статье под «большими данными» (Big Data) мы будем понимать различные возможности (методы, способы, инструменты) для обработки больших массивов данных (например, таких, как данные пользователей соцсетей) с целью использования их для достижения конкретных задач и целей.