Пути совершенствования законодательства и практики о персональных данных (А.Ю. Буркова, журнал "Право и экономика", N 10, октябрь 2016 г.)

Пути совершенствования законодательства и практики о персональных данных

А.Ю. Буркова,

сотрудник коммерческого банка,

кандидат юридических наук.

Журнал "Право и экономика", N 10, октябрь 2016 г., с. 8-12.

Всё большее значение и роль в России приобретает законодательство о персональных данных. Значимые изменения произошли в этой сфере в последние пару лет, включая внесение изменений в статью 18 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" о локализации персональных данных и выпуск комментариев Минкомсвязи и Роскомнадзора относительно применения законодательства о персональных данных.

Вместе с тем, как следует из Стратегии институционального развития и информационно-публичной деятельности в области защиты прав субъектов персональных данных на период до 2020 года, выпущенной Роскомнадзором (далее - "Стратегия"), в России продолжают совершаться нарушения прав субъектов персональных данных, и рынок в ближайшие годы ожидают новые изменения.

Нарушения на рынке

К наиболее часто выявляемым нарушениям в сфере персональных данных в том числе относят следующие:

- внутренние документы оператора не соответствуют требованиям действующего законодательства или не раскрываются должным образом.

В Постановлении Ярославского областного суда от 21 марта 2013 г. по делу N 4А-61/2013 содержалось указание на такое нарушение ч. 2 ст. 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", как неопубликование документа, определяющего политику Общества в отношении обработки персональных данных.

- сотрудники оператора не имеют специальных познаний в области защиты прав субъектов персональных данных; отсутствие лица, ответственного за организацию обработки персональных данных.

Одним из видов нарушений законодательства о персональных данных в Постановлении Четырнадцатого арбитражного апелляционного суда от 21 января 2013 г. N 14АП-9918/12 было отмечено отсутствие лица, ответственного за организацию обработки персональных данных. Оператор ссылался на то, что такое лицо определено внутренним распоряжением. Однако из буквального текста распоряжения следовало, что секретарь комиссии отвечает лишь за сбор и хранение данных, но не за их обработку. Поэтому оператор был вынужден внести изменения в текст распоряжения.

- операторы осуществляют сбор избыточных сведений персонального характера, запрашиваемых у субъектов;

В Постановлении Федерального арбитражного суда Северо-Кавказского округа от 21 апреля 2014 г. N Ф08-1921/14 по делу N А53-13327/2013 суд сделал вывод о том, что для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность, в котором содержатся все необходимые сведения. "Хранение копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребенка на рабочем месте превышает объем обрабатываемых персональных данных работника, действующим законодательством не предусмотрено, нарушает права и свободы гражданина, снижает уровень прав и гарантий работника, противоречит федеральному законодательству. При проведении проверки управление сделало правильный вывод о том, что банк производит обработку избыточных персональных данных, по сравнению с теми, которые определены к заявленным целям их обработки, что является нарушением части 5 статьи 5 Закона N 152-ФЗ".

- практика "сознательного правонарушения", когда оператор предпочитает заплатить незначительный административный штраф, вместо приведения своей деятельности в соответствие требованиям законодательства в области персональных данных;

- предоставление доступа к персональным данным неограниченному кругу лиц, в том числе посредством распространения в сети Интернет.

Например, в деле Постановления Пятнадцатого арбитражного апелляционного суда от 17 ноября 2015 г. N 15АП-14940/15 суд указал, что "ввиду отсутствия согласия гр. Кличевой М.В. и Кличева С.Б. (единоличного исполнительного органа и учредителя общества) на распространение персональных данных посредством размещения информации на спорном сайте требование об удалении сайта http://www.klichev2014.ru/79143-182-251.alz.ru из сети интернет также подлежит удовлетворению".

Ограничение доступа к персональным данным распространяется также и на государственные органы, если иное не предусмотрено законодательством.

Например, в деле Постановления Верховного Суда РФ от 4 марта 2016 г. N 307-АД15-18844 суд исходил из отсутствия в действиях общества события вменяемого ему административного правонарушения, поскольку отказ общества в предоставлении антимонопольному органу информации, содержащей персональные данные физического лица, в отсутствие его согласия на их обработку и передачу, является правомерным.

Аналогичное решение было принято и в 2015 году: оно содержится в Постановлении Верховного Суда РФ от 30 марта 2015 г. N 302-АД15-1225. По материалам постановления суд оставил без изменения ранее принятые по делу судебные акты, которыми удовлетворено требование о признании незаконным и отмене постановления о привлечении к административной ответственности за непредставление или несвоевременное представление антимонопольному органу сведений, либо представление заведомо недостоверных сведений, поскольку в предоставлении запрашиваемых сведений было правомерно отказано в связи с тем, что они относятся к персональным данным абонентов и не могут быть предоставлены.

В 2013 году по Постановлению Верховного Суда РФ от 7 октября 2013 г. N 94-АД13-1 суд отменил принятые судебные акты и прекратил производство по делу о невыполнении законных требований прокурора, поскольку требование прокурора о представлении сведений о доходах, об имуществе и обязательствах имущественного характера служащих и членов их семей влечет незаконное разглашение персональных данных без согласия субъекта персональных данных.

- несоблюдение режима конфиденциальности в случаях передачи персональных данных без согласия субъекта персональных данных;

- несоблюдение права субъекта персональных данных на получение информации, касающейся обработки его персональных данных;

В обоснование исковых требований в деле Апелляционного определения СК по гражданским делам Санкт-Петербургского городского суда от 18 апреля 2016 г. по делу N 33-6906/2016 указывалось, что истец сообщила, что 17 апреля 2015 г. сторонами заключен договор займа. При заключении договора истцом предоставлена информация о паспортных данных, месте работы и регистрации. 19 июня 2015 г. истец обратилась к ответчику с заявлением о предоставлении информации, касающейся обработки персональных данных, право на получение которой закреплено в ч. 7 ст. 14 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных". Однако ответ на заявление не получила, в связи с чем истец обратилась в суд. Суд решил, что "поскольку истец Шестакова Е.А. обратилась с заявлением о предоставлении информации, касающейся обработки персональных данных в порядке, установленном Федеральным законом "О персональных данных", ответчик в нарушение положений указанного закона в тридцатидневный срок не направил ответ на ее заявление, не предоставил информацию об обработке персональных данных, полученных в рамках договора займа N 00293/2/2015 от 17 апреля 2015 г., или отказ в предоставлении запрашиваемой информации, доказательства подготовки и направления такого ответа ни суду первой инстанции, ни суду апелляционной инстанции не представлены, вывод суда первой инстанции о наличии оснований для удовлетворения требований истца об обязании ответчика предоставить вышеуказанную информацию обоснован".

- несоблюдение условий обработки биометрических и специальных категорий персональных данных, являющихся особо чувствительной информацией для субъекта персональных данных;

В Постановлении Пятнадцатого арбитражного апелляционного суда от 14 марта 2014 г. N 15АП-22502/13 указывалось, что "использование фотоизображения работника для его идентификации согласно ч. 1 ст. 11 Федерального закона "О персональных данных" является обработкой биометрических персональных данных. Такая обработка допускается только с письменного согласия субъекта персональных данных. Письменное согласие на обработку биометрических персональных данных общество у работников проверяемого филиала не получало. Собирая и храня в документах по кадровому учету копии страниц паспортов работника, общество превысило объем обрабатываемых персональных данных работника, установленный Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации и иными федеральными законами".

- обработка персональных данных без уведомления Роскомнадзора, а равно несоответствие информации, содержащейся в уведомлении, фактической деятельности;

- несоблюдение принципов обработки персональных данных несовершеннолетних путем их раскрытия на официальных сайтах учреждений здравоохранения и образования, средствами массовой информации в ходе персонализованных интервью, новостей, распространяемых в средствах массовой информации, относящихся к состоянию здоровья детей, фотографиям и видео этих несовершеннолетних;

- обработка персональных данных в целях, не совместимых с целями, для которых они были изначально собраны;

В Постановлении Седьмого арбитражного апелляционного суда от 27 июня 2012 г. N 07АП-4482/12 была указана следующая позиция: "в соответствии с пунктами 1, 2 статьи 5 Закона "О персональных данных" обработка персональных данных должна осуществляться на законной и справедливой основе, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Исходя из вышеназванных положений Закона "О персональных данных", заявления гражданина Политухина Е.В. (анкеты), суд первой инстанции правомерно указал, что целью обработки персональных данных гражданина Политухина Е.В., определенной Банком в Анкете-заявлении, на реализацию которой выразил свое согласие гражданин Политухин Е.В., является получение и дальнейшее использование банковской карты. Вместе с тем Банк, заключив с Закрытым акционерным обществом "Секвойя Кредит Консолидейшн" Агентский договор N 109 от 24.01.2011, по условиям которого ЗАО "Секвойя Кредит Консолидейшн" (агентство) принимает на себя обязательство от имени Банка и за вознаграждение выполнять действия, направленные на взыскание с заемщиков - физических лиц Банка просроченной задолженности по кредитным договорам, заключенным с заемщиками от имени Банка, допустил передачу обработки персональных данных Политухина Е.В. третьему лицу, превысив заранее определенные и законные цели обработки персональных данных". Это было признано неправомерным.

- обработка персональных данных продолжается и после достижения цели обработки.

По материалам Постановления Двенадцатого арбитражного апелляционного суда от 25 мая 2015 г. N 12АП-3364/15 по делу N А12-13609/2014 конкурсный управляющий попытался получить информацию от агента, который оказывал работы по взысканию задолженности с населения за оказанные услуги ЖКХ. Агент отказался предоставить такие данные, правомерно отметив, что целью обработки персональных данных в процессе действия агентского договора являлись начисление платы потребителям и распечатка платёжных документов на их оплату. Договор на выполнение указанных работ был расторгнут с агентом, соответственно, цель обработки персональных данных агентом достигнута. Поэтому агент правомерно уничтожил персональные данные из своего программного комплекса во исполнение Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

Меры по совершенствованию

В связи с вышеизложенным и нарушениями, которые обнаружил Роскомнадзор в своих проверках, в Стратегии были в том числе отмечены следующие шаги дальнейшего развития законодательства в области персональных данных и практики его применения:

- разработка и реализация предложений по унифицированию требований саморегулируемых организаций в отношении деятельности по обработке персональных данных, осуществляемой ее участниками;

- разработка и реализация мер, направленных на ограничение неправомерных практик поведения, предполагающих нарушение законодательства Российской Федерации в области персональных данных;

- подготовка предложений для профессиональных объединений операторов по разработке и согласованию и последующему подписанию с Роскомнадзором отраслевых стандартов или Кодексов профессионального поведения, содержащих положения, направленные на обеспечение соблюдения требований законодательства Российской Федерации в области персональных данных;

- инициация предложений по дифференциации ответственности операторов за нарушение требований Федерального закона "О персональных данных", повлекших за собой нарушение прав и законных интересов граждан;

- проведение совместно с Консультативным советом при уполномоченном органе по защите прав субъектов персональных данных тематических исследований в различных профессиональных отраслях (банковской, страховой сфере, в области связи, туризма) для выявления проблематики соблюдения законодательства в области персональных данных, выработка и размещение на Портале персональных данных рекомендаций по их устранению;

- актуализация постатейного комментария Федерального закона "О персональных данных" с учетом законодательных инициатив, вступивших в силу в 2015 году, и сложившейся правоприменительной практики;

- формирование на Портале персональных данных открытого тематического банка выступлений, семинаров и мастер-классов и организация доступа заинтересованных лиц, в том числе дистанционного;

- проведение на базе территориальных органов Роскомнадзора обучающих семинаров для сотрудников, осуществляющих деятельность в области защиты прав субъектов персональных данных;

- разработка и распространение тематических брошюр, буклетов о необходимости защиты персональных данных и о негативных последствиях их противоправного использования;

- формирование аналитической базы по федеральным округам с информацией о положении дел в области персональных данных, в том числе о допускаемых нарушениях законодательства Российской Федерации в области персональных данных, о соблюдении прав и законных интересов граждан, о наличии инцидентов, повлекших негативный общественный резонанс;

- проведение анализа итогов модернизации общеевропейского законодательства в области персональных данных, сравнительного анализа действующего законодательства и положительных практик отдельных иностранных государств и подготовка на их основе предложений по внесению изменений в законодательство Российской Федерации в области персональных данных.

Ожидаемую работу планируется осуществить в 2016-2020 годах.

Список литературы

1) Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

2) Роскомнадзор "Стратегия институционального развития и информационно-публичной деятельности в области защиты прав субъектов персональных данных на период до 2020 года", https://rkn.gov.ru/docs/strategijapd2016.docx.

3) Приезжева А.А. Федеральный закон "О персональных данных: научно-практический комментарий" // Библиотечка Российской газеты, выпуск 11, С. 1-177.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Буркова А.Ю. Пути совершенствования законодательства и практики о персональных данных

Anastasia Ju.B. Ways of improvement of legislation and practice on personal data

Цель: В России развивается законодательство о персональных данных. Важные изменения произошли за последние два года. Дальнейшие изменения ожидаются в 2016-2020 годах. Методология: диалектика, абстрагирование, анализ, синтез, дедукция, формально-юридический метод, метод межотраслевых юридических исследований. Выводы. Законодательство о персональных данных требует изменений. Судебная практика о персональных данных единообразия. Научная и практическая значимость. Проведенное исследование развивает и уточняет аспекты законодательства о персональных данных, которые должны быть уточнены в будущем.

Purpose: The Russian legislation on personal data is evolving. Important changes occurred during the last two years. Further changes are expected in 2016-2020. Methods: dialectic, abstraction, analysis, synthesis, deduction, legalistic method, inter-branch legal research. Results: Russian legislation on personal data requires changes. The court practice shall be unified. Discussion: The research develops and specifies the amendments that shall be made in the future to the Russian legislation on personal data.

Ключевые слова: персональные данные, субъект, локализация, база данных.

Keywords: Personal data, subject, localization, database.

Пути совершенствования законодательства и практики о персональных данных

Автор

А.Ю. Буркова - сотрудник коммерческого банка. Кандидат юридических наук.

Окончила Московскую государственную юридическую академию.

Работала более 10 лет в международных юридических фирмах "Бейкер и Макензи" и "Уайт энд Кейс"

Автор более 200 публикаций на русском и иностранном языках на темы банковского, гражданского и предпринимательского права, в том числе:

Буркова А.Ю. Регулирование сделок репо // Право и Экономика. 2011. N 12

Буркова А.Ю. Банковская гарантия: развитие практики // Вестник арбитражной практики. 2011. N 4

Буркова А.Ю. Последние международные изменения в законодательстве о судопроизводстве, арбитраже и медиации // Вестник арбитражной практики. 2013. N 6

Буркова А.Ю. Waiver: отказ от прав в международной практике и как новелла российского законодательства // Право и экономика. 2015. N 7

Буркова А.Ю. Некоторые вопросы, рассматриваемые судами в связи с заключением договора банковского вклада // Вестник арбитражной практики. 2015. N 4

Буркова А.Ю. Влияние недействительности части сделки на всю сделку // Право и экономика. 2015. N 11

Журнал "Право и экономика", 2016, N 10