Споры по защите персональных данных
Г.Г. Зайцева,
главный редактор журнала "Руководитель автономного учреждения"
Журнал "Руководитель автономного учреждения", N 4, апрель 2016 г., с. 33-40.
Являясь исполнителями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), государственные и муниципальные учреждения уже достаточно давно занимаются обработкой личных данных своих сотрудников и клиентов. Но от нарушения многочисленных требований законодательства и разбирательств в суде учреждения, конечно, не застрахованы. Что становится предметом споров и какие решения принимают судьи в отношении операторов персональных данных (ПД)?
Инициаторами разбирательств обычно становятся граждане, которые посчитали, что их права в области защиты ПД нарушены, а также сами организации - операторы ПД, решившие оспорить вынесенные в их отношении предписания Роскомнадзора. Отметим сразу, что учреждения нечасто выступают в качестве стороны подобных разбирательств. Однако спорные ситуации (пусть и не дошедшие до суда) вполне могут возникнуть в практике учреждений.
Что считать персональными данными?
Как известно, законодательство лишь обобщенно толкует понятие "персональные данные". Согласно п. 1 ст. 3 Закона N 152-ФЗ под ними понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД). Какие именно сведения здесь имеются в виду, не уточняется ни в названном законе, ни в ТК РФ (его гл. 14 посвящена защите персональных данных работника). Тем не менее к личным данным можно причислить информацию, на основании которой происходит идентификация гражданина, в частности:
- фамилию, имя, отчество;
- дату и место рождения;
- адрес места жительства (место регистрации);
- семейное, социальное и имущественное положение;
- образование, специальность, профессию;
- сведения о доходах, имуществе и имущественных обязательствах.
Суды уточняют этот перечень. Так, они отнесли к персональным данным номер мобильного телефона (Апелляционное определение Алтайского краевого суда от 29.09.2015 по делу N 33-9241/2015), фотографии (изображения) гражданина (Апелляционное определение Свердловского областного суда от 09.04.2015 по делу N 33-5232/2015). Хотя ответчики, действия которых и повлекли судебные разбирательства, настаивали на обратном, заявляя, что указанная информация в Законе N 152-ФЗ прямо не поименована.
А вот голос человека (аудиозапись разговора с ним) не отнесен к персональным данным (в том числе биометрическим), которые нужно защищать (Апелляционное определение ВС Республики Татарстан от 27.04.2015 по делу N 33-6211/15). Аналогичный вывод сделал Санкт-Петербургский городской суд в отношении идентификационного номера налогоплательщика (Апелляционное определение от 03.02.2015 N 33-1644/2015 по делу N 2-3097/2014). Судьи указали, что ИНН не содержит какой-либо информации личного характера, касающейся конкретного физического лица. В силу норм налогового законодательства ИНН применяется только для контроля выполнения гражданами обязанности по уплате налогов.
Особенности обработки ПД
Вторая группа разбирательств связана с действиями операторов в процессе обработки ПД, хотя многие подобные вопросы изначально урегулированы в Законе N 152-ФЗ и подзаконной базе. В частности, в одном из случаев Роскомнадзор и организация поспорили по поводу того, что считать неавтоматизированной обработкой ПД (Апелляционное определение Владимирского областного суда от 20.01.2015 по делу N 33-139/2015). Контролирующий орган посчитал, что личные данные в отношении детей работников организации, учетные карточки Т-2, сведения об уплате алиментов работниками, а также персональные данные, связанные с рассмотрением обращений граждан, не входят в число исключений, перечисленных в ч. 2 ст. 22 Закона N 152-ФЗ. А значит, оператор на основании ч. 1 ст. 22 должен был подать в уполномоченный орган уведомление об обработке ПД.
Оператор ПД не согласился с предписанием Роскомнадзора, обратился в суд и тот встал на сторону организации. Судьи пришли к выводу о том, что оператор обрабатывал указанные ПД без использования средств автоматизации, а это и есть одно из предусмотренных законодательством исключений. Так что необходимость направлять уведомление в территориальное управление Роскомнадзора у оператора отсутствовала.
Отметим, что критерии, при которых обработка ПД гражданина признается либо не признается неавтоматизированной, сформулированы в Положении*(1), утвержденном Постановлением Правительства РФ от 15.09.2008 N 687. Согласно его п. 1 неавтоматизированной считается обработка личных данных, содержащихся в информационной системе ПД либо извлеченных из нее, если использование, уточнение, распространение, уничтожение ПД осуществляются при непосредственном участии человека. Обработка не может быть признана автоматизированной только на том основании, что личные данные содержатся в информационной системе ПД либо извлечены из нее.
В другом случае у спорящих сторон возник вопрос: должно ли лицо, осуществляющее обработку ПД по поручению оператора, получать согласие субъекта ПД? Московский городской суд в Постановлении от 05.11.2015 N 4а-3801/2015 указал, что такой обязанности у "обработчика" не возникает в силу ч. 4 ст. 6 Закона N 152-ФЗ. Сам же оператор, как следует из материалов дела, получил согласие гражданина на обработку предоставленных личных данных, их передачу названным в анкете третьим лицам - партнерам оператора (в том числе организации, выступающей стороной в указанном споре). В анкете была обозначена и цель обработки ПД.
Кстати, нижестоящие судебные инстанции ранее признавали организацию-"обработчика" виновной и соглашались с правомерностью назначения ей административного штрафа в размере 5 000 руб. Однако в итоге наказание в виде штрафа было отменено.
Следующий спор, заслуживающий внимания, касается необходимости ответа на запрос клиента - субъекта ПД. Как указано в Апелляционном определении Московского городского суда от 14.12.2015 по делу N 33-47059/2015, оператор обязан в течение 30 дней дать на полученный запрос ответ или мотивированный отказ в предоставлении запрашиваемой информации (ч. 1, 2 ст. 20 Закона N 152-ФЗ). В рассматриваемом деле клиент направил оператору заявление, где просил подтвердить факт обработки ПД, сообщить правовые основания и цели обработки, сведения о лицах, которые имеют доступ к ПД или которым может быть раскрыта такая информация на основании договора. Однако оператор не отреагировал на упомянутое заявление, в связи с чем и был признан виновным (к слову, суд нижестоящей инстанции ранее оправдал действия оператора). Организацию обязали предоставить клиенту запрашиваемые сведения и выплатить компенсацию морального вреда.
Наконец, еще одно судебное решение будет интересно тем, кто проводит соцопросы: необходимо ли обезличивать ПД респондентов? АС МО в Постановлении от 27.07.2015 N Ф05-9077/2015 по делу N А40-62712/14 установил, что это делать нужно. Обстоятельства дела таковы. Фонд заказал организации проведение социологического исследования на предмет выявления предпочтений потребителей услуги, по результатам которого исполнитель должен был предоставить заказчику оригиналы анкет с указанием номеров контактных телефонов респондентов (городского или мобильного). Впоследствии фонд отказался принимать и оплачивать выполненную работу, сославшись на отсутствие в анкетах персональных данных респондентов, - он посчитал, что согласие граждан на обработку ПД должен был получить исполнитель. Однако арбитры указали на то, что это условие договора не соответствует положениям ст. 6 Закона N 152-ФЗ, поскольку в исследовательских целях ПД могут обрабатываться только при условии их обязательного обезличивания, и встали на сторону организации - исполнителя работ, предоставившей анкеты без ПД респондентов.
Персональные данные работников
Третья группа споров касается личных данных сотрудников организаций. Работодатели нередко совершают ошибку, обрабатывая избыточный объем ПД работников. Подобные ситуации рассматривал, например, ФАС СКО (см. постановления от 11.03.2014 по делу N А53-10287/2013, от 21.04.2014 по делу N А53-13327/2013). Разбирая второе дело, арбитры указали, что для идентификации личности при приеме на работу достаточно фамилии, имени и отчества - при условии предъявления гражданином документа, удостоверяющего личность, в котором содержатся все необходимые сведения. Хранение же работодателем копий паспорта, военного билета, свидетельства о заключении брака, рождении ребенка превышает объем обрабатываемых ПД работника и противоречит нормам п. 2 ст. 86 ТК РФ, ч. 5 ст. 5 Закона N 152-ФЗ. Кроме того, обработка специальной категории ПД (национальность, указанная в свидетельствах) нарушает положения ч. 1 ст. 10 Закона N 152-ФЗ. При таких обстоятельствах суд посчитал правильными выводы Роскомнадзора, сделанные по результатам проверки оператора ПД, и поддержал позицию контролирующего органа.
А вот передача персональных данных работника третьим лицам не всегда становится нарушением законодательства. Подобная ситуация оказалась предметом разбирательства Московского городского суда (Апелляционное определение от 24.12.2014 по делу N 33-41576/2014). Гражданка посчитала, что бывший работодатель незаконно передал копии ее трудовой книжки и расписки в получении этой книжки по запросу адвоката, однако суд вынес решение о правомерности действий работодателя. Последний обрабатывал ПД в целях обеспечения права на представление доказательств по гражданскому делу, что соответствует положениям п. 2, 3 ч. 1 ст. 6 Закона N 152-ФЗ и п. 1 ч. 3 ст. 6 Федерального закона от 31.05.2002 N 63-ФЗ "Об адвокатской деятельности и адвокатуре в Российской Федерации".
Спорными бывают и ситуации, связанные с увольнением сотрудника за разглашение ПД других работников. Как известно, законодательство предусматривает основание для такого увольнения: в силу ст. 90 ТК РФ неправомерное разглашение ПД лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования названной информации, влечет дисциплинарную, материальную и другие виды ответственности. В связи с этим трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной лицу вследствие исполнения им трудовых обязанностей, в том числе по причине разглашения персональных данных другого работника (пп. "в" п. 6 ч. 1 ст. 81 ТК РФ).
Однако даже если факт разглашения конфиденциальных сведений доказан, работодателю необходимо соблюсти порядок применения дисциплинарного взыскания в виде увольнения, иначе оно окажется незаконным. Подобный случай рассмотрел Свердловский областной суд (Апелляционное определение от 24.07.2015 по делу N 33-10383/2015). Приказ об увольнении работницы учреждения был признан незаконным, а сама работница восстановлена в должности, поскольку шестимесячный срок со дня совершения проступка, установленный ст. 193 ТК РФ, истек задолго до даты фактического привлечения истицы к дисциплинарной ответственности.
Персональные данные граждан
Четвертая группа споров - пожалуй, самая многочисленная. Инициаторами разбирательств здесь, как правило, выступают субъекты ПД: клиенты организаций - операторов ПД и граждане, не связанные с операторами договорными отношениями.
Наиболее распространенным проступком организаций по-прежнему остается обработка личных данных граждан без их согласия: о типичности такого нарушения свидетельствуют и статистика Роскомнадзора, и судебная практика. В частности, суды неоднократно признавали операторов нарушившими нормы ст. 6 Закона N 152-ФЗ и подтверждали правомерность назначения им штрафов за совершенные административные правонарушения (по ст. 13.11 КоАП РФ). Примеры - постановления Пермского краевого суда от 22.05.2015 по делу N 44а-401/2015, Самарского областного суда от 08.02.2016 N 4а-130/2016. Остановимся на деталях второго разбирательства.
Медицинская организация заключила с двумя гражданами договоры на оказание платных медицинских услуг, не получив согласия на обработку ПД. Директор организации мотивировал это тем, что в силу п. 5 ч. 1 ст. 6 Закона N 152-ФЗ согласия не требовалось, поскольку обработка сведений была необходима для исполнения договора, стороной которого являлся субъект ПД. Однако суд посчитал такой вывод ошибочным: речь здесь шла о специальной категории ПД - информации о состоянии здоровья, внесенной в медицинские амбулаторные карты и внутреннюю информационную систему учета. А обработка этих сведений возможна только с письменного согласия субъекта ПД (ч. 1, п. 1 ч. 2 ст. 10 Закона N 152-ФЗ).
Существует и другой вид нарушений при использовании ПД без согласия гражданина - когда личная информация публикуется в газете или на сайте организации. Подобные действия тоже квалифицируются как административное правонарушение, подпадающее под ст. 13.11 КоАП РФ. В частности, такое решение вынес Хабаровский краевой суд в постановлениях от 02.03.2015 по делу N 4-А-43/15 и от 05.03.2015 по делу N 4-А-44/15, которые относятся к одному спору. Городская администрация опубликовала на своем официальном сайте обращение гражданина (без его согласия), в котором содержались его персональные данные (ФИО, домашний адрес, номер телефона), и тем самым нарушила положения ст. 6, 7, 9 Закона N 152-ФЗ. Судьи согласились с правомерностью назначения юридическому лицу штрафа в размере 5 000 руб. и должностному лицу - в размере 500 руб.
Однако, получая согласие гражданина на обработку его ПД, операторам следует тщательно прорабатывать содержание такого согласия. В силу ч. 4 ст. 9 Закона N 152-ФЗ в документе должны быть прописаны в том числе цель обработки и перечень ПД, на обработку которых дается согласие, но перечень этот должен быть обоснованным. При затребовании оператором избыточных данных гражданин вправе отказаться от подписания согласия (Постановление Тринадцатого арбитражного апелляционного суда от 03.06.2014 N А56-56137/2013). Как следует из материалов дела, бланк согласия, предложенный оператором (медицинской организацией), содержал полный перечень ПД (семейное и имущественное положение, образование, профессия, доходы и др.) и такой объем не соответствовал целям обработки. Кроме того, в документе упоминались неконкретизированные сведения ("другая информация") и возможность передачи ПД третьим лицам. В связи с этим отказ гражданина от дачи согласия судьи сочли обоснованным, а вот отказ медицинской организации в предоставлении гражданину услуги из-за отсутствия согласия - неправомерным.
Наконец, нередки споры, касающиеся отзыва гражданином согласия на обработку ПД. Если согласие отозвано, дальнейшее использование оператором личных данных клиента является нарушением Закона N 152-ФЗ, а если личная информация по-прежнему продолжает обрабатываться в целях продвижения и рекламы услуг - оператор не соблюдает еще и требования Федерального закона от 13.03.2006 N 38-ФЗ "О рекламе". На это, в частности, указал Новосибирский областной суд в апелляционных определениях от 02.04.2015 по делу N 33-2662/2015 и по делу N 33-2034/2015. Раскроем детали второго спора. После отзыва согласия на обработку ПД клиент получил от организации СМС-сообщение рекламного характера и, посчитав незаконным действие оператора, обратился в суд. Суд первой инстанции признал требование гражданина необоснованным, аргументировав решение тем, что срок от момента принятия оператором отзыва до момента совершения им СМС-рассылки укладывается в 30 дней, отведенные ст. 21 Закона N 152-ФЗ на исключение данных. Но суд апелляционной инстанции не согласился со сделанным выводом: в силу ч. 1 ст. 18 Закона N 38-ФЗ распространение рекламы по сетям электросвязи, в том числе посредством использования подвижной радиотелефонной связи, допускается только при условии предварительного согласия адресата на получение рекламы. Организация была обязана немедленно прекратить распространение рекламы в адрес лица, обратившегося к ней с таким требованием, а значит, действия оператора незаконны.
Заключение
Как видим, самыми распространенными нарушениями операторов (и предметом споров) оказываются обработка ПД в отсутствие согласия гражданина и несоответствие письменного согласия требованиям Закона N 152-ФЗ, в том числе сбор избыточных сведений. Учреждениям нужно учесть это в своей работе, поскольку, как показывают решения судов, ошибки при обработке ПД могут повлечь претензии со стороны контролирующих органов и субъектов ПД, а также нежелательные финансовые последствия в виде штрафов и выплаты гражданам компенсаций морального вреда.
-------------------------------------------------------------------------
*(1) "Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Журналы издательства "Аюдар Инфо"
На страницах журналов вы всегда найдете комментарии и рекомендации экспертов, ответы на актуальные вопросы, возникающие в процессе вашей работы. Авторы - это аудиторы-практики, налоговые консультанты и работники налоговых служб, они всегда подскажут вам, как правильно строить взаимоотношения с налоговой инспекцией, оптимизировать налоги законным путем, помогут разобраться в новом нормативном акте, применить его на практике и избежать ошибок в работе.
Издатель: ООО "Аюдар Инфо"