ПЕРСОНАЛЬНЫЕ ДАННЫЕ. А. БАЛДЫНОВА

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

А. БАЛДЫНОВА

Новый этап борьбы с нарушениями в сфере персональных данных пришелся на 2017 год - именно тогда вступил в силу ряд поправок в КоАП, устанавливающий и ужесточающий меры ответственности за нарушения в данной сфере. В дальнейшем к новым нормам добавилось нашумевшее требование о локализации персональных данных. В настоящее время количество данных гражданина, которые потенциально по смыслу закона можно признать персональными, только растет, усложняются правоотношения между субъектами персональных данных и операторами, в связи с этим представляется важным проанализировать наиболее сложные, касающиеся персональных данных вопросы, возникающие в судебной практике.

Для начала необходимо понять, какие данные суды склонны считать персональными, а какие нет. Так, такие данные, как фамилия, имя, отчество, дата рождения, адрес, семейное социальное и имущественное положение, образование, профессия, вполне единодушно признаются судами персональными (Постановление от 05.10.2010 по делу N А15-2016/2009, Постановление 19-й ААС от 29.04.2015 по делу N А36-5713/2014). К персональным относятся и паспортные данные (см., например, Апелляционное определение Московского городского суда от 22.05.2014 N 33-14709), адрес электронной почты (см., например, решение от 26.05.2015 по делу N 12-253/2015 Калининского районного суда (город Санкт-Петербург). Практика и мнение Роскомнадзора об отнесении электронной почты к категории персональных данных неоднозначны. В ряде разъяснений Роскомнадзор указывает, что адрес электронной почты, содержащий фамилию, имя и отчество, будет отнесен к категории персональных данным, а если всего лишь набор символов, то нет. Признаются судами в качестве персональных данных также сведения о пересечении государственной границы, данные технического паспорта на жилые помещения, сведения о доходах и собственности должностных лиц, данные работника, указанные в трудовом договоре (см., например, Апелляционное определение Верховного суда Республики Саха (Якутия) от 23.10.2013 N 33-4172/13).

Что касается более замысловатых категорий типа IP-адреса, никнейма в соцсети, то относительно них суды имеют разные точки зрения. В одном из судебных решений приведен следующий правовой анализ IP-адреса: "...идентификация пользователя информационно-телекоммуникационной сети Интернет через установление его персональных данных по статическому IP-адресу, назначаемому оператором связи и постоянно закрепленному за конечным пользовательским оборудованием при заключении договора на оказание услуг доступа к сети Интернет (при использовании статического IP-адреса все подключения пользователя всегда идентифицируются этим IP-адресом в сети связи) по своим правовым последствиям не может отличаться от случаев, когда IP-адрес назначается оператором связи пользовательскому оборудованию автоматически, на период подключения данного устройства (период сессии) к сети Интернет (динамический IP-адрес)" (решение по делу N 2-5354/2015 от 24.09.2015. Октябрьский районный суд г. Самары (Самарская область)). При этом некоторые суды IP-адрес к персональным данным не относят (см., например, Постановление 13 ААС от 01.06.2015 по делу N А56-75017/2014), а другие, наоборот, признают (решение АС Челябинской области от 11.02.2016 по делу N А76-29008/2015). Представляется, что статичный IP-адрес однозначно можно относить к персональным данным, так как по нему идентифицировать пользователя можно. На практике владельцы доменов, разработчики мобильных приложений включают в политики обработки персональных данных пункт об IP-адресе (и вообще о любых технических параметрах устройств пользователя) на всякий случай. Так, в судебном споре Роскомнадзора с МТС (дело N А40-14902/16) суд пришел к выводам, что пользовательские данные, собираемые с помощью cookie-файлов, тоже являются персональными данными, и нужно получать согласие на их обработку. Для этого сейчас на практике делают всплывающее окно, в котором уведомляют об использовании данной технологии и просят покинуть сайт лиц, не согласных с использованием cookie-файлов.

Предоставление персональных данных по запросу государственных органов также вызывает споры. Закон запрещает их распространение, и иногда операторы, стремясь избежать риска привлечения к административной ответственности, отказывают в их передаче государственным органам, в том числе и ФАС РФ. Так, предметом рассмотрения Арбитражного суда Ульяновской области стала ситуация, когда ФАС запросила у оператора мобильной связи информацию о владельце телефонного номера, а за отказ предоставить персональные данные оператор был оштрафован (решение от 9 марта 2016 г. по делу N А72-14229/2015. В итоге суд пришел к выводу, что действующим законодательством ограничены полномочия антимонопольного органа запрашивать у операторов связи сведения об абонентах, а также ограничен доступ к сведениям об абонентах - физических лицах и их персональным данным, в связи с чем отказ общества в предоставлении антимонопольному органу информации, содержащей персональные данные физических лиц, является правомерным, поскольку предоставление такой информации без согласия физических лиц не является обязательным в силу закона. Сослался суд в своем решении и на Постановление Правительства Российской Федерации от 27.08.2005 N 538, которым утверждены Правила взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность: в соответствии с пунктом 1 этих Правил определяется порядок взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими в соответствии с Федеральным законом "Об оперативно-розыскной деятельности" оперативно-розыскную деятельность с использованием технических средств, обеспечивающих эту деятельность в сети связи оператора связи, при предоставлении оператором связи уполномоченным органам информации об абонентах и оказанных им услугах связи, а также иной информации, необходимой для выполнения возложенных на уполномоченные органы задач в порядке и случаях, установленных федеральными законами.

В статье 13 Федерального закона от 12.08.1995 N 144-ФЗ "Об оперативно-розыскной деятельности" (далее - Закон об оперативно-розыскной деятельности) предусмотрены органы, осуществляющие оперативно-розыскную деятельность, среди которых антимонопольный орган не указан. Опираясь на указанные нормы права, суд встал на сторону оператора.

В другом деле Верховный Суд подтвердил право ФАС запрашивать у операторов связи персональные данные лиц, с чьих телефонных номеров исходит спам. Верховный Суд России в своем Постановлении от 13 августа 2015 года указал на моменты, которые стоит учитывать в таких случаях: в соответствии с частью 1 статьи 34 Федерального закона "О рекламе" юридические лица обязаны представлять в антимонопольный орган в установленный срок необходимые документы, материалы, объяснения и другую информацию, в том числе составляющую охраняемую законом тайну. Нормами федерального законодательства предусмотрены случаи обязательного предоставления персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц. При этом статья 35 Закона "О рекламе" прямо указывает, что ФАС и ее сотрудники соблюдать коммерческую, служебную и иную охраняемую законом тайну. В итоге Верховный Суд, рассмотрев дело, решил, что требование Иркутского УФАС о представлении сведений от оператора связи являлось правомерным (Постановление Верховного Суда от 28 декабря 2015 г. по делу N А36-5713/2014).

Возможность предоставления персональных данных по адвокатскому запросу также вызывает споры. Закон 152-ФЗ не предусматривает возможность предоставления информации о персональных данных работника по адвокатскому запросу, работодатели отказывают в предоставлении таких данных. Правомерность действий работодателя в такой ситуации подтверждал Конституционный Суд РФ. В Определении КС РФ от 29.09.2011 N 1063-О-О, указано, что исключение информации, относящейся к персональным данным, из режима свободного доступа полностью соответствует предписаниям Конституции Российской Федерации. Суд пояснил, что "...любая затрагивающая права и свободы гражданина информация должна быть ему доступна при условии, что законодателем не предусмотрен специальный правовой статус такой информации в соответствии с конституционными принципами, обосновывающими необходимость и соразмерность ее особой защиты" и что такая трактовка пределов адвокатского запроса не лишает адвоката заявлять в суде ходатайство об истребовании персональных данных. Вместе с тем суды иногда соглашаются с доводами о том, что предоставление персональных данных без согласия работника, по адвокатскому запросу, не нарушает прав работника. В таких решениях суды обосновывают это тем, что обработка персональных данных работника без его согласия в таких случаях производится работодателем в целях обеспечения права на представления доказательств по гражданскому делу (Апелляционное определение Московского городского суда от 24.12.2014 по делу N 33-41576/2014).

Вопросы в судебной практике возникают также в связи с допустимым объемом обработки персональных данных работников. В соответствии с официальной позицией Роскомнадзора и судов работодатель вообще не может хранить копии паспортов, дипломов и прочих документов работников (см. Постановление ФАС Северо-Кавказского округа от 11 марта 2014 г. по делу N А53-10287/2013, решение АС Ростовской области от 14 ноября 2013 г. по делу N А53-12557/2013). Как считают суды, перечень документов по кадровому учету является фиксированным, а не произвольным, что подтверждается статьей 656 Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденного Приказом Министерства культуры Российской Федерации от 25.08.2010 N 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения". Судебные инстанции, руководствуясь положениями указанных нормативных актов, сделали вывод о том, что для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность. Хранение копии паспорта на рабочем месте превышает объем обрабатываемых персональных данных работников, действующим законодательством не установлено, нарушает права и свободы гражданина, снижает уровень прав и гарантий работника, противоречит федеральному законодательству. Хранение копии паспорта является обработкой избыточных персональных данных, по сравнению с теми, которые определены к заявленным целям их обработки, что является нарушением части 5 статьи 5 Закона о персональных данных.

Дискуссионным является и вопрос о том, сколько раз нарушитель может быть подвергнут административному наказанию в виде штрафа. Например, если были разглашены данные десяти лиц, то с оператора следует взыскать один штраф или десять? Есть решения судов, в которых обосновывается, почему вместо "одного" лицо получает "более десяти" штрафов (Постановление ФАС Дальневосточного округа от 11.10.2013 N Ф03-4465/2013 по делу N А24-1430/2013).

Есть суды, которые спешат объединять эпизоды (Постановление ФАС Северо-Западного округа от 02.02.2006 по делу N А56-2187/2005). Встречаются также решения, в которых прямо говорится о том, что единое событие было искусственно разложено на эпизоды, что недопустимо, поскольку лицо дважды и более раз привлекается к ответственности за одно и то же деяние (см. Постановление Арбитражного суда Уральского округа от 21.03.2017 N Ф09-1214/17 по делу N А50-19558/2016).

Не всегда суды в принципе обосновывают, почему в одном случае "множественность", а в другом похожем случае - строго "единичность". Очевидно, что мнение суда в таких спорных моментах будет зависеть от обстоятельств совершения правонарушения: если ряд деяний был совершен примерно в одно время и, например, одним и тем же работником оператора, то велика вероятность, что множественности тут суд не увидит и ограничится всего одним штрафом. Если же наличествует временная дистанция и очевидный несистемный характер, то суд может прийти к выводу о необходимости назначения нескольких административных наказаний.

Приведенный перечень спорных вопросов персональных данных в судебной практике является далеко не полным. Но и из данного массива проанализированных судебных решений можно сделать ряд выводов. Во-первых, каждому оператору персональных данных следует максимально широко очерчивать круг обрабатываемых персональных данных (даже если есть сомнения, считаются ли они таковыми по мнению регулятора), включая их в свои внутренние документы. Во-вторых, предоставляя персональные данные по запросу, стоит детально выяснять нормативно-правовую основу данного запроса и степень его правомерности, от кого бы он не исходил, и взвешивать все риски, которые могут возникнуть как при предоставлении данных, так и при отказе в их выдаче. И в-третьих, разумеется, следить за основными тенденциями развития судебной практики в данном вопросе, а также за разъяснениями регулятора.

Подписано в печать

15.09.2020