Правовое регулирование использования персональных данных без согласия субъекта персональных данных

Размещено на http://www.allbest.ru/

Санкт-Петербургский филиал федерального государственного автономного образовательного учреждения высшего образования

"Национальный исследовательский университет

"Высшая школа экономики"

Юридический факультет

Кафедра гражданского права и процесса

Выпускная квалификационная работа

на тему "Правовое регулирование использования персональных данных без согласия субъекта персональных данных"

Молдачева Е.А.

Санкт-Петербург 2019

План

Введение

1. Вопросы для юридического анализа

Выводы

Введение

Коммерческая организация (далее - Организация) является обладателем исключительного права на программное обеспечение, предназначенное для обработки персональных данных лиц, зарегистрированных на открытых Интернет-сайтах. Данная программа для электронно-вычислительной машины позволяет определенным образом обрабатывать информацию о пользователях информационных ресурсов, которую пользователи сделали общедоступной. Посредством программы возможна выгрузка запрошенной пользователем программы информации с сайта и получение систематизированного в определенном порядке материала для последующего коммерческого использования.

К Организации обратился гражданин, которому стало известно о том, что персональные данные пользователей социальной сети "ВКонтакте", пользователем которой он также является, обрабатывались Организацией с целью дальнейшей перепродажи некоей кредитной организации для оценки кредитоспособности отдельных пользователей данной социальной сети.

Гражданин потребовал прекращения деятельности по незаконной обработке персональных данных пользователей социальной сети, пригрозил Организации обращением в суд и Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций.

1. Вопросы для юридического анализа

Перед юрисконсультом были поставлены следующие вопросы:

1) Какая информация в социальной сети может быть отнесена к персональным данным?

2) Возможна ли обработка персональных данных без получения согласия субъекта персональных данных?

3) Может ли быть признана информация о пользователе, содержащаяся на Интернет-сайтах и иных открытых для неопределенного круга лиц источниках, персональными данными, сделанными общедоступными субъектом персональных данных?

4) Допускается ли коммерческое использование персональных данных, в том числе тех данных, которые стали общедоступными по воле их субъекта?

5) Какие правовые последствия для Организации могут наступить при неправомерном использовании персональных данных?

АНАЛИЗ.

Вопрос 1: Какая информация в социальной сети может быть отнесена к персональным данным?

Ответ: К персональным данным относится информация, позволяющая отграничить одного пользователя социальной сети от другого. В каждом отдельном случае объем подобной информации, идентифицирующей определенного пользователя, соответственно будет различаться.

Обоснование: В соответствии со ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) персональными данными признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В свою очередь в ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон об информации) информацией признаются сведения (сообщения, данные) независимо от формы их предоставления.

Соответственно, к персональным данным относится совокупность сведений, на основании которых возможно прямо или косвенно произвести идентификацию лица и отграничить его за счет этого от других лиц. Необходимо установить тот объем информации, идентифицирующий субъекта персональных данных с достаточной степенью определенности, которая в каждом отдельно взятом случае идентификации будет различна, а также очевидно оценочна Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. М.: Статут, 2016. В Постановлении мирового судьи по судебному участку № 46 города Якутска Республики Саха (Якутия) от 05.10.2017 по делу № 5-526/46-2017 судом был сделан вывод о возможности идентификации субъекта персональных данных по чрезмерно детально описанным обстоятельствам происшествия, опубликованного в печатном издании.. Следовательно, при отграничении персональных данных от иной информации следует рассчитывать на относительную долю волюнтаризма при принятии решения судом или административным органом, что не способствует установлению правовой определенности.

В российской практике встречаются различные подходы к понятию персональных данных. Например, ряд специалистов, а также Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) в некоторых случаях толкуют его ограничительно (в приоритет ставится разглашение государственных идентификаторов над любыми другими данными с соответствующей степенью предоставляемой защиты) Федеральный закон "О персональных данных": научно-практический комментарий (постатейный) / Гафурова А.Х., Доротенко Е.В., Контемиров Ю.Е. и др.; под ред. Приезжевой А.А. М.: Редакция "Российской газеты". 2015. Вып. 11. С. 15-18; Наумов В.Б., Архипов В.В. Понятие персональных данных: интерпретация в условиях развития информационно-телекоммуникационных технологий // Российский юридический журнал. 2016. № 2. С. 186-196., в других случаях, наоборот, воспринят широкий подход Грибанов А.А. Общий регламент о защите персональных данных (General Data Protection Regulation): идеи для совершенствования российского законодательства // Закон. 2018. № 3. С. 149-162., и персональными данными признается любая относимая к лицу и идентифицирующая это лицо информация (к примеру, ID пользователя, cookie-файлы, URI (Uniform Resource Identifier - унифицированный идентификатор ресурса) и другие) Решение Арбитражного Суда города Москвы от 25.05.2016 по делу № А 40-51869/2016, Постановление Тринадцатого арбитражного апелляционного суда от 01.07.2016 № 13АП-10775/2016 по делу № А 56-6698/2016, Решение Арбитражного Суда города Москвы от 11.03.2016 по делу № А 40-14902/2016-84-126..

В связи со вступлением в силу General Data Protection Regulation - Общего регламента по защите данных (далее - GDPR) на территории Европейского Союза (далее - ЕС) с мая 2018 года необходимо учитывать положения данного акта, имеющего экстерриториальный характер: критерий местонахождения обработчика и оператора и критерий ориентированности на рынок ЕС. Регламент согласно art. 3 распространяет действие в отношении обработчиков и контроллеров персональных данных, не находящихся на территории ЕС, в случаях предложений услуг или благ находящимся на территории ЕС лицам, а также в случаях мониторинга их поведения в той мере, в которой их поведение имеет место в пределах ЕС. Например, Организация обрабатывает персональные данные зарегистрированных в социальной сети граждан ЕС с целью дальнейшей передачи кредитной организации, так как Организация как обработчик собирает данные с целью направления контроллером дальнейших кредитных предложений этим лицам. Также возможна ситуация, при которой Организация создает профайлы зарегистрированных в социальной сети граждан ЕС с целью определения их кредитоспособности.

В определении персональных данных в art. 4 GDPR к ним отнесена информация, признаваемая в качестве персональных данных: регламентом прямо включаются фамилия, имя, идентификационные номера, данные о местоположении, онлайн-идентификаторы, а также другая информация, относящаяся к физическим, физиологическим, генетическим, психологическим, экономическим, культурным или социальным идентификаторам лица. При этом данная информация категорируется на "обычную" и специальную (биометрические, генетические и иные "чувствительные" категории данных).

Закон о персональных данных также выделяет различные категории персональных данных, отличающихся по особенностям обработки и регулированию. В соответствии с законом выделяются следующие категории персональных данных: 1) "обычные" данные (например, сведения о государственных идентификационных номерах лиц, фамилии, имени, возрасте, образовании, фотография Глонина В., Семенова А.А. Законодательство о персональных данных - что это значит для фотографа в России и Европе? [Электронный ресурс] // Закон.ру. 2018. URL: https://zakon.ru/blog/2018/2/2/uzhestochenie_zakonodatelstva_o_personalnyh_dannyh_-_chto_eto_znachit_dlya_fotografa_v_rossii_i_evro (дата обращения: 12.05.2019). и видеозапись Например, как установлено судом в Апелляционном определении Московского городского суда от 24.01.2019 по делу № 33-3204/2019.); 2) специальные данные (информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни); 3) биометрические данные (сведения о физиологических и биологических особенностях человека, на основании которых устанавливается его личность. Например, фотография и видеозапись, на основании которых с помощью методов биометрической идентификации можно установить определенное лицо Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по вопросам отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки. URL: https://pd.rkn.gov.ru/press-service/subject1/news2729/ (дата обращения: 12.05.2019). Также подобный вывод следует из п. 51 преамбулы GDPR: фотографии становятся именно биометрическими персональными данными, только если обрабатываются через специальные технические средства.. При этом отнесение фотографии и видеозаписи к "обычной" категории персональных данных или категории биометрических данных зависит от использования методов биометрической идентификации: идентификация лица, изображенного на фотографии или видеозаписи, возможна без соответствующих технических средств, однако использование подобных средств дает более точный результат определения конкретного лица Федеральный закон "О персональных данных": научно-практический комментарий. Под ред. заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Приезжевой А.А. С. 67-69.).

В частности, пользователи выкладывают в социальные сети свои фотографии, которые также могут быть использованы для идентификации конкретного пользователя среди других лиц. Возможности использования изображения лиц подчиняются правилам Гражданского кодекса Российской Федерации (далее - ГК РФ). Как разъяснено в судебной практике, общедоступность изображения лица не дает иным лицам права на его свободное использование без согласия изображенного лица, однако иное может быть предусмотрено правилами Интернет-сайта, на котором лицо самостоятельно размещает фотоизображение. Так как фотография относится к персональным данным лица Управление Роскомнадзора по Центральному федеральному округу делает вывод, что опубликование на Интернет-сайте одной лишь фотографии без иной идентифицирующей информации не свидетельствует об обработке персональных данных. Такой же вывод данное Управление делает относительно опубликования только фамилии, имени и отчества лица. Полагаться на эти выводы, на наш взгляд, не следует, так как они вступают в противоречие с Законом о персональных данных. URL: https://77.rkn.gov.ru/p3852/p13239/p13309/ (дата обращения: 12.05.2019)., то на нее также распространяются положения Закона о персональных данных, в частности, рассматриваемое далее исключение из общих правил обработки в виде общедоступности, что добавляет к ст. 152.1 ГК РФ основание для использования изображения лица без его прямо выраженного согласия в силу самого волевого придания информации общедоступности В Апелляционном определении Челябинского областного суда от 08.06.2017 по делу № 11-6412/2017 суд определил, что размещение на персональной странице в социальной сети "ВКонтакте" в свободном доступе для других пользователей изображения свидетельствует о выражении согласия на дальнейшее использование данного изображения, поскольку Правила пользования сайтом не содержат прямого запрета на такое использование.. Стоит отметить, что возможность использования опубликованного на Интернет-сайтах изображения относительно сложно проконтролировать, в частности, примером может являться объективная неисполнимость требования лица об удалении его фотоизображения из сети Интернет Например, адвокат известной певицы в 2013 году выиграл дело об удалении из сети Интернет фотографий, выставляющих певицу в невыгодном свете, однако фотографии можно найти в открытом доступе. URL: https://www.telegraph.co.uk/culture/music/music-news/9854872/Beyonces-publicist-asks-for-unflattering-Superbowl-photos-to-be-pulled.html (дата обращения: 12.05.2019). .

Законом об информации в ст. 5 предусмотрены различные режимы доступа к информации: 1) свободно распространяемая информация, 2) информация, предоставляемая по соглашению лиц, 3) подлежащая распространению информация в соответствии с федеральными законами, 4) информация ограниченного доступа и распространения. По смыслу закона персональные данные как определенная ограниченная и запрещенная к свободному распространению Законом о персональных данных информация относится к последней категории. Следовательно, в отношении данной информации введен режим конфиденциальности в соответствии со ст. 9 Закона об информации Персональные данные граждан являются конфиденциальной информацией. URL: https://pd.rkn.gov.ru/press-service/news1310.htm (дата обращения: 12.05.2019)., который может быть изменен законом, договором или действиями самого лица. В частности, к такому случаю относится общедоступность информации - сведения и факты становятся доступны неограниченному кругу лиц. Информация переходит из последней категории в первую: режим конфиденциальности снимается с персональных данных согласно ст. 7 Закона об информации. Однако в данной статье также установлены ограничения на использование общедоступной информации, которые могут предусматриваться федеральным законом (например, недопустимость нарушения принципа справедливой обработки субъектов персональных данных).

Допустимо в соответствии с Законом о персональных данных использование Организацией обезличенной информации, не позволяющей с достаточной степенью достоверности определить или соотнести ее с отдельно взятым пользователем. Например, возможна передача кредитной организации перемешанного или иным образом измененного перечня данных, не позволяющего установить отдельное лицо, но предоставляющего вывод об общей кредитоспособности пользователей социальных сетей. Но подобное обезличивание достаточно бесполезно для оценки кредитоспособности отдельных лиц. Как отмечается в литературе, чем более обезличена информация, тем меньшую ценность она представляет для коммерческих целей Савельев А.И. Проблемы применения законодательства о персональных данных в эпоху "Больших данных" (Big Data) // Журнал Высшей школы экономики. 2015. №1. С. 45 - 47.. Обезличенные данные в силу не идентифицирующего отдельных лиц характера уже не попадают под действие Закона о персональных данных при условии невозможности перевода их обратно в персональные данные, так как деобезличивание персональных данных снова охватывается Законом и попадает под соответствующее регулирование. Однако для дальнейшего придания информации обезличенного характера ее необходимо первоначально собрать в виде именно идентифицирующих отдельных лиц данных на законном основании (например, общедоступность данных как легитимизирующее обработку основание).

Стоит затронуть проблему совмещения больших объемов информации об отдельных субъектах и способов их обработки (так называемые "большие данные") и обеспечения неприкосновенности частной жизни как первоначальной цели введения института персональных данных. Некоторые исследователи отмечают несовместимость природы "больших данных" и законодательства о персональных данных, их взаимоисключающие цели и функциональные противоречия. К таковым, например, относят сбор и использование персональных данных с целевыми ограничениями и в определенных объемах, возможность получения осознанного и информированного согласия субъекта на конкретный перечень способов обработки персональных данных, что невыполнимо в рамках неоднократного и многоцелевого использования большого объема информации о пользователях, а также вероятность полного деобезличивания субъекта персональных данных Савельев А.И. Проблемы применения законодательства о персональных данных в эпоху "Больших данных" (Big Data). С. 59.. В прошлом году Государственной Думе РФ на рассмотрение был представлен законопроект о больших пользовательских данных. В частности, в проекте предлагается дополнить Закон об информации определением больших пользовательских данных как неидентифицирующей без дополнительных сведений физических лиц информации, собираемой из различных источников, в том числе Интернет-сети, если количество таких источников превышает тысячу сетевых адресов. Следовательно, инициаторы законопроекта хотят отделить регулирование персональных данных от больших пользовательских данных и легализовать обработку операторами больших пользовательских данных ("больших данных") с уведомлением Роскомнадзора о соответствующей обработке, а также предусмотреть создание реестра операторов больших пользовательских данных Законопроект № 571124-7 "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации". URL: https://sozd.duma.gov.ru/bill/571124-7 (дата обращения: 12.05.2019). .

Таким образом, Законом о персональных данных установлено достаточно оценочное и широкое понятие персональных данных. Следовательно, в каждом конкретном случае необходимо отдельно выяснять, выделяет ли полученная информация лицо из группы других лиц и действительно ли именно эта информация позволяет выделить лицо. Например, по общему правилу, фамилия и имя лица признаются персональными данными этого лица. Однако если фамилия и имя являются общераспространенными, и в социальной сети зарегистрированы тысячи пользователей с идентичными фамилиями и именами, то определение конкретного лица по имени и фамилии из тысяч подобных лиц практически невозможно. В этом случае требуется дополнительная идентифицирующая информация (например, сведения о возрасте или месте проживания). Если же фамилия и имя лица редкие, и по данной информации возможно найти только одно лицо, то тогда эта информация должна признаваться персональными данными, так как позволяет соотнести информацию с конкретным лицом.

Организация производила сбор и выгрузку персональных данных лиц из социальных сетей. Соответственно, в рамках социальных сетей пользователями могут быть сделаны общедоступными все категории персональных данных, предусмотренные Законом, с учетом особенностей биометрических данных, а именно необходимостью использования специальных методов и средств биометрической идентификации. Например, в социальных сетях субъект персональных данных может самостоятельно разрешить доступ к информации о своих фамилии, имени, отчестве, дате рождения, политических взглядах, физическом здоровье, к фотографиям и видеозаписям и к другим данным, открыв свою страницу в социальной сети неограниченному кругу лиц посредством установления соответствующего режима приватности в настройках. Наиболее интересными для оценки кредитоспособности лиц служат фамилия, имя, отчество, сведения о месте работы, месте учебы, анкеты друзей, о населенном пункте рождения и регионе проживания, фотоизображения пользователя, а также сведения о частоте посещений страницы и типе устройства, которые используются пользователями для входа в социальную сеть. Выгрузка именно этих персональных данных для целей оценки кредитоспособности пользователей социальной сети "ВКонтакте" была установлена в Решении Арбитражного Суда города Москвы от 12.10.2017 по делу № А 40-18827/17-110-180.

Вопрос 2: Возможна ли обработка персональных данных без получения согласия субъекта персональных данных?

Ответ: Да, возможна, но только в предусмотренных Законом о персональных данных исключительных случаях. Общим правилом является обязательное получение согласия субъекта на обработку его персональных данных.

Обоснование: Обработкой в соответствии со ст. 3 Закона о персональных данных охватываются любые действия в отношении персональных данных лица. Для признания действий обработкой достаточно совершения одного из перечисленных законом действий: сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления доступа), обезличивания, блокирования, удаления, уничтожения данных.

Основное правило, закрепленное в ст. 6 Закона о персональных данных, состоит в невозможности обработки персональных данных без легитимирующего основания. При этом приоритетным основанием считается получение конкретного, информированного и сознательного согласия лица, выраженного свободно, своей волей и в своем интересе на обработку его персональных данных Необходимо соблюсти все установленные Законом о персональных данных условия получения согласия субъекта на обработку, так как, например, содержание неконкретного перечня способов обработки персональных данных лица в бланке согласия является нарушением Закона, основанием для выдачи предписания об устранении нарушения и последующих проверок надзорным органом. Данный вывод был сделан судом в Постановлении Четырнадцатого Арбитражного Апелляционного суда от 21.01.2013 по делу № А 44-5910/2012. В ЕС нередки процессы привлечения операторов к ответственности в связи с недостаточным соблюдением требований регламента в части свободно выраженного, конкретного, информированного и недвусмысленного согласия субъекта данных на обработку (п. 32 преамбулы). URL: https://techcrunch.com/2018/05/25/facebook-google-face-first-gdpr-complaints-over-forced-consent/, https://techcrunch.com/2018/11/27/google-faces-gdpr-complaint-over-deceptive-location-tracking/ (дата обращения: 12.05.2019)..

В соответствии со ст. 1 Закона о персональных данных возможно осуществление автоматизированной и квазиавтоматизированной обработки: обработки персональных данных с помощью средств вычислительной техники и обработки без соответствующих средств автоматизации, если по характеру обработки она соотносится с обработкой с использованием таких средств Признаком квазиавтоматизированной обработки считается возможность поиска информации по определенному алгоритму. Например, попадающей под регулирование Закона о персональных данных обработкой будет ведение личных дел студентов в бумажных папках, систематизированных по фамилиям и годам обучения или иной подобной системе, позволяющей осуществить поиск и доступ к данным студентов. Поэтому в соответствии со ст. 1 Закона вне зависимости от преобразования данных в цифровую форму такая обработка по характеру действий соотносится с автоматизированной обработкой и, следовательно, попадает под регулирование Закона. .

Регулирование неавтоматизированной обработки осуществляется на основании Постановления Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Например, если при использовании информации, содержащей персональные данные субъекта, лицо использует средство вычислительной техники только как печатную машинку, а именно для написания и печати текста, то цифровой формы обработки данных в этом случае нет, поскольку данные не шифруются в виде бинарного кода для дальнейшей обработки именно электронной вычислительной машиной (далее - ЭВМ). Однако если текст с персональными данными предварительно сохранен в ЭВМ, то данный вид обработки уже признается автоматизированной обработкой персональных данных, так как данные переведены в цифровую форму и обрабатываются непосредственно ЭВМ без участия человека (человек инициирует начало хранения, но хранение происходит уже без него) Савельев А.И. Научно-практический постатейный комментарий к Федеральному закону "О персональных данных". М.: Статут, 2017..

Такая "инициация" начала обработки человеком происходит при любом способе обработки (автоматизированной или неавтоматизированной). ЭВМ не может самостоятельно запустить процесс сбора или уничтожения данных, необходимо непосредственное санкционирование или программирование человеком этого процесса. Как представляется, главным отличием автоматизированной от неавтоматизированной обработки является возможность перевода данных, инициированного человеком, в двоичный код для прямого осуществления процесса обработки ЭВМ. Исходя из этого понимания различия указание в п. 1 Постановления Правительства № 697 на квалифицирующий признак в виде непосредственного участия человека в обработке не совсем корректно: в начале любой обработки данных как в ЭВМ, так и без машины человек непосредственно участвует тем, что инициирует сам процесс.

При этом следует отметить, что к обработке несистематизированных персональных данных лиц без средств автоматизации Закон о персональных данных не применяется, даже если такие данные стали доступны неопределенному кругу лиц Савельев А.И. Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"..

Организация обрабатывает персональные данные пользователей социальной сети с использованием средства автоматизации (вычислительной техники с предустановленным программным обеспечением), так как весь процесс и результаты были выражены в цифровой форме, обработанной и расшифрованной в читаемый человеком текст из бинарного кода.

В ст. 6 Закона о персональных данных закреплен перечень легитимизирующих обработку персональных данных оснований, помимо базового в виде получения конкретного, информированного и осознанного согласия субъекта. Особенностью перечня является различный объем оснований для использования данных без согласия субъектов, зависящий от "чувствительности" данных и значимости последствий их разглашения Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование.. Например, "обычные" персональные данные открывают более широкий простор для обработки без согласия их субъекта, чем специальные категории данных, так как последствия разглашения фамилии, имени, номера телефона или адреса места жительства субъекта наносят ущерб неприкосновенности частной жизни меньший, нежели разглашение сведений об интимной жизни, религиозных и политических взглядах. Разглашение "обычных" персональных данных без согласия субъекта также является нарушением прав, однако вряд ли нанесет серьезный ущерб социальному статусу и положению в обществе отдельного индивида Компании часто смотрят на особенности поведения сотрудников и соискателей в сети Интернет. URL: https://www.vedomosti.ru/management/articles/2019/03/26/797455-kak (дата обращения: 12.05.2019).. Соответственно, легитимирующих оснований для обработки специальных и биометрических персональных данных меньше, чем "обычных" персональных данных.

Помимо дачи субъектом соответствующего положениям Закона о персональных данных согласия на обработку его персональных данных, в перечень обработки без согласия включаются такие легитимизирующие основания как: 1) обработка для целей, предусмотренных международным договором или законом, для выполнения возложенных на оператора законом функций и обязанностей, 2) участие лица в осуществлении правосудия, 3) для получения лицом доступа к государственным и муниципальным услугам, 4) исполнения договора, стороной, выгодоприобретателем или поручителем по которому является лицо, 5) в случаях, когда обработка необходима для защиты жизненно важных интересов лица, при этом получение согласия невозможно, 6) обработка необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии отсутствия нарушения прав и свобод лица, 7) обработка для целей осуществления деятельности средств массовой информации, научной, литературной и творческой деятельности при условии отсутствия нарушений прав и законных интересов лица, 8) обработка в статистических или иных исследовательских целей при условии обезличивания данных, 9) обработка общедоступных персональных данных, которые стали таковыми по воле лица, 10) обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Рассматривая условия обработки специальных персональных данных без согласия их субъекта, отметим, что в качестве легитимизирующего также названо распространение информации по воле лица в отношении неопределенного круга лиц (придание специальным персональным данным общедоступности).

Перечень оснований для использования персональных данных без согласия лица достаточно широкий. Однако необходимо помнить об ограничениях, накладываемых на оператора в виде принципов обработки персональных данных, содержащихся в ст. 5 Закона о персональных данных и на которые ссылаются суды при разрешении дел, связанных с обработкой общедоступных персональных данных и с возможностью отчуждения информации о персональных данных субъектов. В частности, к таким принципам относятся обработка данных на законной и справедливой основе и запрет несовместимой с целями сбора данных обработки.

Несмотря на то, что при рассмотрении арбитражными судами дела № А 40-18827/2017 по иску ООО "ВКонтакте" к ООО "Дабл" и АО "Национальное бюро кредитных историй" законность обработки персональных данных не входила в предмет рассмотрения, суд первой инстанции в Решении Арбитражного Суда города Москвы от 12.10.2017 по делу № А 40-18827/2017 пришел к выводу о правомерности использования данных из общедоступного источника - социальной сети: ООО "Дабл" обрабатывало открытую и общедоступную информацию, опубликованную в Интернет-сети. Однако, как отмечается в доктрине, пользователи "ВКонтакте" предоставили свои персональные данные исключительно с целью общения с другими пользователями социальной сети, следовательно, обработка информации третьими лицами с иными целями (например, предоставление данных кредитной организации с целью определения платежеспособности пользователей) не отвечает принципу обработки данных на справедливой основе Савельев А.И. Научно-практический постатейный комментарий к Федеральному закону "О персональных данных". . Однако утверждение о противоречии данному принципу не соответствует самой концепции общедоступности персональных данных и информации, так как согласно ст. 7 Закона об информации общедоступной признается информация, доступ к которой не ограничен Данный вывод иллюстрируется на примере общедоступных источников информации в виде рекрутинговых сайтов в Апелляционном определении Московского городского суда от 12.02.2019 по делу № 33-5265/2019 и Решении Московского городского суда от 27.04.2018 по делу № 3-0091/2018 и в виде социальных сетей в Апелляционном определении Новосибирского областного суда от 02.11.2017 по делу № 33-10623/2017. Отмечается, что Роскомнадзор и суды как правоприменительные органы не вправе создавать нормы, вводящие непредусмотренные Законом о персональных данных ограничения на обработку общедоступных персональных данных из социальных сетей. URL: https://vc.ru/flood/25542-rkn-vk-rules (дата обращения: 12.05.2019). Более того, в ответе на обращение гражданина от 13.08.2015 № 26735-02-11/77 Управление Роскомнадзора по Центральному федеральному округу ссылается на общедоступность размещенных в социальной сети "ВКонтакте" сведений в силу регистрации пользователя в данной социальной сети, поэтому отсутствует необходимость получения согласия субъекта персональных данных на обработку.. "ВКонтакте" предоставляет пользователям различные настройки приватности, в частности, возможность как полностью закрыть страницу от всех третьих лиц, так и позволить выдавать страницу в поисковых сервисах. Следовательно, ссылаться на несправедливость обработки в данном случае, на наш взгляд, нет оснований: лицо самостоятельно распространило персональную информацию среди неограниченного круга лиц и должно осознавать риск последствий подобного допуска Орешин Е.И. Дело ВКонтакте VS Дабл об использовании общедоступных данных пользователей: позиция Дабл в Суде по интеллектуальным правам [Электронный ресурс] // Закон.ру. 2018. URL: https://zakon.ru/blog/2018/6/15/delo_vkontakte_vs_dabl_ob_ispolzovanii_obschedostupnyh_dannyh_polzovatelej_poziciya_dabl_v_sude_po_i (дата обращения: 12.05.2019).. Более того, как установлено в п. 5.2 "Правил защиты информации о пользователях Сайта VK.com" и п. 5.11 "Правил пользования Сайтом ВКонтакте", пользователь сайта "ВКонтакте" получает право самостоятельно определять содержание собственной персональной страницы и условия ее доступности определенному кругу лиц, то есть уровень конфиденциальности. Обладателями информации являются пользователи, а распространяемая ими информация является, посредством выбора режима доступа, закрытой или общедоступной, то есть открытой для использования любыми лицами, согласно ст. 7 Закона об информации, как было установлено в Решении Арбитражного Суда города Москвы от 12.10.2017 по делу № А 40-18827/2017. Также, например, в Решении Московского городского суда от 27.04.2018 по делу № 3-0091/2018 суд допустил использование общедоступных персональных данных, размещенных самими пользователями в виде резюме на открытом рекрутинговом сайте "HeadHunter", в связи с чем выгрузка резюме и обзвон соискателей по указанному в нем номеру телефона программой для ЭВМ не считается нарушением прав субъектов персональных данных. Более того, суд сделал вывод, что ООО "Хэдхантер" не привело убедительных доводов противоречия таких действий нормальному использованию базы данных и ущемления необоснованным образом своих законных интересов в соответствии с ч. 3 ст. 1335.1 ГК РФ.

Не все суды разделяют вышеуказанную точку зрения на обработку общедоступных персональных данных. К примеру, в Апелляционном определении Нижегородского областного суда от 11.10.2016 по делу № 33-12355/2016 суд сделал вывод о незаконности использования персональных данных лица, а именно номера телефона, полученного с общедоступной страницы этого лица в целях иных, чем цель, для которой номер телефона этого лица был выложен в сети Интернет (на рабочий номер телефона истца отправлялись носящие некорректный характер требования о погашении задолженности по кредитному договору). Также в Постановлении Арбитражного суда Московского округа от 09.11.2017 № Ф 05-16382/2017 по делу № А 40-5250/2017 суд пришел к выводу, что обрабатываемые персональные данные, содержащиеся в открытых источниках (социальных сетях "ВКонтакте", "Одноклассники", "МойМир", "Instragram", "Twitter" и интернет-порталов "Авито" и "Авто.ру") не являются общедоступными, следовательно, поэтому отсутствие согласия субъекта на обработку его персональных данных считается нарушением ст. 6 Закона о персональных данных. Кроме этого, пресс-службой Роскомнадзора пояснено, что пользователь "ВКонтакте" дает согласие только на доступ к размещенной им на странице социальной сети информации, но согласия на сбор, обработку и передачу третьим лицам не дает Роскомнадзор запретил сбор данных пользователей "ВКонтакте", вне зависимости от общедоступности данных. URL: https://iz.ru/625543/vladimir-zykov/roskomnadzor-zapretil-sobirat-dannye-polzovatelei-vkontakte (дата обращения: 12.05.2019)..

При обработке персональных данных с целью продвижения товаров, работ и услуг, то есть с целью рекламы, необходимо прямо выраженное согласие субъекта на подобную обработку в соответствии со ст. 15 Закона о персональных данных. Следовательно, если кредитная организация направляет рекламные предложения в результате обработки данных Организацией, то кредитной организации как оператору необходимо получить предварительное согласие субъекта на подобную обработку. Например, в Постановлении Первого арбитражного апелляционного суда от 12.10.2011 по делу № А 79-1762/2011 судом сделан вывод о недопустимости распространения рекламных предложений абонентам без их согласия на получение подобных предложений. Более того, как установлено в Постановлении Московского городского суда от 03.08.2017 № 4а-2675/2017, даже если персональные данные были получены из общедоступного источника их обработка с рекламными целями может осуществляться только с согласия их субъекта.

Дополнительно к вышесказанному стоит отметить императивное требование ст. 16 Закона о персональных данных при оценке кредитоспособности не основывать решения, влекущие юридически значимые последствия в отношении потенциального заемщика, то есть уже обратившегося за получением кредита лица, исключительно на результатах автоматизированной обработки. Кредитоспособность лица относится к категории его личных качеств: надежности как заемщика, финансового состояния, поведения и убеждений, поэтому замена оценки личных качеств потенциального заемщика человеческим суждением на принятие решение исключительно по результатам профайлинга может повлечь негативные последствия в социуме и серьезное нарушение прав лиц.

В свою очередь GDPR разрешает осуществлять обработку персональных данных только в случае наличия хотя бы одного основания, указанного в art. 6. Для маркетинговых или иных подобного рода компаний, специализирующихся на анализе персональных данных пользователей Интернет-сайтов, подходят два основания: 1) получение свободно данного, информированного, определенного и сознательного согласия на обработку, и 2) обработка необходима для целей осуществления законных интересов контроллера или третьих лиц, за исключением случаев, когда такие интересы перекрываются фундаментальными правами и свободами субъектов персональных данных. Второе основание отсылает к разумным ожиданиям субъекта персональных данных, который предоставляет свои данные с определенными целями, однако в п. 47 преамбулы GDPR сказано, что обработка данных с маркетинговыми целями может рассматриваться как соответствующий законный интерес контроллера Законный интерес позволяет легитимизировать обработку без согласия субъекта, однако применение данного пункта преамбулы затруднено в силу сложности доказывания законных интересов контроллера и отсутствия нарушений соответствующих законных ожиданий субъекта данных. URL: https://www.gdpreu.org/the-regulation/key-concepts/legitimate-interest/ (дата обращения: 12.05.2019). . Интересно, что в art. 9 прямо закреплена возможность обработки специальных персональных данных без согласия их субъекта в случае, если лицо самостоятельно сделало данные общедоступными. При этом для категории "обычных" данных такого прямо установленного исключения нет Например, при использовании социальной сети LinkedIn для целей, не связанных с личным и иным бытовым использованием, пользователи данной социальной сети заключают пользовательское соглашение, предусматривающее возможность обработки их персональных данных другими пользователями и субъектами. Следовательно, в этом примере уместно говорить о законных ожиданиях и деловых интересах других пользователей в силу специфики самой социальной сети, и соответствующее исключение из общих правил обработки данных. URL: https://www.vsec.infinigate.co.uk/blog/gdpr-affect-linkedin-data-subject-rights, https://socialbods.co.uk/blog/gdpr-and-social-media-how-do-the-new-data-protection-regulations-affect-how-we-use-social-media/, https://www.vsec.infinigate.co.uk/blog/gdpr-personal-data-public-domain (дата обращения: 12.05.2019).

В настоящий момент практика противоречива: по схожим делам принимаются различные решения (например, дело № А 40-18827/2017 и дело № № 3-0091/2018, рассмотренное в Московском городском суде). В последнее время суды и Роскомнадзор пытаются унифицировать действующую практику по недопустимости использования общедоступных персональных данных с коммерческими целями. Видимо, данная позиция направлена на гармонизацию европейского и российского законодательства о персональных данных..

В отличии от Закона о персональных данных GDPR в art. 4 содержит регулирование профайлинга, под которым понимается любая форма автоматизированной обработки персональных данных, состоящая из использования персональных данных для оценки определенных личных качеств, относящихся к физическому лицу, в частности для анализа или прогнозирования аспектов, касающихся работоспособности, экономической ситуации, состояния здоровья, личных предпочтений, интересов, надежности, поведения, местоположения или движений лица. В частности, оценка кредитоспособности потенциального заемщика также входит в понятие профайлинга. GDPR предусматривает обязанность оператора по уведомлению субъекта персональных данных о существовании профайлинга и последствиях его составления. Также в art. 22 содержится сходное положение со ст. 16 Закона о персональных данных: недопустимость принятия юридически значимых решений в результате исключительно автоматизированной обработки данных, включая полученные по итогу профайлинга результаты Введение категории профайлинга относится к нормам о принятии решений по итогам автоматизированной обработки данных, и должно быть подчинено общим положениям о допустимости обработки персональных данных. URL: https://webpower-group.com/blog/profiling-what-is-it-and-what-is-allowed-not-allowed-in-accordance-with-the-gdpr/ (дата обращения: 12.05.2019)..

Таким образом, Организация вправе обрабатывать персональные данные, но только в предусмотренных Законом о персональных данных исключениях из общего правила о необходимости обязательного получения добровольного, информированного и сознательного согласия субъектов, выраженного свободно, своей волей и в своем интересе, на обработку их персональных данных.

Вопрос 3: Может ли быть признана информация о пользователе, содержащаяся на Интернет-сайтах и иных открытых для неопределенного круга лиц источниках, персональными данными, сделанными общедоступными субъектом персональных данных?

Ответ: Да, если субъект добровольно и осознанно распространил свои персональные данные в открытом источнике данных, то соответствующие данные становятся общедоступными, и иные лица могут обрабатывать их без согласия распространившего их субъекта. Однако данная позиция является спорной в силу принципов обработки данных на законной и справедливой основе и запрета несовместимой с целями размещения данных обработки, а также в связи с защитой исключительных прав составителей баз данных на соответствующие Интернет-сайты.

Обоснование: Согласно ст. 6 Закона о персональных данных общедоступной является информация, доступ неограниченного круга лиц к которой предоставлен самим субъектом персональных данных либо по его просьбе. Также Закон в ст. 8 предусматривает возможность создания общедоступных источников данных, в которые с согласия субъектов включаются их персональные данные, а также удаляются в случае их несогласия с размещением данных в соответствующем открытом источнике. То есть закон предполагает использование без согласия субъектов их персональных данных, находящихся в общедоступных источниках по их воле.

К общедоступным источникам персональных данных в доктрине и практике относят Интернет-сайты В Апелляционном определении Верховного суда Республики Карелия от 18.05.2017 № 33а-1707/2017 судом установлено, что размещаемая в Интернет-сети информация, допускающая автоматизированную обработку без предварительных изменений человеком в целях повторного использования, является общедоступной информацией, размещаемой в форме открытых данных. В свою очередь, общедоступная информация может использоваться любыми лицами при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. (в частности, социальные сети без ограниченного режима приватности страницы пользователя Федеральный закон "О персональных данных": Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Приезжевой А.А. С. 58.), справочники, адресные книги и другие. Следовательно, представляется правомерным использование персональных данных лица, предоставившего их в открытый доступ для всех третьих лиц. Субъект, распространяющий в открытом источнике "обычные" или "чувствительные" категории персональных данных, должен осознавать их доступность неограниченному кругу лиц и нести риск соответствующего распространения Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование.. После предоставления доступа третьих лиц к данным лицо уже не может проконтролировать возможный способ обработки распространенных данных или запретить их обработку, так как 1) даже в случае удаления данных в сети Интернет все равно остается информационный след действий субъекта (например, кэшированные копии страниц), и 2) любое третье лицо уже могло осуществить обработку до удаления данных.

Однако некоторые суды придерживаются иной логики. В случае использования общедоступных персональных данных в целях иных, чем было заявлено в пользовательском соглашении социальных сетей и иных Интернет-сайтов, нарушается отчасти идея защиты разумных ожиданий субъекта соответствующих данных, взаимосвязанная с упоминавшимися ранее принципами справедливой обработки и ее законных основаниях, так как осуществляется обработка в иных целях, на которые субъект не выражал согласие при подписании пользовательского соглашения использования социальной сети для общения с другими пользователями Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование..

Организация использует программное обеспечение, позволяющее получить доступ к общедоступной информации в сети Интернет и произвести выгрузку данной информации. Программа не может получить доступ к информации, настройки приватности которой не допускают распространение персональных данных в отношении неопределенного круга лиц. Следовательно, можно говорить, что программа выполняет функции поискового программного обеспечения, позволяющего по определенным критериям найти общедоступную информацию в различных открытых источниках данных. В частности, в деле № А 40-18827/2017 судом первой инстанции был сделан подобный вывод в отношении программного обеспечения ответчика, представляющего собой поисковый сервис как Google и Yandex.

Таким образом, основные аргументы против сбора и выгрузки общедоступных персональных данных пользователей социальных сетей, следующие: 1) возможное несоответствие последующей обработки целям изначального распространения данных пользователем, и 2) нарушение исключительных прав правообладателей на базу данных. Отметим, что первый аргумент логически не может являться основанием для признания обработки незаконной в связи с наличием различных режимов приватности страниц пользователей, более того, использование аргументации по цели нивелирует ценность института общедоступности и превращает норму об обработке общедоступных данных в "мертвую". Второй аргумент способствует легитимации обработки путем заключения соответствующих лицензионных или иного рода договоров об оказании услуг по предоставлению информации с обладателями исключительных прав на базу данных Mail Group Limited, материнская компания ООО "ВКонтакте", заключила соглашение с АО "Национальное бюро кредитных историй", позволяющее последнему анализировать профили заемщиков в социальной сети "ВКонтакте" на законной основе. URL: https://www.rbc.ru/technology_and_media/02/04/2018/5abe534d9a7947350e3a7dfa (дата обращения: 12.05.2019)., однако в связи с упоминавшимся ранее Решением Московского городского суда от 27.04.2018 по делу № 3-0091/2018, также считается спорным.

В деле № А 40-18827/2017 ООО "ВКонтакте" заявляет о гарантиях по защите информации пользователей от посторонних лиц, не являющихся пользователями социальной сети, независимо от того, является ли информация открытой или закрытой, находясь в приватном доступе. В связи с этим возникает вопрос: если бы уполномоченный представитель ООО "Дабл" был бы зарегистрирован в социальной сети, то получение им доступа к персональным данным других пользователей с целью дальнейшей обработки было бы правомерно? На наш взгляд, вне зависимости от заключенного пользовательского соглашения с социальной сетью Организация может получать информацию из любых общедоступных источников персональных данных Смирнова Е., Шишанова А. Законность обработки персональных данных, полученных из социальных сетей // Legal Insight. 2018. № 01 (67)..

Также отметим, что требование об уничтожении извлеченных из социальных сетей персональных данных неисполнимо, так как для исполнимости необходимо точное указание на конкретные извлеченные данные, которые необходимо уничтожить. Поэтому, даже если будет признано нарушение прав составителей базы данных или прав субъектов персональных данных, лица, чьи права были нарушены обработкой, не смогут потребовать уничтожения ранее выгруженных данных. Подобный контроль за обработкой и ее запрет вряд ли возможен на будущее, если Организация в дальнейшем не будет афишировать конкретные выгруженные файлы и сам процесс обработки, или если субъекты персональных данных не изменят режим приватности страниц в социальной сети. Например, в деле № А 40-18827/2017 судом признана неисполнимость требования ООО "ВКонтакте" об удалении персональных данных (определенной информации, составляющей содержание базы данных), выгруженных ООО "Дабл".

Следует также учитывать соотношение различных режимов конфиденциальности информации (информации в режиме тайны, например, семейной, личной, коммерческой и иной) и персональных данных как информации, находящейся в соответствующем режиме. К примеру, предпочтение отдается режиму личной тайны или режиму персональных данных, если возникает вопрос о заинтересованности лица политикой и готовности его поддерживать определенных кандидатов? В доктрине отмечается, что иногда подобное разделение затруднительно Войниканис Е.А., Машукова Е.О., Степанов-Егиянц В.Г. Неприкосновенность частной жизни, персональные данные и ответственность за незаконные сбор и распространение сведений о частной жизни и персональных данных: проблемы совершенствования законодательства // Законодательство. 2014. № 12. С. 74-80., поэтому разграничение следует проводить из сути персональных данных как информации, позволяющей идентифицировать определенное лицо или лиц прямо или в совокупности с другими сведениями Волчинская Е.К. Место персональных данных в системе информации ограниченного доступа // Право. Журнал Высшей школы экономики. 2014. № 4. С. 193-206.. Следовательно, если какая-то информация идентифицирует лицо, то эту информацию можно считать персональными данными и распространять в ее отношении соответствующий правовой режим конфиденциальности, предусмотренный Законом о персональных данных. В частности, на это косвенно намекает и возможность сделать информацию публично доступной. Режим повышенной защищенности персональных данных снимается с информации в силу волевых действий субъекта-правообладателя прав на информацию, при этом информация приобретает новый режим регулирования и, соответственно, защиты, а именно общедоступности персональных данных.