Правовое регулирование использования персональных данных без согласия субъекта персональных данных

Стоит отметить, что наличие более специального режима вытесняет режим персональных данных. К примеру, режим государственной тайны более специальный, чем режим персональных данных, поэтому необходимо, прежде всего, руководствоваться Законом РФ от 21.07.1993 № 5485-1 "О государственной тайне", а не законодательством о персональных данных, так как последнее будет применяться в субсидиарном порядке (например, если речь идет о деятельности государственного служащего, действующего в режиме повышенной секретности, как было выявлено судом в Определении Московского городского суда от 11.09.2018 № 4га/5-606/2018). Однако универсальной иерархии различной информации в режиме конфиденциальности нет Савельев А.И. Комментарий к Федеральному закону от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и защите информации" (постатейный). М.: Статут, 2015..

При этом, как установлено в ст. 22 Закона о персональных данных, лицо, осуществляющее обработку исключительно общедоступных персональных данных, вправе не отправлять уведомление в Роскомнадзор о включении в реестр операторов персональных данных, что автоматически освобождает его от некоторых обязанностей лиц, включенных в реестр операторов. Например, оператор персональных данных, не включаемый в реестр операторов, не подлежит обязанности по прохождению плановой проверки Роскомнадзора на соблюдение законодательства о защите персональных данных, за исключением проведения Роскомнадзором внеплановых проверок по обращениям заинтересованных лиц с жалобой на нарушение Организацией Закона о персональных данных Постановление Правительства РФ от 13.02.2019 № 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных".. Следовательно, в определенных случаях Роскомнадзор может организовать внеплановую проверку Организации и выдать ей предписание об устранении нарушений.

Субъекты персональных данных, считающие, что их право на неприкосновенность частной жизни, целевой характер использования данных в социальной сети или принципы законодательства о персональных данных нарушены обработкой предоставленных ими общедоступных персональных данных Организацией, не лишены возможности по защите своих прав, как в юрисдикционном, так и в неюрисдикционном порядке в соответствии со ст. 17 Закона о персональных данных.

Таким образом, если субъект персональных данных придал своим персональным данным режим общедоступности, согласившись с правилами пользовательского соглашения социальных сетей, в которых есть указание на возможность получения доступа к данным неограниченного круга лиц при условии отсутствия режима приватности страницы пользователя, то такие персональные данные следует считать общедоступными. Следовательно, они могут обрабатываться Организацией на законном основании. При этом необходимо учитывать противоречивую судебную практику, изменившуюся в отношении обработки персональных данных из открытых источников после резонансного дела ООО "ВКонтакте" против ООО "Дабл". Судами, на наш взгляд, слишком буквально восприняты принципы обработки данных на законной и справедливой основе и запрета несовместимой с целями сбора данных обработки, а также неверно применены нормы об исключительном праве составителя баз данных, которыми, в соответствии со ст. 1260 ГК РФ и п. 88 Постановления Пленума Верховного Суда РФ от 23.04.2019 № 10 "О применении части четвертой Гражданского кодекса Российской Федерации", признаются Интернет-сайты.

Вопрос 4: Допускается ли коммерческое использование персональных данных, в том числе тех данных, которые стали общедоступными по воле их субъекта?

Ответ: С учетом действующего правового регулирования и складывающейся судебной практики однозначно ответить на данный вопрос нельзя. Если с информации снят режим конфиденциальности персональных данных или если информация выведена из-под действия Закона о персональных данных путем обезличивания персональных данных и потерей ими свойства идентификации конкретного лица, то в соответствии с законом допускается коммерческое использование законно полученных персональных данных. Однако суды по-разному интерпретируют законность получения данных, как, в частности, признавая незаконной обработку данных из социальных сетей, так и последующее отчуждение данных со ссылкой на принципы Закона о персональных данных и нематериальный характер блага. персональный закон идентификация

Обоснование: В связи с повышением экономической ценности информации, в частности, сведений об идентификации определенных лиц в доктрине и в судебной практике разрабатываются два основных вгляда на природу персональных данных: 1) персональные данные как информация в особом режиме представляет собой товар, права на который возможно отчуждать, поэтому персональные данные как идентифицирующая информация в режиме конфиденциальности оборотоспособна, так как представляет собой имущество с соответствующими имущественными правами правообладателя, и 2) персональные данные выступают объектом конституционного права на неприкосновенность частной жизни, неспособным в силу своего первоочередного публичного значения иметь товарные свойства, следовательно, права на данную категорию информации не оборотоспособны в силу публичного назначения института персональных данных, поскольку они являются нематериальным благом.

Стоит отметить, что сами персональные данные как индивидуализирующая лица информация включает именно сведения, позволяющие идентифицировать лицо. Например, невозможно ввести в оборот принадлежащие лицу радужки глаз, но, с точки зрения первой концепции, можно произвести отчуждение информации о расположении и форме его трабекулярной сети, позволяющей дальнейшую идентификацию лица.

В рамках первой концепции персональные данные как информация в режиме конфиденциальности по сути представляет собой ранее исключенный из ГК РФ объект гражданских прав с экономическими свойствами товара наряду с секретом производства как той же информацией в режиме конфиденциальности в соответствии со ст. 1485 ГК РФ.

Некоторые исследователи полагают, что перечень объектов гражданских прав в ст. 128 ГК РФ не является закрытым Шорников Д.В. Еще раз о признаках объектов гражданских прав // Сибирский юридический вестник. 2007. №1. С. 40-44; Мнение судьи Конституционного Суда Гаджиева Г.А. на Определение Конституционного Суда РФ от 24.06.2014 № 1350-О "Об отказе в принятии к рассмотрению жалобы гражданина Гинеевского В.А. на нарушение его конституционных прав статьей 128 ГК РФ".. В частности, информация может быть отнесена к широкому по содержанию понятию имущества Например, Терещенко Т.А. Что думает законодатель о больших пользовательских данных? [Электронный ресурс] // Закон.ру. 2018. URL: https://zakon.ru/blog/2018/10/27/chto_dumaet_zakonodatel_o_bolshih_polzovatelskih_dannyh (дата обращения: 12.05.2019); Рожкова М.А. Информация как объект гражданских прав, или Что надо менять в гражданском праве [Электронный ресурс] // Закон.ру. 2018. URL:https://zakon.ru/blog/2018/11/06/informaciya_kak_obekt_grazhdanskih_prav_ili_chto_nado_menyat_v_grazhdanskom_prave (дата обращения: 12.05.2019)., следовательно, вне зависимости от прямого казуистического указания в законе необходимо ориентироваться на суть блага, на наличие или отсутствие у информации экономической ценности, товарных свойств. Товар может служить синонимом категории объекта гражданских прав, за исключением явления личных неимущественных прав, которые, по общему правилу, не оборотоспособны Российское гражданское право: Учебник: В 2 т. Т. I: Общая часть. Вещное право. Наследственное право. Интеллектуальные права. Личные неимущественные права / Отв. ред. Суханов Е.А. 2-е изд., стереотип. М.: Статут, 2011. С. 301. . То есть информацию можно рассматривать как нематериальное благо товарного характера, так как у информации, особенно у больших объемов информации, которыми являются пользовательские данные, всегда присутствует экономическая ценность, компании готовы приобретать персональную информацию и платить за нее Например, предлагается развитие рынка персональных данных, в частности, с предоставлением возможности самим субъектам получать имущественные блага в обмен на предоставление маркетинговым и иным компаниям данных о себе. URL: https://www.rbc.ru/technology_and_media/19/11/2018/5bf27a9e9a7947bed179806a (дата обращения: 12.05.2019)..

Если перечень признается незакрытым, то в него включаются все объекты, непосредственно не включенные законодателем в перечень ст. 128 ГК РФ: доменные имена, криптовалюты и, в частности, информация. Однако, возможна передача не информации, а именно имущественных прав на информацию, так как информация как идеальный объект, результат интеллектуальной деятельности, не может сама по себе служить объектом оборота. То есть персональные данные - объект гражданских прав в виде экономически ценной информации, но лишь имущественные права на этот объект могут быть оборотоспособны. Например, информация может участвовать в обороте в рамках информационной услуги. В частности, это стало актуально в связи с недавно принятыми изменениями в ГК РФ, закрепляющими конструкции договоров об оказании услуг по предоставлению информации Федеральный закон от 18.03.2019 № 34-ФЗ "О внесении изменений в части первую, вторую и статью 1124 части третьей Гражданского кодекса Российской Федерации"..

Следовательно, если персональные данные представляют собой информацию в режиме конфиденциальности, то в таком случае согласие на обработку персональных данных представляет собой сделку, а соответствующее использование информации вопреки воле субъекта влечет наступление внедоговорной ответственности Предполагаю допустимой аналогию с согласием на использование изображения, признанное сделкой в п. 46 Постановления Пленума Верховного Суда РФ от 23.06.2015 № 25 "О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации".. Право на неприкосновенность частной жизни включает в себя право контроля за использованием персональных данных, следовательно, путем дачи согласия лицо передает по сделке имущественные права на информацию. Поэтому, признаем, что владелец персональных данных - пользователь социальной сети, выкладывающий информацию о себе в открытый доступ в сети Интернет, дает согласие на использование информации путем разрешения доступа к ней неограниченному кругу лиц Данная позиция подтверждается тем, что общедоступная информация уже может собираться, храниться, распространяться и использоваться без согласия субъекта в соответствии со ст. 152.2 ГК РФ..

С относительной степенью определенности можно говорить о том, что информация считается нематериальным благом, имеющим экономическое обоснование и ценность, обладателем прав на которое признается субъект персональных данных в силу закона, поэтому вполне уместно говорить о том, что права на персональные данные могут участвовать в обороте, особенно, если лицо по своей воле допустило их общедоступность. В частности, некоторыми учеными предусматривается отождествление отчуждения персональных данных как распоряжение неким исключительным правом по аналогии с отчуждением результатов интеллектуальной деятельности Дмитрик Н.А. О правовой природе согласия на обработку персональных данных // Законодательство. 2018. № 5. С. 41-47.. Однако, стоит отметить, что данная позиция скорее теоретическая и пока не нашла отражения в судебной практике, кроме упоминавшегося законопроекта о больших пользовательских данных.

С другой позиции персональные данные, вне зависимости от признания информации оборотоспособной, служат публично-правовым целям: идентификации определенного лица, защиты неприкосновенности частной жизни путем запретов на пресечение законодательно очерченной границы использования персональных данных, поэтому отчуждение информации, особенно с коммерческими целями, невозможно.

Персональные данные, наряду с личной и семейной тайной, которые также можно отнести к информации в режиме конфиденциальности, попадают под признаки нематериальных благ, и, как следствие, могут быть с этой позиции уже признаны объектом гражданских прав без обоснования незакрытого перечня объектов. Во-первых, персональные данные как идентифицирующая информация появляется у лица с рождения (например, сведения о его месте рождения или родителях) наряду с другими нематериальными благами. Во-вторых, персональная информация защищается способами, характерными для нематериальных благ, а именно компенсацией морального вреда, требованиями об удалении некорректных и незаконно собранных сведений. В-третьих, по действующему закону подобная информация не может быть передана или отчуждена другому лицу, точно также как невозможно произвести отчуждение личной или семейной тайны в связи с их категоризацией в качестве нематериального блага. В-четвертых, сложность имущественной оценки персональных данных, отсутствие четкости ценообразования на нематериальное благо Архипов В.В. Проблема квалификации персональных данных как нематериальных благ в условиях цифровой экономики, или Нет ничего более практичного, чем хорошая теория // Закон. 2018. № 2. С. 52 - 68.. Следовательно, можно говорить об неотчуждаемости персональных данных как, скорее, неимущественного нематериального блага, представляющего собой информацию в режиме конфиденциальности в связи с их неэкономическими целями: охраной неприкосновенности частной жизни.

Вышеуказанная позиция преобладает в судебной практике: персональные данные выступают элементом неприкосновенности частной жизни, институтом, созданным с публично-правовыми целями В последнее время появляются дела обработчиков больших данных, обрабатывающих персональные данные субъектов с общедоступных источников информации, а именно социальных сетей и рекрутинговых сайтов. В частности, к подобным громким делам относятся иски АО "Национальное бюро кредитных историй" к Управлению Роскомнадзора по Центральному федеральному округу (дело № А 40-5250/2017), ООО "Хэдхантер" к ООО "Стафори" (дело № 3-0091/2018), ООО "Хэдхантер" к ООО "Национальные коммуникации" и Крассу А.Л. (дело № 3-0013/2018), Управления Роскомнадзора по Центральному федеральному округу к ПАО "МГТС" (дело № А 40-14902/2016). В вышеуказанных делах суды побочно оценивают законность обработки пользовательских данных, выгруженных с Интернет-сайтов для коммерческих целей. В большинстве своем, суды хаотично приходят к мнению о незаконности подобной практики и препятствуют развитию открытого рынка данных, вынуждая бизнес уходить в "серую зону". Стоит отметить, что в большинстве данных дел истцы выбирали защиту не персональных данных пользователей их ресурсов (подобные аргументы были дополнительными), а защиту прав составителей баз данных. . Стоит отметить, что эта позиция предусматривает только защиту и охрану неприкосновенности частной жизни, режима конфиденциальности персональных данных их субъекта в силу неотчуждаемости, непередаваемости и привязанности к личности нематериального блага, как закреплено в ст. 150 ГК РФ, а не передачу, что, соответственно, воспрещает вводить в оборот информацию об определенном или определяемом лице.

Однако все вышесказанное относится именно к конфиденциальной информации, то есть информации, которая не становится в силу волевых действий ее субъекта общедоступной для неограниченного круга лиц.

Организация обрабатывает общедоступную информацию, субъект в соответствии с п. 5.12 Правил пользования сайтом "ВКонтакте" заключил пользовательское соглашение с возможностью доступа других пользователей сети Интернет к его общедоступным данным и, следовательно, по ст. 152.2 ГК РФ и ст. 6 Закона о персональных данных согласился с правом Организации и иных третьих лиц на сбор, хранение, распространение и использование и иную обработку общедоступной информации. В частности, такое же регулирование охватывает фотографию в силу признания ее персональными данными. Следовательно, допускается возможность использования Организацией общедоступной информации. Какого-либо противоречия между вышеуказанными позициями в отношении использования общедоступных данных нет: субъект распорядился правом на информацию путем дачи согласия на обработку неограниченным кругом лиц, тем самым снял режим конфиденциальности, гарантированный Конституцией РФ как элемент неприкосновенности частной жизни, и, соответственно, позволил информации о себе приобрести характер товара для третьих лиц Савельев А.И. Комментарий к Федеральному закону от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и защите информации" (постатейный). М.: Статут, 2015..

При этом возникает определенная сложность с коммерческим использованием данной информации Урошлева А. Коммерциализация персональных данных и понятие "биг дата" - злободневные вопросы IT-сферы [Электронный ресурс]. URL: https://www.garant.ru/article/1229761/ (дата обращения: 12.05.2019).. Может ли неприкосновенность частной жизни служить экономическим благом с товарными свойствами? Представляется, что в случае именно персональных данных в режиме конфиденциальности, недоступности другим лицам, ответ должен быть отрицательным. Однако если информация, в том числе об определенном лице, становится общедоступной, то субъект распорядился своим правом на конфиденциальность персональных данных и тем самым согласился с правом других лиц на обработку его открытой информации, в частности, ее коммерческим использованием.

На мой взгляд, в силу ст. 6 Закона о персональных данных, ст. 152.2 ГК РФ, а также ст. 7 Закона об информации использование общедоступных персональных данных как информации охватывает собой коммерческое использование, включая возмездное отчуждение персональных данных пользователей, полученных на законном основании и в соответствии с пользовательским соглашением соответствующего Интернет-сайта.

Но, как уже было сказано, судебная практика не поддерживает данную позицию, что отчетливо проявляется в деле № А 40-5250/2017, где суд пришел к выводу, что данные из открытых профилей социальных сетей не являются общедоступными, следовательно, необходимо получать согласие их субъекта на обработку. Более того, Нижегородский областной суд в деле № 33-12355/2016 решил о несоответствии закону обработки общедоступной информации, если изначальное распространение данных было сделано с иными целями, чем последующая обработка. Также возможность использования общедоступных данных была воспрещена в связи с защитой исключительных прав составителей баз данных как в № А 40-18827/2017.

Таким образом, можно сделать вывод о том, что существуют две позиции: 1) персональные данные как информация в режиме конфиденциальности, имеющая товарные свойства, поэтому при снятии режима (в частности, придания информации самим субъектом общедоступного характера) не должно быть препятствий к введению информации в оборот и распоряжению информацией о лице Активно распространяется идея создания рынка персональных данных, на котором сами субъекты персональных данных смогут заработать, например, путем продажи информации о своих вкусах и предпочтениях рекламным компаниям. URL: https://www.rbc.ru/technology_and_media/19/11/2018/5bf27a9e9a7947bed179806a (дата обращения: 12.05.2019). , или 2) персональные данные как информация с особым режимом регулирования, неимущественное благо, наряду с личной и семейной тайной, выступающая публичным элементом неприкосновенности частной жизни лица, конституционной ценностью, которую можно защищать и охранять от произвольных посягательств иных лиц, с соответствующей невозможностью коммерческого отчуждения данной информации Российское гражданское право: Учебник: В 2 т. Т. I: Общая часть. Вещное право. Наследственное право. Интеллектуальные права. Личные неимущественные права / Отв. ред. Е.А. Суханов. С. 65..

Однако позиции фактически сливаются в одну, когда объектом становятся общедоступные персональные данные и, соответственно, дозволяют коммерческое использование общедоступной информации, в связи с волей самого лица распространить информацию о себе неограниченному кругу лиц. При этом Законом о персональных данных введены и судебной практикой развиты ограничения в виде принципов обработки данных, которые, как упоминалось выше, представляются спорными.

Компромиссом для преобладающей судебной практики считается оборот обезличенных данных пользователей социальных сетей, так как в случае невозможности с достаточной степенью определенности идентифицировать конкретное лицо и с невозможностью обратного деобезличивания, эта информация выводится из-под регулирования Закона о персональных данных, и может быть предметом договора о передаче имущественных прав на нее, оказания услуг по предоставлению информации, то есть быть объектом гражданско-правового оборота. Однако ценность подобной информации для коммерческих целей будет невелика, как и ценность статистической или иной исследовательской информации: общий анализ кредитоспособности пользователей социальной сети имеет меньшую коммерческую ценность, чем анализ кредитоспособности отдельных субъектов.

Вопрос 5: Какие правовые последствия для Организации могут наступить при неправомерном использовании персональных данных?

Ответ: Лицо, неправомерно обрабатывающее или отчуждающее персональные данные в нарушение закона, может быть подвергнуто административной, гражданско-правовой, а также уголовной ответственности. Наиболее серьезные последствия для Организации повлечет административная ответственность в виде штрафов, а также уголовная ответственность для руководства организации.

Анализ: За неправомерную обработку персональных данных возможно наступление гражданско-правовой, административной и уголовной ответственности в зависимости от тяжести совершенного правонарушения, категории заявителя (физическое лицо или Роскомнадзор) или государственного органа, в который обратился потерпевший (суд или Роскомнадзор).

В Кодексе об административных правонарушениях РФ (далее - КоАП РФ) предусмотрена ст. 13.11 Письмо Минкомсвязи России от 07.07.2017 № П 11-15054-ОГ "О разъяснении норм федерального законодательства"., охватывающая собой нарушение порядка и принципов обработки данных оператором В Решении Амурского городского суда от 24.11.2014 по делу № 12-98/2014 судом сделан вывод о недопустимости оператором дальнейшего распространения неопределенному кругу лиц персональных данных без согласия их субъекта, несмотря на придание данным режима общедоступности субъектом. Подобный вывод также был сделан в Постановлении Хабаровского краевого суда от 02.03.2015 по делу № 4-А-43/15. , установленных законодательством о персональных данных. Однако размер санкции для юридических лиц носит относительно несущественный характер: максимально предусмотренное ч. 1 ст. 13.11 КоАП РФ наказание - административный штраф до 50 тыс. рублей, при этом чаще всего суды ограничиваются наказанием в виде предупреждения в адрес нарушителя Назначение административного наказания в виде предупреждения генеральному директору общества, обрабатывающего персональные данные в целях продвижения товаров, работ, услуг путем осуществления прямых контактов с потенциальным потребителем без его прямо выраженного согласия в Постановлении Московского городского суда от 03.08.2017 № 4а-2675/2017.. Также в Уголовном кодексе РФ (далее - УК РФ) содержатся санкции за нарушение отдельных категорий тайн лиц или неприкосновенности частной жизни в целом: ст.ст. 137, 138 и 183 (ст. 137, описывающая состав нарушений сбора и распространения информации о частной жизни потерпевших без их согласия и служащая общей, в то время как ст.ст. 138 и 183 предусматривают составы нарушений тайны сообщений граждан и незаконного собирания сведений, составляющих банковскую, коммерческую и налоговую тайны соответственно). К административной ответственности за нарушение законодательства о персональных данных могут быть привлечены как физические (руководство или иные ответственные за обработку данных в Организации лица), так и юридические лица (сама Организация) в соответствии со ст. 2.10 КоАП РФ, при этом привлечение к ответственности юридического лица не исключает ответственности в отношении физического лица. К уголовной ответственности может быть привлечено только физическое лицо в виде руководства Организации, но не само юридическое лицо в силу ст. 19 УК РФ с возможностью лишения права занимать определенные должности или заниматься определенной деятельностью. Например, в Постановлении Президиума Верховного суда Республики Коми от 31.10.2018 № 44у-103/2018 суд приговорил лицо к лишению свободы и к лишению права лица заниматься деятельностью по обработке персональных данных сроком на 2 года.

Гражданско-правовая ответственность за нарушение законодательства о персональных данных представлена в виде: 1) взыскания убытков, что, однако, сложно доказуемо в силу необходимости обоснования определенного размера Например, в Апелляционном определении Московского городского суда от 20.06.2018 по делу № 33-20577/2018 суд апелляционной инстанции подтвердил вывод суда первой инстанции о недоказанности причинения убытков нарушением законодательства о персональных данных, в связи с чем в данной части в иске было отказано. , или 2) компенсации морального вреда в соответствии со ст. 151 ГК РФ.

В РФ предусматривается незначительный размер административных штрафов для юридических лиц за нарушение законодательства о персональных данных. Небольшой размер присуждаемой компенсации морального вреда также не способствует обращению граждан в суды и, тем более, не восстанавливает нарушенные права Например, в Апелляционном определении Волгоградского областного суда от 20.09.2018 по делу № 33-12905/2018 судом было взыскано в пользу истца 1 500 руб. против заявленного размера в 100 тыс. руб. В Апелляционном определении Санкт-Петербургского городского суда от 01.09.2016 № 33-17060/2016 по делу № 2-459/2016 против требуемых 520 тыс. руб. принято решение о возмещении 3 000 руб. . Поэтому гражданско-правовая ответственность неэффективна и не работает должным образом для защиты прав субъектов персональных данных Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование.. Следовательно, существенными последствиями для Организации будут уголовная ответственность руководящих либо иных принимающих решение об обработке персональных данных лиц и административная ответственность как для юридического лица, так и для физических лиц Организации.

Однако необходимо помнить про GDPR, в частности, ощутимый для бизнеса размер санкций за нарушение европейского законодательства о защите персональных данных Первые штрафы по GDPR: кого уже наказали [Электронный ресурс]. URL: https://habr.com/ru/company/it-grad/blog/432810/ (дата обращения: 12.05.2019).. Напомню, что GDPR по кругу лиц действует в отношении граждан ЕС и иных лиц на территории ЕС, следовательно, если Организация помимо обработки персональных данных граждан РФ также ориентирует обработку на данные иностранных граждан стран-членов ЕС, то положения регламента также распространяются на нее. В частности, следует учитывать нормы об ответственности за нарушение принципов законной обработки или нарушения целей обработки. Так, art. 83 GDPR установлено три категории правонарушений с соответствующим увеличением санкций. Во-первых, административный штраф до 10 млн. евро или 2% всего годового дохода в зависимости от того, какая сумма больше, за большую часть нарушений регламента (ненадлежащего исполнения обязанностей контроллером и/или обработчиком). Во-вторых, административный штраф до 20 млн. евро или 4% всего годового дохода за нарушения базовых принципов обработки или прав субъектов персональных данных в части получения согласия. В-третьих, неисполнение предписаний контрольно-надзорного органа, которое также влечет за собой штраф до 20 млн. евро или 4% всего мирового дохода.

Более того, в соответствии с положениями ст. 17 Закона о персональных данных субъект может предъявить требование об удалении имеющихся у Организации его персональных данных, что, однако, представляется неисполнимым в силу высказанных ранее причин.

Если Организация осуществляет обработку общедоступных персональных данных, определяет цель обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, то, следовательно, она признается оператором персональных данных и на нее распространяются положения Закона о персональных данных, несмотря на отсутствие обязательной подачи уведомления в Роскомнадзор об осуществлении соответствующей деятельности в силу ст. 22 Закона. Предполагается, что это исключение из общего правила введено, так как Роскомнадзор не может проконтролировать или даже узнать об осуществлении обработки общедоступных персональных данных операторами до тех пор, пока на незаконность обработки не поступит жалоба или незаконность не выявится в ходе контрольно-надзорных мероприятий.

Основными проблемами привлечения операторов к ответственности за нарушения в сфере персональных данных являются отсутствие у потерпевших субъектов информации о том, какие персональные данные неправомерно обрабатывались (обрабатывались ли только фамилия и имя или иные данные о лице), точно ли они обрабатывались оператором (был ли сам факт нарушения закона в отношении данных именно этого лица) и где расположены материальные носители и иные хранилища незаконно собранных данных (сервера, диски, флеш-карты и прочие носители информации). Соответственно возникает невозможность контроля за исполнением нарушителями решений судов по уничтожению или удалению неправомерно собранных персональных данных, в связи со сложностями в привлечении нарушителей к ответственности.

Кроме того, следует учитывать положения ч. 3 ст. 6 Закона о персональных данных, в которой Организация может выступать лицом, осуществляющим соответствующую обработку данных по поручению оператора Савельев А.И. Комментарий к Федеральному закону от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и защите информации" (постатейный).. Следовательно, оператором будет выступать кредитная организация, которая наняла Организацию-исполнителя для осуществления обработки информации определенных лиц с целью проверки их кредитоспособности. В таком случае ответственность за нарушения целевой обработки данных из социальной сети или иные нарушения закона будет нести именно кредитная организация, так как Организация как исполнитель может отвечать перед оператором за ненадлежащее исполнение обязательства по договору, но не перед государственными органами или субъектом персональных данных за неправомерную обработку (но только если Организация не выйдет за пределы установленных агентским договором или договором возмездного оказания услуг ограничений обработки в соответствии с ч. 4 ст. 6 Закона о персональных данных): обработчику должен быть дан перечень действий с персональными данными, которые будут совершаться обработчиком, определены цели обработки и конкретные данные для обработки, а также должна быть установлена обязанность обработчика соблюдать режим конфиденциальности персональных данных и обеспечивать их безопасность. Отсутствие подобных условий может быть истолковано как нарушение законодательства о персональных данных. Предполагается, что в случае обработки общедоступных персональных данных последнее условие может быть опущено в связи с самим характером данных. Например, в Апелляционном определении Санкт-Петербургского городского суда от 26.08.2014 № 33-12359/2014 по делу № 2-1521/2014 установлено, что лица, осуществляющие обработку по поручению оператора, не могут являться субъектами ответственности за незаконную обработку персональных данных.

Таким образом, если Организация будет признана оператором, осуществляющим незаконную обработку персональных данных и определяющим цель данной обработки, а не лицом, действующим по поручению оператора, то она может быть привлечена к административной и гражданской ответственности, а руководство Организации к соответствующей административной и уголовной ответственности.

Выводы

Таким образом, по результатам проведенного исследования можно сделать следующие выводы:

1) К персональным данным относится любая идентифицирующая пользователя социальной сети информация, позволяющая отграничить его от другого пользователя. В каждом отдельном случае совокупность подобной информации будет носить случайный и оценочный характер в связи с различными идентифицирующими лицо данными.

2) Персональные данные могут обрабатываться без согласия их субъекта, но только в предусмотренных Законом о персональных данных исключениях. Основным легитимизирующим обработку данных основанием является получение информированного, конкретного и сознательного согласия субъекта, выраженного им свободно, своей волей и в своем интересе. В случае, если персональные данные пользователей используются для продвижения товаров, работ и услуг, согласие субъекта персональных данных является обязательным и предусмотренные в отношении оператора исключения не действуют.

3) Без согласия субъекта персональных данных, и, в частности, без уведомления Роскомнадзора возможна обработка общедоступных персональных данных, если эти данные были размещены в общедоступном источнике информации по воле субъекта. Однако данная позиция ввиду сложившейся судебной практики является спорной в силу соблюдения принципов Закона о персональных данных об обработке на законной и справедливой основе и запрета на несовместимую с целями размещения данных обработку.

4) В соответствии с законом допускается использование, в том числе коммерческое, общедоступных персональных данных, доступ к которым был предоставлен субъектом самостоятельно или с его согласия. Однако судебная практика препятствует отчуждению и иной передаче персональных данных, полученных из общедоступных источников, с опорой на принципы обработки данных.

При этом компромиссом считается оборот выведенной из-под действия Закона о персональных данных информации о пользователях, то есть информации, которая стала обезличенной и утратила идентифицирующие лица свойства.

5) Неправомерная обработка персональных данных оператором служит основанием для привлечения его к административной, гражданско-правовой, а также уголовной ответственности. При этом, в силу незначительного размера санкций гражданско-правовой ответственности, более серьезный ущерб экономической деятельности наступит в результате административных санкций в соответствии с КоАП РФ.

Размещено на Allbest.ru