13.01.2021 Сбор, хранение и обработка персональных данных в реалиях российского и международного законодательства АГ

Материал выпуска № 1 (330) 1-15 января 2021 года.

В настоящей статье рассматриваются современные тенденции в области сбора, обработки и хранения данных, которые могут быть отнесены к персональным данным. В частности, освещаются категории персональных данных, правовые основания для их обработки, проанализирована судебная практика по разрешению вопросов отнесения информации, собираемой в интернете (в том числе соцсетях), к персональным данным, приведены примеры правоприменительной практики контролирующих органов стран Европейского союза, привлекающих к ответственности за направление сообщения рекламного характера владельцу номера мобильного телефона без его предварительного согласия и предъявляющих серьезные требования к уведомлениям субъектов персональных данных о сборе и обработке файлов-cookie. Также дана оценка значению решения Европейского суда по делу Schrems II для российских организаций, которые обрабатывают персональные данные граждан стран Евросоюза на основании SCC.

Особенности сбора отдельных данных на территории РФ

Российское законодательство исходит из того, что термины «данные» и «информация» являются тождественными, так, в частности, п. 1 ст. 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон № 149-ФЗ) указывает, что информацией являются сведения (сообщения, данные) независимо от формы их представления. Соответственно, общие принципы сбора, обработки и хранения информации распространяются на обработку данных в полной мере, в том числе принцип свободы поиска, получения, передачи, производства и распространения информации любым законным способом и принцип установления ограничений доступа к информации только федеральными законами (ст. 3 Закона № 149-ФЗ). Аналогичный подход можно найти во многих странах, которые также гарантируют право на свободный доступ к информации (на ее получение, сбор, обработку и хранение), а также на ограничение такой возможности только путем издания специальных законов1.

Поскольку законодательное регулирование исходит из права каждого на свободный сбор, обработку и хранение данных, далее в статье будут проанализированы современные тенденции в регулировании именно сбора, обработки и хранения информации, действия с которой имеют законодательные ограничения.

Правовой режим обрабатываемых данных может быть различным и зависит от категории, к которой такая информация может быть отнесена в зависимости от выбранного для ее структурирования критерия. В случае если для категорирования информации используется уровень доступа, такую информацию можно условно разделить на общедоступную и информацию с ограниченным доступом, которая, в свою очередь, делится на государственную тайну, коммерческую тайну, персональные данные, налоговую тайну, банковскую тайну, адвокатскую тайну и т. д. Сбор, обработка и хранение указанной информации регулируется специальным законодательством и может накладывать отдельные ограничения. Так как авторы данной статьи не ставят перед собой задачу комплексного исследования в отношении сбора, обработки и хранения всех вышеперечисленных данных с различными режимами ограничения доступа к ним, далее в статье будут отражены тенденции в области сбора, обработки и хранения данных, которые могут быть отнесены к персональным данным.

Правовые основания обработки персональных данных в РФ

Наличие персональных данных в массивах данных2, собираемых компаниями в ходе их коммерческой деятельности, приводит к тому, что такие данные должны будут обрабатываться в соответствии с режимом обработки персональных данных. Обработка персональных данных регулируется рядом общих норм, а также нормами Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

Статья 3 Закона № 152-ФЗ устанавливает, что под персональными данными понимается «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу».

Как можно увидеть из содержания понятия персональных данных, к ним может быть отнесен довольно большой объем данных о физических лицах. Не вызывает сомнения отнесение к персональным данным фамилии или имени физического лица, адреса его проживания. Но такое широкое определение понятия «персональных данных» на практике создает неопределенность, связанную с отнесением к персональным данным информации, которая может собираться в ходе взаимодействия с физическим лицом в сети «Интернет».

Так, в частности, в настоящее время в законодательстве Российской Федерации нет устоявшейся позиции по вопросу отнесения к персональным данным такой информации, как cookie-файлы, Хэш-ID, номер мобильного телефона, данных, собираемых сервисами Яндекс. Метрика и Google Аналитика. Еще одним проблемным и нерешенным остается вопрос об обработке так называемых анонимизированных персональных данных.

Для обработки персональных данных как особой категории данных у лица, осуществляющего сбор, обработку и хранение персональных данных, должны быть основания. Они зависят от категории персональных данных. Законодательство выделяет следующие категории персональных данных:

  • персональные данные, не отнесенные к специальным категориям персональных данных или к биометрическим данным;
  • специальные категории персональных данных (ст. 10 Закона 152-ФЗ), к ним относятся данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
  • биометрические персональные данные (ст. 11 Закона 152-ФЗ), к ним относятся сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных. Таким образом, персональные данные могут рассматриваться в качестве биометрических персональных данных только при наличии обоих признаков: должны характеризовать физиологические и биологические особенности человека, на основании которых можно установить его личность, и использоваться оператором для установления личности. Отсутствие одного из указанных признаков приводит к тому, что такие данные будут относиться к персональным данным, не отнесенным к специальным категориям персональных данных или к биометрическим данным.

Для обработки персональных данных, не отнесенных к специальным категориям персональных данных или к биометрическим данным, может использоваться любое из указанных в ст. 6 Закона 152-ФЗ оснований, а обработка биометрических персональных данных возможна, только если субъект персональных данных дал на это письменное согласие (такое согласие должно соответствовать требованиям ч. 4 ст. 9 Закона 152-ФЗ) либо если есть основания, установленные ч. 2 ст. 11 Закона 152-ФЗ. Основания, которые будут достаточными для обработки специальных категорий персональных данных, содержатся в ст. 10 Закона 152-ФЗ.

Таким образом, если компания планирует осуществлять сбор массивов данных, содержащих персональные данные, необходимо определить, к какой категории такие персональные данные относятся, а также основания сбора и обработки таких персональных данных из указанных в Законе 152-ФЗ. В случае если в процессе определения категории персональных данных будет допущена ошибка, оператор персональных данных может быть привлечен к ответственности.

В качестве примера можно привести решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12–1526/2019. В рамках рассмотрения дела владелец фитнес-клуба, расположенного в городе Казань, оспаривал постановление Роскомнадзора о привлечении к административной ответственности, причиной для вынесения постановления о привлечении к административной ответственности стало использование в системе контроля доступа в фитнес-клуб фотографий посетителей для их идентификации. Суд согласился с выводом, сделанным Роскомнадзором, и отнес указанные фотографии к биометрическим персональным данным, для обработки которых требовалось письменное согласие.

Еще в одном деле суд поддержал позицию Роскомнадзора, согласно которой были признаны биометрическими персональными данными фотографии, размещенные на пропуске, который предъявляется при посещении бассейна (см. постановление Арбитражного суда Северо-Западного округа от 21 ноября 2017 г. № Ф07–11732/2017 по делу № А42–342/2017).

Важным также является то обстоятельство, что в зависимости от категории персональных данных определяются технические и организационные меры, которые необходимо будет реализовать для их защиты. Так исходя из требований, содержащихся в постановлении Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», в случае если в информационной системе обрабатываются персональные данные специальных категорий и/или биометрические персональные данные, то для такой информационной системы необходимо обеспечить 1-й уровень защищенности независимо от числа субъектов персональных данных, данные которых обрабатываются.

Возвращаясь к вопросу отнесения отдельной информации к персональным данным, считаем необходимым остановиться на судебной практике, в которой анализировались вопросы отнесения отдельной информации, собираемой в сети «Интернет», к персональным данным.

В судебной практике был сделан вывод о том, что к персональным данным относится информация о соединениях и трафике конкретного абонента, включающая: Хэш-ID пользователя – уникальный идентификатор, закрепленный за оборудованием абонента внутри сети оператора; время просмотра web-страницы; URL – стандартизированный способ записи адреса web-страницы в сети «Интернет»; HTTP referer – поле, содержащее URI страницы, с которой был осуществлен переход по ссылке на запрашиваемую страницу (если переход был); User Agent – идентификатор версии веб-браузера пользователя, файлы-cookie. Указанный вывод содержится в постановлении Тринадцатого арбитражного апелляционного суда от 1 июля 2016 г. № 13АП‑10775/2016 по делу А56–6698/2016. Аналогичный вывод содержится в решениях Арбитражного суда г. Москвы от 25 мая 2016 г. № А40–51869/2016, от 24 марта 2016 г. № А40–15198/2016, постановлении Девятого арбитражного апелляционного суда от 23 мая 2016 г. № 09АП‑17574/2016 по делу № А40–14902/2016, решении Арбитражного суда г. Москвы от 25 мая 2016 г. № А40–51869/2016. Необходимо обратить внимание, что в судебных актах персональными данными был признан именно набор данных о пользователе, в настоящий момент вопрос отнесения отдельных данных, из приведенных выше, к персональным данным в судебной практике не решен. Судебная практика также относит к персональным данным данные, собираемые сервисами Яндекс.Метрика и Google Аналитика (см.: например, решение Таганского районного суда г. Москвы от 19 декабря 2018 г. № 02–4261/2018).

Судебной практикой также относится к персональным данным номер мобильного телефона. Так, в решении Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу № 12–973/19 к персональным данным был отнесен номер мобильного телефона. При условии, что организация обрабатывала только номер мобильного телефона, не имея других персональных данных его владельца, суд посчитал, что организация, осуществлявшая обработку номера мобильного телефона даже после того, как она получила информацию о том, что данный номер не принадлежит лицу, ранее предоставившему его, нарушила принципы обработки персональных данных, так как не обеспечила точность и актуальность персональных данных.

В приведенном случае необходимо обратить внимание на то, что Роскомнадзор придерживается иной позиции по этому вопросу3, так, в частности, Роскомнадзор указывает, что «абонентский номер (номер телефона) – это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств, из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать, и его использование не может подразумевать обработку персональных данных его владельца».

Таким образом, на наш взгляд, если какая-либо информация настолько индивидуальная, что позволяет определить, к какому именно лицу она относится, такая информация может быть отнесена к персональным данным и, соответственно, должна собираться и обрабатываться как персональные данные.

Анализируя вопрос допустимости сбора и обработки персональных данных, полученных из общедоступных источников информации, необходимо обратить внимание на следующие два судебных акта: решения Арбитражного суда г. Москвы от 27 февраля 2018 г. по делу № А40–119965/17 и от 5 мая 2017 г. по делу № А40–5250/17.

В рамках дела, в котором был вынесен первый судебный акт, рассматривался вопрос допустимости сбора и обработки персональных данных, содержащихся в ЕГРЮЛ. Судом был сделан вывод о том, что такой сбор и обработка персональных данных являются допустимыми; дополнительное согласие на сбор и обработку персональных данных не требуется. В ходе рассмотрения дела № А40–5250/17 суд решал вопрос о допустимости обработки персональных данных, полученных из социальных сетей. В рамках указанного дела судом был сделан вывод о том, социальные сети не являются общедоступными источниками персональных данных, так как субъекты персональных данных не дают письменное согласие на включение своих персональных данных, как того требует ч. 1 ст. 8 Закона № 152-ФЗ. Учитывая изложенное, следует с осторожностью осуществлять сбор и обработку персональных данных, содержащихся в сети «Интернет». Необходимо детально проанализировать, являются ли персональные данные общедоступными в значении, которое придает им судебная практика. Важность этого вопроса состоит в том, что Закон № 152-ФЗ называет возможность обработки общедоступных персональных данных как самостоятельное основание для обработки.

Особенности сбора и обработки персональных данных на территории Европейского союза

Общий регламент защиты персональных данных Европейского Союза № 2016/679 (General Data Protection Regulation, GDPR) также довольно широко определяет данные, которые могут быть отнесены к персональным данным.

В ст. 4 GDPR указывается, что «персональные данные – это любая информация, относящаяся к субъекту данных, т. е. идентифицированному или поддающемуся идентификации физическому лицу; поддающееся идентификации физическое лицо – это лицо, которое можно прямо или косвенно идентифицировать, в частности посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор или один или несколько характерных для указанного лица физических, физиологических, генетических, духовных, экономических, культурных факторов»4. Далее будут рассмотрены примеры отнесения отдельной информации к персональным данным в правоприменительной практике на территории Европейского союза.

Так, решение Агентства по защите данных Италии признало персональными данными сведения, которые могут содержаться в истории браузера на рабочем компьютере уволенного сотрудника, и оштрафовало работодателя на 10 000 евро за обработку таких персональных данных в связи с тем, что у работодателя не было оснований для обработки таких данных. Кроме этого, Агентство обязало работодателя предоставить доступ работнику к личным данным и файлам работника, которые содержатся на данном компьютере.

В еще одном решении Агентство наложило штраф на компанию за сохранение учетной записи уволенного работника, настройку перенаправления электронных писем, направляемых на этот адрес электронной почты, на другие адреса сотрудников компании. Указанные действия признали нарушением в связи с тем, что у компании не было законных оснований для обработки персональных данных (учетной записи пользователя) после увольнения сотрудника из компании. За данное нарушение компания понесла наказание в виде штрафа в размере 15 000 евро.

В практике контролирующих органов в настоящее время наблюдается тенденция привлечения к ответственности за обработку персональных данных без достаточных оснований в целях прямого маркетинга путем направления сообщений на номера мобильных телефонов или на адреса электронной почты. Так, Омбудсмен по защите персональных данных Финляндии привлек к ответственности компанию за направление сообщения рекламного характера владельцу номера мобильного телефона без его предварительного согласия. В рассматриваемом деле компания не смогла доказать наличие законных оснований для обработки персональных данных, и ей был назначен штраф в размере 7000 евро. За похожее нарушение Орган по защите данных Испании оштрафовал компанию нарушителя на 5000 евро.

Европейские контролирующие органы предъявляют серьезные требования к уведомлениям субъектов персональных данных о сборе и обработке файлов-cookie.

Так, в решении Органа по защите данных Испании было указано, что в уведомлении, размещенном на сайте компании, не содержалась необходимая информация, а именно не были указаны цели сбора и обработки файлов-cookie, подробная информация о свойствах файлов-cookie, а также о сроках их хранения на оборудовании пользователя. В рамках указанного дела компании был назначен штраф в размере 3000 евро.

В решении по другому делу Орган по защите данных Испании посчитал, что компания не выполнила должным образом обязанность по информированию о сборе и обработке файлов-cookie, так как информация в уведомлении об обработке файлов-cookie была размещена только на английском языке. В указанном деле компании также был назначен штраф в размере 3000 евро.

Еще одной тенденцией в практике контролирующих органов Европейского союза является привлечение к ответственности за нарушение принципа минимизации обрабатываемых данных, собираемых в результате видеонаблюдения. Так, на физическое лицо был наложен штраф Органом по защите данных Испании из-за того, что в охват камер видеонаблюдения входила часть территории, являющейся общественным пространством, что, в свою очередь, приводило к записи изображений третьих лиц. За указанное нарушение физическому лицу был назначен штраф в размере 4000 евро.

Решение Cуда ЕС

16 июля 2020 г. Европейский суд (CJEU) вынес решение по делу, известному под названием Schrems II (C‑3111/18), в рамках которого дал оценку правовым механизмам передачи персональных данных граждан из стран Евросоюза в США, а именно:

EU-US Privacy Shield был признан недействительным. EU-US Privacy Shield – механизм, разработанный совместно Министерством торговли США и Европейской комиссией. Получив сертификацию Privacy Shield, американские компании могли обрабатывать персональные данные граждан стран ЕС, которые передавались на территорию США в коммерческих целях, в соответствии с законодательством ЕС. Европейский суд признал Privacy Shield недействительным, поскольку законодательство США не позволяет обеспечить должную защиту персональным данным в соответствии с требованиями ЕС, а государственные органы США наделены широкими полномочиями по обеспечению национальной безопасности страны и защиты общественных интересов, позволяющими им получать доступ к персональным данным граждан без особых ограничений.

Суд признал действительной возможность применения SCC (Standard Contractual Clauses). S CC – стандартные договорные условия о защите данных, утвержденные Европейской комиссией. На основании SCC возможно осуществлять передачу персональных данных из стран ЕС в третьи страны, которые не подчиняются праву ЕС и не обеспечивают должную защиту прав субъектов персональных данных.

Суд подтвердил, что SCC остаются в силе, но отметил некоторые нюансы, которые следует учесть при передаче персональных данных на основании SCC:

  • Субъектам, чьи персональные данные подлежат передаче за пределы Евросоюза, на территории третьей страны должны быть предоставлены средства и меры защиты, аналогичные тем, на которые они могли рассчитывать в ЕС. Оценка уровня защиты предполагает анализ не только договорных условий, но и полномочий государственных органов в отношении доступа к персональным данным, и законодательства страны в данной сфере.
  • Стороны договора о передаче персональных данных (экспортер и получатель) обязаны проверять до начала передачи, возможно ли обеспечить должный уровень защиты на территории третьей страны. Получатель обязан немедленно оповещать экспортера о невозможности соблюдения SCC, а экспортер в таком случае обязан приостановить или прекратить передачу данных.
  • Надзорные органы стран ЕС в сфере защиты персональных данных вправе запретить или приостановить передачу персональных данных, если есть основания полагать, что на территории государства невозможно обеспечить защиту персональных данных в соответствии с требованиями ЕС.

Данное решение Европейского суда имеет важное значение для российских организаций, которые обрабатывают персональные данные граждан стран Евросоюза на основании SCC, поскольку суд обязывает стороны договора производить анализ правовой системы государства, на территории которого осуществляется обработка данных, на предмет фактического обеспечения мер защиты прав субъектов персональных данных, аналогичных тем, что предоставлены им на территории ЕС. Значение имеет не декларирование SCC, а их фактическое соблюдение, в том числе и обеспечение защиты персональных данных от несанкционированного и неограниченного доступа к ним государственных органов, а также возможность эффективной судебной защиты от подобных посягательств.

Таким образом, передача персональных данных за пределы Евросоюза, в том числе в Россию, несет в себе значительную долю риска для европейских компаний, поскольку они могут быть привлечены к ответственности в случае, если надзорные органы сочтут уровень защиты прав субъектов персональных данных в России не соответствующим европейским стандартам.

* * *

Безусловно, органы государственной власти в России наделены широкими полномочиями, позволяющими им получать доступ к персональным данным граждан.

Однако следует помнить о том, что ст. 7 Закона 152-ФЗ содержит условие о запрете разглашения персональных данных без согласия субъекта за исключением случаев, установленных федеральными законами. Государственные органы, обращаясь с запросом относительно предоставления персональных данных, могут запросить лишь те данные, которые связаны непосредственно с субъектом, в отношении которого проводится проверка.

Так, Верховный Суд РФ в постановлении от 26 апреля 2019 г. № 9-АД19–10 признал законность действий главного бухгалтера, которая отказалась предоставлять сведения о сотруднике организации по запросу ФНС ввиду того, что истребуемая информация относится к числу внутренних документов и не играет роли во внешних отношениях организации с контрагентами. Таким образом, необходимо обращать особое внимание на то, законно ли то или иное требование государственного органа о предоставлении персональных данных.


1 См. подробнее: Косорукова Т. В. Зарубежный опыт конституционного обеспечения свободы массовой информации и права на информацию // Труды Института государства и права РАН. 2013. № 5.

2 Возможность использования понятия «массив данных» подробно обосновывается в статье: Савельев А.И. Гражданско-правовые аспекты регулирования оборота данных в условиях попыток формирования цифровой экономики // Вестник гражданского права. 2020. № 1.

3 Официальный сайт Роскомнадзор: https://15.rkn.gov.ru/p8880/p15987

4 В настоящей работе используется текст GDPR в переводе, содержащемся на сайте: https://gdpr-text.com