Судебная практика по защите персональных данных

Судебная практика по защите персональных данных

Генпрокуратура призывает прокуроров активнее и в полной мере использовать свои полномочия для пресечения нарушений закона РФ о персональных данных. Об этом говорится в статье начальника Главного управления по надзору за исполнением Федерального законодательства Генпрокуратуры Анатолия Паламарчука в журнале "Законность", опубликованной сегодня на сайте Генпрокуратуры.

В материале говорится, что в числе полномочий Роскомнадзора Законом о персональных данных предусмотрено право на обращение в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представление их интересов в суде, на принятие мер по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований закона.

Анализ практики показывает, что в современных условиях деятельность уполномоченного органа по защите прав субъектов персональных данных не всегда осуществляется на должном уровне, что обусловливает необходимость повышенного внимания прокуроров к этой сфере правоотношений.

Так Генеральная прокуратура РФ в рамках мониторинга размещаемой в российском сегменте информационно-телекоммуникационной сети Интернет информации выявила нарушения прав граждан на защиту и сохранность их персональных данных, неприкосновенность частной жизни.

Вопреки требованиям ст. 9 Закона о персональных данных, без согласия субъектов персональных данных на ряде Интернет-сайтов неограниченному кругу лиц предоставлялся доступ к персональным данным проживающих в Москве и Московской области граждан РФ, включающим фамилии, имена, отчества, даты рождения и адреса места жительства.

По поручению Генпрокуратуры органами прокуратуры Москвы наиболее крупным 7-ми магистральным провайдерам, находящимся на территории Москвы, объявлены предостережения о недопустимости нарушения требований Закона о персональных данных. В предостережениях указано, что с момента объявления предостережения руководитель компании – магистрального провайдера считается уведомленным о наличии нарушений Закона о персональных данных и должен предпринять организационно-технические меры для защиты персональных данных пользователей российского сегмента сети Интернет и прекратить доступ к незаконно предоставляемой информации. Требования прокурора были выполнены незамедлительно.

Учитывая, что два сайта, на которых размещена информация, нарушающая права граждан на защиту персональных данных зарегистрированы в США, Генпрокуратурой в Министерство юстиции США направлен запрос о правовой помощи в целях принятия мер по блокированию доступа пользователей к этим Интернет-ресурсам.

Кроме того, прокуратура Москвы по фактам нарушения ст. 9 Закона о персональных данных организовала проверку, в ходе которой установлено физическое лицо – регистратор доменных имен сайтов, зарегистрированных на территории РФ, решается вопрос о привлечении его к уголовной ответственности.

В настоящее время еще не сформирована судебная практика по спорам, касающимся защиты и сохранности персональных данных физических лиц при их распространении в сети Интернет. Эта практика нарабатывается c участием органов прокуратуры. Так, по требованию Генпрокуратуры РФ, в связи с массовыми нарушениями прав граждан в сети Интернет, Роскомнадзор, как уполномоченный орган по защите прав субъектов персональных данных, в августе текущего года направил в суд иск о признании действий регистратора по обработке данных граждан РФ нарушающими права неопределенного круга лиц, являющихся субъектами персональных данных, о неприкосновенности частной жизни, с требованием об обязании регистратора уничтожить незаконно размещенные в сети Интернет персональные данные граждан.

При выявлении нарушений Закона о персональных данных в сети Интернет прокурору необходимо дать им надлежащую правовую оценку и принять исчерпывающие меры прокурорского реагирования.

Учитывая экстерриториальный характер сети Интернет, прежде всего, целесообразно объявить предостережения наиболее крупным магистральным провайдерам, предоставляющим услуги доступа к Интернету.

С момента объявления предостережения магистральный провайдер считается уведомленным о наличии нарушений Закона о персональных данных на указанных в предостережении сайтах и может предпринять организационно-технические меры для блокирования доступа пользователей российского сегмента сети Интернет к незаконно предоставляемой информации.

Если после объявления предостережения магистральные провайдеры не приняли мер к блокированию сайтов-нарушителей, возможно внесение в адрес руководителей компаний – основных магистральных провайдеров представлений о недопустимости нарушения Закона о персональных данных.

Кроме того, следует принять меры к установлению юридического или физического лица, являющегося администратором доменного имени сайта, на котором выявлены нарушения Закона о персональных данных. Эта информация может быть представлена регистратором по запросу прокурора или уполномоченного органа по защите прав субъектов персональных данных. Регистратор – юридическое лицо, аккредитованное координатором для оказания услуг регистрации доменных имен. В настоящее время в России действует Координационный центр национального домена сети Интернет (координатор), установивший правила регистрации доменных имен (официальный сайт www.cctld.ru).

Законодательство РФ предусматривает гражданскую, уголовную, административную и дисциплинарную ответственность за нарушение Закона о персональных данных.

Статьей 13.11 КоАП установлена ответственность за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), допускаемое физическими, должностными и юридическими лицами. Санкцией статьи предусмотрено предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц – от пятисот до одной тысячи рублей; на юридических лиц – от пяти тысяч до десяти тысяч рублей.

Возбуждение этой категории дел является прерогативой прокурора, в соответствии с ч. 1 ст. 28.4 КоАП. При выявлении в действиях регистратора доменного имени Интернет-сайта признаков административного правонарушения, предусмотренного ст. 13.11 КоАП, органы Роскомнадзора обязаны направить материалы в органы прокуратуры для принятия мер прокурорского реагирования. Вместе с тем, необходим системный мониторинг прокурорами сети Интернет для своевременного выявления фактов массового нарушения прав в части несанкционированного распространения персональных данных граждан, краж баз данных из различного рода государственных и социальных учреждений, у сотовых операторов, иных правообладателей. Необходимо оперативное реагирование прокуроров и на обращения граждан в связи с нарушением их прав.

Уголовный кодекс РФ предусматривает ответственность за нарушение неприкосновенности частной жизни (ст. 137), а также за неправомерный доступ к компьютерной информации (ст. 272). Поэтому при выявлении в ходе соответствующих проверок признаков составов этих преступлений прокурор должен оперативно вынести постановление о передаче материалов в органы, уполномоченные на проведение проверки в соответствии со ст. 144, 145 УПК РФ.

Резюмируя сказанное, можно констатировать, что прокурор наделен широким спектром полномочий для профилактики и устранения нарушений требований законодательства РФ о персональных данных в целом и в российском сегменте сети Интернет, в частности: объявление предостережений, внесение представлений, опротестование незаконных нормативных актов в этой сфере, возбуждение дел об административных правонарушениях, обращение в суд с заявлением в защиту прав, свобод и законных интересов неопределенного круга лиц. При этом прокурорам субъектов Российской Федерации необходимо максимально использовать полномочия Роскомнадзора, уполномоченного органа в названной сфере, направляя ему соответствующую информацию о выявленных нарушениях закона через Генеральную прокуратуру Российской Федерации, либо напрямую – в территориальные управления Роскомнадзора.

В силу специфики Интернет-пространства и еще не сформировавшейся практики правоприменения это направление работы новое, однако прокурорам необходимо осуществлять постоянный мониторинг этой сферы правоотношений и реагировать на каждое нарушение законодательства о персональных данных в российском сегменте сети Интернет.

Читайте также:  Застрахованы ли вклады в тинькофф банке государством

Рубрика: Информационное право

Дата публикации: 03.01.2018

Статья просмотрена: 2980 раз

Библиографическое описание:

Мариненко Э. А. Анализ судебных решений в области персональных данных в отношении физических лиц // Новый юридический вестник. — 2018. — №1. — С. 12-15. — URL https://moluch.ru/th/9/archive/79/3054/ (дата обращения: 02.09.2019).

Ключевые слова: информационная безопасность, персональные данные, судебная практика.

Сегодня современный пользователь интернета все чаще создает себе желаемый образ за счет искажения информации о себе, создавая прототипичный образ, который видится человеку наиболее желанным. Зачастую он сформирован общественными потребностями, модой или желанием преуспеть в одной из сфер жизни, такой как реализации себя в виртуальном мире.

Некоторые могут позволить себе нечто большее, чем странички в интернете: задействование инструментов СМИ для формирования образа. Не только образа как такового, но и привлечения внимания к своим проблемам, попытка решить их с помощью СМИ.

Наряду с этим, стоит всегда помнить о персональных данных: чем больше человек открыт веб-пространству, взаимодействует со СМИ, участвует в различных проектах и начинаниях, — тем выше риск попадания персональных данных не в те руки. Тем выше риск некорректного использования персональных данных третьими лицами.

Согласно статье 3, ФЗ 152 под персональными данными понимается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;» [1].

В данной статье будут проанализированы ряд фактических судебных решений в области реализации данного закона, а также рассмотрена оставшаяся законодательная база, регламентирующая взаимоотношения сторон.

К основным нормам права, регулирующим взаимоотношения сторон в ходе судебного разбирательства следует отнести:

– Конституцию РФ, ст. 29

– Постановления Пленума ВС РФ «О судебной практике по делам о защите чести и достоинства граждан…»

– ФЗ «О персональных данных»

– ГК РФ, ст. 152, 151, 150

– Европейская Конвенция о защите прав человека, ст. 10

В качестве анализируемого материала был взят массив данных с сайта media-pravo.info. В разделе подразделе «Разглашение персональных данных» раздела «Судебная практика» были выбраны работы за период пяти крайних лет с 2012 по 2017 года. В общем итоге, в данной статье будут рассмотрены 23 работы.

К категориям истцов в судебных спорах раздела «разглашение персональных данных», зачастую выступают физические лица, отстаивающие (зачастую ошибочно) свое право на свободное нераспространение персональных данных. В ходе анализа категории истцов, можно также отметить, что в данной категории присутствуют групповые иски, а также иски организаций, например, Роскомнадзора, однако, который действовал в интересах одного из физических лиц, которое направила свою жалобу в Роскомнадзор (однако могло и отстоять свои права самостоятельно).

К категории ответчиков в данном разделе относят (все дела) юридические лица, частные медиа-агентства. Ответчиками выступают телеканалы, газеты, интернет-порталы. Зачастую, истец указывает в качестве ответчика конкретного человека, например, журналиста, написавшего статьюматериалснявшего видеоролик или директора данного СМИпортала.

Что касается предмета исков, к сожалению для истцов, в большем количестве дел (10 из 23) истцам было отказано в удовлетворении иска в полной мере. В 7 из 23 случаях иск был удовлетворен частично, и оставшиеся 6 — иск был удовлетворен в полной мере. Такая ситуация объясняется низкой юридической грамотностью истцов, ошибочно полагающих и трактующих размещение той или иной информации о себе — нарушением распространения персональных данных. Стоит так же отметить, что в трех из шести случаев, когда иск был удовлетворен полностью — действовали сотрудники «Роскомнадзора».

В тех делах, в которых истцы достигли положительного для себя исхода, нарушения СМИ были следующими:

– Использование информации о сотруднике организации-подрядчика без его согласия на обработку персональных данных;

– Сведения, оценочные суждения, которые порочат честь и достоинство истца;

– При изменении части персональных данных можно все равно установить личность человека, о котором говорится в материале;

– Группы лиц выигрывали дела у порталов, которые предоставляют доступ к персональным данным неограниченному кругу лиц

– Частично удовлетворялись иски о нарушении персональных данных, в ходе разбирательства дел в которых выяснялось, что была допущена техническая ошибка, а не нарочное предоставление сведений об истце.

Переходя к нормам и мерам ответственности, применяемым судами, в большинстве случаев, истцы требовали возмещение морального ущерба в виде компенсации в связи с публикацией материалов, которые порочат их честь и достоинство. Многие иски были удовлетворены частично, поэтому суд постановил ответчиков возместить моральный ущерб не в полной мере, частично. В тех делах, которые были удовлетворены полностью — постановление суда одинаково: удаление материаловблокировка сайтов и полная компенсация морального вреда, если этого требовал истец. В одном из рассматриваемых случаев, истец требовал публичных извинений путем развешивания объявлений. Однако суд отказал в удовлетворении данного иска полностью.

Все представленные работы в разделе, по моему мнению, следует разделить на три категории для дальнейшего анализа каждой из них:

– Отказано в удовлетворении.

Как подчеркивалось в работе выше, большая часть исковых заявлений не соответствовала ожиданиям истца, и в их удовлетворении было полностью отказано. Этот факт можно объяснить тем, что не все истцы были грамотны в обосновании своих доводов, многие доводы строились на эмоциональных составляющих нормы морали и права, которые трактовались судом не в пользу истцов, принимая стороны ответчиков, которые аргументировано с помощью доказательств отстаивали свою позицию, основываясь на законодательной базе. Отсутствие общих юридических компетенций и отсутствие помощи адвокатов или юридической помощи не позволило истцам довести дело до положительного разрешения. Ответчики в данной ситуации предоставляли большую доказательную базу, имея опыт в проведении подобного рода дел.

В судебных решениях «Удовлетворить частично», ответчиками были нарушены нормы на получение информации, распространение в сети интернет информации для тех, кто не обладает правом пользования ею, в одном из дел удалось доказать, что материалы, предоставленные редакцией — порочат только репутацию человека, но не репутацию профессии, как говорилось в исковом заявлении. Например, в иске Крылова Е. В. к ЗАО «Сургутское молодежно-информационное агентство СИА-ПРЕСС», в лице Богдевич А. Н., Прокопенко М. С. о защите чести, достоинства, нарушении права на охрану изображения, персональных данных, компенсации морального вреда, истец Крылов Е. В., помимо указания на непосредственное распространение персональных данных, также указал на оценочные суждения, высказанные в статье под заголовком «Я вас всех отымею», среди прочего были использованы следующие фразы, умаляющие его честь и достоинство:

  1. «…пьяное хамло, прикрываясь высокой должностью, позволило себе не только уйти, не заплатив по счету, из развлекательного центра, оно еще отвесило оплеуху капитану милиции…»,
  2. «…чиновник отдела земельного контроля ДИЗО устроил пьяный дебош…»,
  3. «…чем руководствовался начальник отдела городской администрации, проигнорировавший счет за еду и выпивку развлекательного центра «Аквилон», вступивший в потасовку с охраной, да еще и подравшийся с милиционером…»,
  4. «… отпихивался от стражей порядка обезумевший от власти и алкоголя Крылов…»,
  5. «…после всех «добрых» слов Евгений Владимирович заехал капитану в ухо…»,
  6. «…уволенный чиновник размахивал корочками муниципального служащего за подписью главы города?…»,
  7. «…Крылову инкриминируют оскорбление в отношении представителя власти…». [2]
Читайте также:  Бесспорное списание по банковской гарантии 44 фз

19 ноября 2012 г. Сургутский городской суд Ханты -Мансийского автономного округа-Югры частично удовлетворил исковые требования.

По мнению суда, спорные сведения содержали утверждения о неправильном, неэтичном поведении Крылова Е. В., тогда как фактически доказательств такого поведения со стороны истца ответчиками не представлено.

«Суд считает, что оспариваемые истцом Крыловым Е. В. фразы не соответствуют действительности, порочат его честь, достоинство и деловую репутацию, а также являются негативными, оценочными мнениями, совершенными в унизительной и оскорбительной формах, несовместимыми с правовой природой права на свободное выражение мнений и убеждений, выходящими за допустимые пределы осуществления данное права, умаляющими его честь и достоинство как гражданина что подтверждено и другими доказательствами, исследованными в судебном заседании», — указал суд.

При принятии решений «Удовлетворить», истцы предоставляли обширную и неоспоримую доказательную базу перед ответчиками, которую невозможно было трактовать двояко. Зачастую, были представлены скриншоты, печатные издания, материалы с указанием авторства статей, либо указания причастности редакторов к данному материалу. [2] И это лишь один из подобных примеров.

Но на самом деле границы между абстрактной категорией «информация» и реальным человеком носителем этой информации стираются. Информация о человеке, его персональные данные сегодня превратились в дорогой товар, который используется по-разному:

– кто-то использует эти данные для того, чтобы при помощи рекламы продать вам какую-то вещь;

– кому-то вы просто не нравитесь, и в Интернете вас могут пытаться оскорбить, очернить, выставить вас в дурном свете, создать плохую репутацию и сделать изгоем в обществе;

– с помощью ваших персональных данных мошенники, воры, могут украсть ваши деньги, шантажировать вас и заставлять совершать какие-то действия;

– и многое другое.

Поэтому защита личной информации может приравниваться к защите реальной личности. И важно в первую очередь научиться правильно, безопасно обращаться со своими персональными данными.

Пару месяцев назад владельцы сайтов горячо обсуждали введение новых штрафов за нарушение законодательства о персональных данных. Находчивые юристы стали наперебой убеждали, что любая форма обратной связи или виджет заказа обратного звонка на сайте свидетельствует об обработке персональных данных пользователей, Роскомнадзор уже штрафует за нарушения и нужно вставать на учет. Вся эта шумиха основана на мифах.

Давайте разберемся, что произошло на самом деле, чем это грозит и как этого избежать.

Правила обработки персональных данных не изменились. В июле 2017 года вступили в силу поправки в КоАП РФ, ужесточающие ответственность за нарушение законодательства о персональных данных. Введены новые составы правонарушений и суммы штрафов повышены до 75 000 рублей. Это правда.

Но нужно понимать, что суммы штрафов для физических лиц на порядок, а для предпринимателей в разы ниже штрафов для юридических лиц. Максимальный штраф в 75 тыс. руб. установлен для юридических лиц по одному их 7 составов. В остальных случаях максимальный штраф колеблется от 30 до 50 тыс. руб.

Из неприятного – штрафы по различным составам частично могут складываться. Среди возможных нарушений в частности перечислены:

  • обработка персональных данных в случаях, не предусмотренных законом, или несовместимая с целями сбора персональных данных;
  • обработка персональных данных при отсутствии письменного согласия субъекта;
  • неисполнение обязанности по опубликованию политики по обработке персональных данных.

Однако беспокойство по данному поводу в большинстве случаев вызвано поверхностным пониманием закона о персональных данных. Чтоб оценить риски привлечения к ответственности рассмотрим 5 наиболее популярных мифов о персональных данных, блуждающих в умах интернет-сообщества.

1. Персональные данные — это любые сведения о физическом лице

На первый взгляд так и есть.

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ч.1 ст.3 ФЗ «О персональных данных»).

Однако если переложить данную норму на обычный язык, персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна.

Проверим тезис на информации о номере телефона или адресе электронной почты. У вас нет легального доступа к абонентской базе или базе пользователей почтового сервиса. Следовательно, сами по себе данные сведения не позволяют установить личность человека, который ими пользуется.

Поэтому данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.

Если у вас остались сомнения в такой трактовке нормы, можно ознакомиться с первоисточником на сайте Роскомнадзора. Дословно норма Конвенции о защите физических лиц при автоматизированной обработке персональных данных звучит так:

«Персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица (»субъекта данных")" (ст.2 Конвенции).

Другими словами пока мистер «Х» вам не известен вы можете хранить о нем данные без нарушений. Например, по поводу телефонного номера «инкогнито» есть прямые ответы региональных отделений Роскомнадзора:

«Абонентский номер (номер телефона) служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца».

Если форма обратной связи не предполагает предоставление помимо номера телефона или электронного адреса дополнительных сведений, идентифицирующих пользователя, такая информация не относится к персональных данным. Запрос имени совместно с номером телефона или email пользователя также не делает данные персональными, т.к. имя не идентифицирует гражданина.

«Гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и собственно имя, а также отчество, если иное не вытекает из закона или национального обычая (ч.1 ст.19 ГК РФ)».

Поэтому с точки зрения гражданского законодательства просто имени не достаточно для возникновения юридических последствий. Как минимум, необходимы еще отчество и фамилия.

Аналогичным образом не относятся к ПДн сведения об IP, cookie, и прочие данные, собираемые в автоматическом режиме в связи с активностью на сайте или в приложении пользователя, не прошедшего полную идентификацию.

2. Оператор по обработке персональных – это лицо, осуществляющее их обработку

«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» (ч.2 ст.3).

Однако из данного правила есть исключение.

«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора» (ч.3 ст.6).

Указанные лица не определяют «цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными», а потому не считаются операторами персональных данных.

Читайте также:  Что нужно чтобы застраховать машину

На практике к таким лицам могут относиться любые консалтинговые и сервисные компании, включая облачные сервисы. Персональные данные предоставляются клиентами, они же и несут ответственность за легальность их обработки.

Аналогично любые сервисы не должны отвечать за обработку ПДн сотрудников клиентов, которые последние самостоятельно загружают в сервис. Именно клиент должен получить согласие субъекта персональных данных на передачу сервису и их обработку соответствующими способами.

Не спешите хоронить считать себя оператором. Возможно, вы получили персональные данные для обработки от оператора, а не субъекта персональных данных.

3. Все сайты должны опубликовать Политику конфиденциальности

Действительно, в ФЗ «О персональных данных» есть норма о публикации Политики конфиденциальности:

«Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети» (ч.2 ст.18.1).

Однако не забывайте о возможных исключениях из данного правила.

Во-первых, не все сведения о физическом лице относятся к персональным данным (см. миф 1).

Во-вторых, такие правила не возлагаются на лицо, осуществляющее обработку персональных данных по поручению оператора (см. миф 2 выше).

В-третьих, сам ФЗ «О персональных данных» не возлагает на физических лиц (в том числе ИП) обязанность издания документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных. Такие документы должны издаваться только юридическими лицами (пп.2 ч.1 ст.18.1).

4. На обработку персональных данных требуется письменное согласие

Действительно, в качестве первого условия обработки ПДн названо согласие субъекта персональных данных на обработку его персональных данных (пп.1 ч.1 ст.6 ФЗ «О ПДн»).Но при этом не всегда обязательно оформлять согласие на бумаге за собственноручной подписью субъекта ПДн. Есть ряд дополнительных или взаимоисключающих правил.

1. Согласие на обработку ПДн не требуется лицу, действующему по поручению оператора (ч.4 ст.6)

2. Отдельное согласие не требуется в случаях, когда оператором выполняется обработка ПДн:

  • в целях заключения или исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пп.5 ч.1 ст.6);
  • к которым предоставлен доступ неограниченного круга лиц субъектом персональных данных либо по его просьбе (пп.10 ч.1 ст.6).

Таким образом в случае принятия пользовательского соглашения достаточно уведомить пользователя об обработке его персональных данных.

3. Согласие может быть дано оператору в иной форме

«Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом» (ч.1 ст.9).

Другими словами, если федеральный закон не требует получения согласия строго в письменной форме, оно может быть дано любым иным способом, в том числе путем совершения запрашиваемых действий. Например, такими действиями могут признаваться направление проверочного кода, указанного в СМС, переход по ссылке, направленной на электронную почту пользователя при регистрации в аккаунте и т.п.

4. Согласие в письменной форме может быть подписано электронной подписью

«Согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью признается равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе» (ч.4 ст.9)

Здесь следует принимать во внимание, что под электронной подписью понимается усиленная квалифицированная электронная подпись (см. ч.3 ст.18 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи»).

5. Каждый оператор ПДн должен быть включен в реестр Роскомнадзора

Многие консультанты рекомендуют подать уведомление в Роскомнадзор для включения в реестр операторов персональных данных, ссылаясь на данную норму:

«Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных» (ч.1 ст.22).

Однако при этом забывают, что в той же статье закона предусмотрены исключения из данного правила. К рассматриваемой ситуации обработки ПДн частным интернет-сервисом относятся минимум два основания освобождения от обязанности подачи уведомления.

В частности оператор вправе осуществлять без уведомления Роскомнадзора обработку следующих персональных данных:

«полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» (пп.2 ч.2 ст.22)
«сделанных субъектом персональных данных общедоступными» (пп.4 ч.2 ст.22)

1) В первом случае для обработки ПДн без уведомления Роскомнадзора достаточно предложить пользователю принять пользовательское соглашение, которое по сути является договором. Для получения сообщений на номер телефона и адрес электронной почты в любом случае необходимо получать согласие пользователя, поэтому принятие пользовательского соглашение решает две задачи одновременно: с одной стороны вы легально используете данные без уведомления Роскомнадзора, с другой – получаете согласие на обращение к пользователю по указанным номерам и адресам, включая при необходимости рекламную рассылку.

2) Второе исключение из правил касается общедоступных данных. Это основание может пригодиться социальной сети, доске объявлений или сайту поиска работы, где пользователи самостоятельно делают доступной информацию о себе. В таком случае нет необходимости не только уведомлять Роскомнадзор об обработки данной категории ПДн, но и получать дополнительное согласие пользователя на их обработку.

3) Помимо этого вспомните, что не все лица, осуществляющие обработку ПДн считаются операторами. Некоторые из них действуют по поручению оператора (см. миф 2 выше). Поэтому им не нужно направлять уведомление в Роскомнадзор об обработке ПДн, предоставленных оператором.

4) Отдельного упоминания заслуживает регомендация встать на учет «как бы чего не вышло». Это во всех отношениях вредный совет, т.к. Роскомнадзор должен проводить плановые проверки операторов, включенных в реестр. И тогда вам простая политика конфиденциальности не поможет: спросят все внутренние регламенты по информационной безопасности и проверят фактическое выполнение!

Обращайте внимание на детали – в них кроется юрист дьявол.

Ссылка на основную публикацию
Adblock detector