Спикером семинара выступил Алексей Александрович Ефремов - доктор юридических наук, профессор кафедры информационного права и цифровых технологий Университета имени О. Е. Кутафина (МГЮА), ведущий научный сотрудник Центра технологий государственного управления РАНХиГС, ведущий научный сотрудник Лаборатории правового регулирования информационных технологий и защиты информации Института законодательства и сравнительного правоведения при Правительстве РФ, член рабочей группы "Связь и ИТ" подкомиссии Правительственной комиссии по проведению административной реформы, член рабочей группы по совершенствованию законодательства о персональных данных Роскомнадзора.
Правовое регулирование вопросов получения, обработки, передачи персональных данных (далее – ПДн) постоянно развивается как в российской, так и зарубежной практике. В его основе лежат общие положения ст. 12 Всеобщей декларации прав человека 1948 г. и ст. 17 Международного пакта о гражданских и политических права 1966 г. Более предметно вопросы ПДн позднее стали регулироваться Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г., а в 2006 г. в России был принят Федеральный закон «О персональных данных». Однако если в Конвенции изначально были предусмотрены два понятия – «контролер» (определяющий цель обработки персональных данных) и «обработчик» (действующий в соответствии с определенным для него порядком работы с персональными данными), то в российском законе было предусмотрено комбинированное понятие «оператор», олицетворяющее собой контролера и обработчика одновременно.
Конвенцию отличает более человекоцентричный подход, когда регулирование выстроено так, что защищаются не данные, а собственно сам человек. При этом ключевым моментом для соблюдения законодательства является именно цель обработки. На практике часто делают акцент на получении согласия субъекта ПДн, но оно является далеко не решающим фактором соблюдения законодательства. Более того, во многих случаях с точки зрения закона в получении такого согласия необходимости нет.
Практика дел по вопросам обработки персональных данных предполагает рассмотрение ситуаций, подпадающих под ст. 13.11 КоАП РФ. При этом привлечение к ответственности по ч. 1 статьи 13.11 КоАП РФ (обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных) происходит за такие нарушения, как:
- осуществление рекламных рассылок/звонков субъекту с использованием ПДн в отсутствие правовых оснований (нарушение требований ч. 1 ст. 6 и ч. 1 ст. 15 ФЗ № 152);
- неправомерная обработка ПДн субъекта в сети ИНТЕРНЕТ - сбор ПДн пользователей сайта без согласия, размещение ПДн субъектов на сайте (нарушение требований ч. 1 ст. 6 ФЗ № 152);
- неправомерная обработка ПДн субъекта в общественных местах (подъезды жилых домов, доски объявлений СНТ) (нарушение требований ч. 1 ст. 6 ФЗ № 152);
- неправомерная обработка ПДн третьих лиц - поручители, рекомендатели, контактные лица (нарушение требований ч. 1 ст. 6 ФЗ № 152).
Практика привлечения к ответственности по ч. 2 статьи 13.11 КоАП РФ (обработка персональных данных без согласия в письменной форме в случаях, когда такое согласие должно быть получено в соответствии с законодательством в области персональных данных либо обработка персональных данных с нарушением установленных законодательством в области персональных данных требований к составу сведений, включаемых в согласие на обработку его персональных данных в письменной форме) включает в себя такие нарушения, как:
- неправомерная обработка биометрических ПДн субъекта (в целях прохода работника на территорию Оператора/учета рабочего времени) как нарушение требований ч. 1 ст. 11 и ч. 4 ст. 9 ФЗ № 152;
- неправомерная обработка сведений о состоянии здоровья (справки о наличии инвалидности, о судимости в случаях, не предусмотренных законодательством) как нарушение требований ч. 1 ст. 10 и ч. 4 ст. 9 ФЗ № 152;
- неправомерное осуществление трансграничной передачи ПДн на территорию стран, не обеспечивающих адекватную защиту (командирование работников, технологическое сопровождение кадровой ИСПДн, предполагающее доступ к ПДн работников, иностранным юридическим лицом с его фактическим нахождением за границей) как нарушение требований ч. 4 ст. 12 и ч. 4 ст. 9 ФЗ № 152;
- неправомерная передача ПДн работников в адрес третьих лиц (в рамках командирования, изготовления визитных карточек, зарплатного проекта (присоединения), аутсорсинга, сопровождения испдн, содержащих персональные данные работников) как нарушение требований ст. 88 ТК РФ и ч. 4 ст. 9 ФЗ № 152.
Привлечение к ответственности по ч. 3 статьи 13.11 КоАП РФ (невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных) предполагает осуществление Оператором сбора ПДн посредством сайта в сети «Интернет» в отсутствие размещенного документа, определяющего политику оператора в отношении обработки ПДн и является нарушением требований ч. 2 ст. 18.1 ФЗ № 152. В случае, если Оператор не имеет сайта в сети «Интернет», ему необходимо обеспечить иным образом неограниченный доступ к документу, определяющему политику Оператора в отношении обработки ПДн и сведениям о реализуемых требованиях к защите ПДн, в том числе, например, в соцсетях, при наличии таковых.
Ответственность по ч. 4 статьи 13.11 КоАП РФ (невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных) возникает за неисполнение оператором обязанностей, предусмотренных ст. 20 ФЗ № 152, в части непредставления по запросу субъекта (представителя) информации о наличии ПДн, относящихся к соответствующему субъекту, а также непредоставления возможности ознакомления с этими ПДн. При этом ситуации могут включать как непредставление информации, так и нарушение сроков ее представления (30 дней).
Ответственность по ч. 5 статьи 13.11 КоАП РФ наступает, как правило, за неправомерную обработку ПДн субъекта третьими лицами (осуществлении телефонных звонков субъекту) в целях взыскания просроченной задолженности лицами, не имеющими правовых оснований на осуществление таких звонков в нарушение требований ч. 3 ст. 21 ФЗ № 152 (ч. 1 ст. 6 ФЗ № 152), а также за обработку ПДн Оператором, выразившуюся в размещении ПДн субъекта на сайте Оператора в отсутствие правовых оснований в нарушение требований ч. 3 ст. 21 ФЗ № 152 (ст. 10.1 ФЗ № 152).
Ч. 6 статьи 13.11 КоАП РФ предусматривает ответственность за невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния. На практике это чаще всего проявляет себя в ситуациях, когда:
- в медицинской организации на обратной стороне медицинских карт содержатся ПДн иных пациентов;
- заявления, анкеты, содержащие ПДн, расположены в местах, доступных для ознакомления всеми посетителями помещения;
- почтовые извещения, содержащие ПДн, расположены в местах, доступных для ознакомления всеми посетителями помещения;
- документы, содержащие ПДн, расположены в общественных местах.
По данным за 2023 год территориальным управлением Роскомнадзора было составлено 1269 протоколов об административных правонарушениях, из которых 838 – по ст. 19.7 КоАП РФ и 431 – по ст. 13.11 КоАП РФ. По итогам было наложено штрафов на общую сумму – 149,8 млн руб.
Нарушение требований законодательства о персональных данных может повлечь, в том числе, уголовную ответственность, прежде всего по ст. 137 УК РФ (нарушение неприкосновенности частной жизни) и по ст. 272 УК РФ (неправомерный доступ к компьютерной информации).
В завершение семинара А. А. Ефремов обратил внимание на необходимость для каждого проявлять инициативу и контролировать перемещение сведений о своих ПДн по информации о запросах, сделанных отдельными организациями в отношении них. Также при подписании согласия на обработку ПДн следует внимательно его прочитывать, чтобы убедиться, что согласие дается соответствующему оператору, а не каким-либо иным субъектам.