Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
Шрифт:
Так, суды не признают обработкой персональных данных действия по размещению на информационных стендах официальных документов, в которых могут содержаться персональные данные (например, данные о результатах аудита ТСЖ с информацией о фамилии, имени и отчестве истца, замещении им ранее должности председателя ТСЖ и размере получаемого вознаграждения или предписание Ростехнадзора), такие действия не являются обработкой персональных данных лица по смыслу Закона о персональных данных (см. апелляционные определения Верховного суда Республики Коми от 13 марта 2014 г. по делу № 33-1148/2014; Липецкого областного суда от 6 июня 2012 г. по делу № 33-1235/2012).
С приведенным толкованием вряд ли можно согласиться, учитывая максимально широкую формулировку понятия
Понятие автоматизированной обработки персональных данных
1. Данное определение отсутствует в Директиве 1995 г. и Регламенте 2016 г., оно отсутствовало и в первоначальной редакции Закона о персональных данных, появившись лишь в 2011 г. В немалой степени его закреплению на законодательном уровне способствовали судебные споры, связанные с определением сферы действия Закона о персональных данных, в котором содержание понятия автоматизированной обработки данных играло ключевую роль (см. комментарий к ст. 1 настоящего Закона). В частности, предпринимались попытки определить указанный термин методом «от противного» применительно к существующему пониманию обработки без использования средств автоматизации, содержащемуся в Постановлении Правительства РФ от 15 сентября 2008 г. № 687. Поскольку согласно п. 2 данного документа обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее, делался вывод о том, что «средством автоматизации является не любое техническое средство, а только такое, при применении которого использование, уточнение, распространение, уничтожение персональных данных осуществляется без непосредственного участия человека» (см. также, например, Постановление Четвертого арбитражного апелляционного суда от 17 января 2011 г. по делу № А19-25289/2009). В связи с тем, что такое толкование явно расходилось с общими представлениями об автоматизированной обработке, судам приходилось ссылаться напрямую на текст Конвенции 1981 г. В настоящее время этот пробел восполнен.
2. Под автоматизированной обработкой теперь понимается любая обработка персональных данных, осуществляемая с использованием вычислительных средств. Иными словами, в случае если производится обработка персональных данных, существующих в цифровой форме, то она всегда имеет автоматизированный характер. В этой связи упомянутые ранее положения п. 2 Постановления правительства РФ от 15 сентября 2008 г. № 687 не должны применяться для толкования понятия автоматизированной обработки, но при этом продолжают иметь значение для определения содержания понятия обработки, осуществляемой без использования средств автоматизации 59 .
59
В литературе высказывается и более радикальное мнение, - что указанное Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, противоречит в части ключевого определения федеральному закону и должно быть пересмотрено. См.: Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С. Комментарий к Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (постатейный) // СПС «КонсультантПлюс». 2013. См. п. 4 комментария к ст. 3.
Понятие распространения персональных данных
1. В
2. Распространение персональных данных означает совершение действий, в результате которых указанные сведения становятся доступными неопределенному кругу лиц. Распространение имеет место, в частности, при публикации таких данных в средствах массовой информации. О распространении можно говорить при размещении персональных данных в сети «Интернет» в отсутствие специального режима доступа к таким данным (например, по паролю). При этом, как представляется, наличие на интернет-сайте регистрации, которую может пройти любой желающий, не означает, что размещаемые данные рассчитаны лишь на определенный круг лиц – зарегистрированных пользователей. Другое дело, если такая регистрация доступна лишь лицам, обладающим определенным статусом (например, бизнес-партнерам компании), и соответствующая информация доступна только таким зарегистрированным пользователям.
Здесь следует провести аналогию с законодательством о рекламе, поскольку одним из существенных признаков рекламы является ее направленность на неопределенный круг лиц. Как отметил суд, толкуя данное понятие применительно к интернет-сайту, «Сайт ООО «Медика» в сети «Интернет» не предполагает какого-либо ограничения в доступе путем введения паролей, кодов для получения возможности его посещения либо прочтения подробных сведений об оказываемых Обществом услугах, в силу чего потенциальным потребителем услуг Клиники является любой пользователь сети «Интернет». Таким образом, информация на сайте интернета направлена неопределенному кругу лиц» (Постановление Девятнадцатого арбитражного апелляционного суда от 5 марта 2011 г. по делу № А14-7904/2010/227/10).
Перепост информации в социальных сетях, равно как и проставление «лайка», который влечет появление данного материала в ленте «друзей» пользователя, также могут быть квалифицированы в качестве распространения такой информации, за исключением случаев, когда настройки приватности ограничивают доступ к информации этого пользователя определенным кругом лиц («друзей»). В последнем случае при совершении перепостов и проставлении «лайков» корректнее говорить о предоставлении персональных данных.
3. Правовой режим распространения персональных данных практически идентичен режиму предоставления данных, поскольку в большинстве специальных норм Закона о персональных данных они обычно упоминаются совместно (см., например, ст. 7, ч. 1, 10, 11 ст. 19, п. 2 и 3 ч. 2 ст. 22). Однако в одном случае речь идет исключительно о распространении – при обработке персональных данных участников религиозной организации без согласия субъекта (см. комментарий к п. 5 ч. 2 ст. 10 Закона).
Понятие предоставления персональных данных
1. Предоставление персональных данных является частным случаем передачи персональных данных и означает действия по раскрытию таких данных определенному лицу или определенному кругу лиц. Частным случаем предоставления персональных данных является их передача по запросу уполномоченного государственного органа. При этом имеет место обработка таких данных, которая может осуществляться без согласия субъекта (п. 2 ч. 1 ст. 6 Закона о персональных данных).
2. В некоторых случаях в качестве синонима понятия «предоставление персональных данных» Закон использует термин «раскрытие третьим лицам» (ст. 7, п. 3 ч. 2 ст. 22 Закона о персональных данных). По-видимому, это следует объяснить недочетами юридической техники закона, в котором фрагментарно сохранились «остатки» прежней терминологии после поправок 2011 г.