Рейтинг@Mail.ru
home

20.02.2017

Закрытая личность

Законодатели ужесточили ответственность за незаконное использование персональных данных. На практике такие меры вряд ли защитят добросовестных граждан, но могут использоваться для уклонения от возмещения долгов, наказания законопослушных бизнесменов и иных противоправных поступков.

20.02.17. АПИ — Действующий уже более десяти лет Федеральный закон «О персональных данных» направлен на охрану права каждого гражданина на неприкосновенность его частной жизни, личную и семейную тайну. Однако установленные в настоящее время санкции – штраф в размере до пятисот рублей на граждан и до десяти тысяч на компании – не стимулируют выполнять строгие и не всегда адекватные требования.

Мои данные – моя крепость

Под понятие «персональных данных» подпадает любая информация, которая относится к конкретному лицу или позволяет его идентифицировать. Чаще всего это фамилия, имя и отчество, дата рождения, место жительства, паспортные сведения, номера телефонов, адреса электронной почты и многие другие сведения.

Любое использование такой информации, в том числе внутри организации, ограничено. Чаще всего для этого требуется письменное согласие гражданина (так называемого «субъекта персональных данных»), причем специально оформленное (необходимо указать цели, сроки и иные условия обработки). Более того, «субъект» вправе любой момент отозвать сие согласие.

Вместе с тем во многих случаях разрешения личности не требуется. Например, заключившая с гражданином компания вправе обрабатывать его персональные данные, но исключительно в целях исполнения контракта, никакие формальные границы способов и средств использования сведений не установлены. В частности, продавшее путевку туристическое агентство может передавать полную информацию о путешественниках туроператору, авиакомпаниям, отелям, страховщику, государственным и иным организациям (в том числе других стран). О том, что паспортные и иные реквизиты, фотографии, сканы документов, а возможно, и биометрические данные, получили десятки адресатов, гражданин даже не знает.

Нередко граждане вынуждены санкционировать использование персональной информации – при заключении любых договоров, регистрации в гостинице, обращении к врачу и во многих иных случаях соответствующая компания (отель, клиника и прочие) требует подписать избыточное согласие на обработку персональных данных всеми возможными способами (включая распространение неограниченному числу лиц и даже публикацию). Уклониться от этого на практике чаще всего невозможно. Например, отказавшихся разрешить копирование паспорта гостей просто не пустят в отель.

Бесправные Ивановы и Петровы

Хотя сам уполномоченный орган – Роскомнадзор – признает, что далеко не всегда фамилия, имя, отчество, а порой и иные сведения, являются персональными данными. По логике чиновников, совокупность информации должна идентифицировать конкретного человека. Например, публикация сведений о некоем москвиче «Петре Петровиче Петрове» или петербуржце «Иване Ивановиче Иванове» вряд ли позволят выявить конкретную персоналию: в столицах проживают десятки человек с такими фамилиями, именами и отчествами. Указание, скажем, профессии в большинстве случаев позволит сузить круг поиска, а места работы, возраста, адреса (хотя бы улицы и номера дома) – выявить единственного «субъекта».

Таким образом, принимая решение об обработке той или иной информации, каждая организация должна прежде всего определить численность граждан, которым она соответствует. Никаких механизмов получения таких статистических материалов не существует. Органы внутренних дел некоторых регионов (миграционное ведомство) отвечают на запросы о количестве зарегистрированных граждан с соответствующей фамилией и инициалами (такую информацию выдают полицейские, в том числе Санкт-Петербурга, Краснодарского края и ряда иных субъектов Федерации). Тогда как московские стражи порядка считают даже статистику конфиденциальной.

Кроме того, по мнению того же надзорного органа, не являются персональными данными адресные реквизиты, не идентифицируемые с гражданином. В частности, безнаказанно можно распространять анонимные списки номеров мобильных телефонов, адресов электронной почты и иной информации. Равно как использовать эти материалы для рассылки не содержащего рекламу спама.

По западному совету

Поправки в Кодекс РФ об административных правонарушениях (КоАП), подписанные Президентом России 7 февраля, увеличивают санкции за незаконную обработку персональных данных в несколько раз. Так, любое формальное нарушение установленных требований (например – неправильное оформление согласия «субъекта») обойдется компании в сумму до 50 тысяч рублей, использование сведений без законных оснований – до 75 тысяч и так далее. 

Кроме того, новый закон делегирует самому Роскомнадзору право составлять протоколы о выявленных правонарушениях в сфере персональных данных. До сих пор это входило в компетенцию прокуратуры, но такая процедура занимала много времени. В результате к моменту рассмотрения дела служителями Фемиды (выносить постановление и применять санкции вправе только мировые судьи) трехмесячный срок исковой давности зачастую уже истекал.

Новые штрафы будут применяться уже с 1 июля. Инициировавшие их ужесточения чиновники надзорного органа убеждены, что действующие меры «не учитывают тяжесть негативных последствий совершенных правонарушений». Они также апеллируют к европейскому опыту защиты персональных данных: санкции за соответствующее нарушение в Германии составляют до 300 тысяч евро с конфискацией незаконно полученной прибыли, во Франции – до 150-300 тысяч евро и оборотный штраф, в Испании – до 600 тысяч евро, в Италии – 1,5 миллиона евро, в Великобритании – до 500 тысяч фунтов. Также предусматриваются административные меры за несвоевременное устранение и повторное нарушение, в ряде случаев – уголовная ответственность за соответствующие проступки.

На самом деле карательные санкции и ужесточение порядка обработки персональных данных предусмотрены директивой Global Data Protection Regulation (GDPR), принятой Европейской комиссией в апреле минувшего года и обязательной для всех стран ЕС. Причем касается она, в том числе, и деятельности иностранных компаний, которые занимаются обработкой сведений о гражданах «Старого света». То есть многотысячный штраф в евро может налагаться, скажем, на российскую авиакомпанию или турфирму, продавшую билет или путевку британцу, испанцу или французу и сохранившую его персональные данные в нарушение стандартов ЕС.

Наказание невиновных и награждение непричастных

Отечественный бизнес находится под «двойным прессом». С сентября 2015 года все базы данных, содержащие сведения о россиянах, должны размещаться на российских же серверах. Принадлежащая американской корпорации Microsoft социальная сеть LinkedIn, не выполнившая требования о такой локализации, в ноябре минувшего года была заблокирована по иску Роскомнадзора. Новый закон позволит применять к нежелающим использовать отечественные сервера операторам штрафы в сумме до 50 тысяч рублей.

В то же время судебная практика свидетельствует о неоднозначности и спорности многих норм действующего законодательства о персональных данных. Например, своевременно не выплачивающие квартирную плату или накопившие иные долги граждане запрещают использовать сведения о них даже для обращения в суд. Так, директор управляющей компании Дмитрий Шалбин был оштрафован за незаконную передачу данных должников юристу в целях подготовки искового заявления. Рассмотрев спорное дело, Конституционный суд России пришел к выводу, что в таком случае директор должен был получить согласие граждан на обработку, в том числе передачу третьим лицам, их персональных данных.

В еще более абсурдной ситуации оказался председатель правления ТСЖ «25 корпус» Анатолий Горин, предоставивший сведения о жильцах по запросу государственного органа – Комитета по тарифам Санкт-Петербурга. Прокуратура сочла это нарушением законодательства о персональных данных.

Астраханский магазин «Покупочка» (ООО «Тамерлан») был оштрафован за истребование реквизитов покупательницы, желающей оформить возврат товара и получение соответствующих денежных средств. Оспаривая санкции, торговая компания ссылалась на действующие правила проведения кассовых операций, обязывающие при выплате наличных фиксировать в расходном ордере фамилию, имя, отчество получателя и данные предъявленного им удостоверения личности. Но три инстанции сочли действия ООО «Тамерлан» неправомерными. Только Верховный суд России, отменяя все вынесенные против магазина решения, пришел к выводу о законности обработки им персональных данных.

В спорной ситуации оказываются многие работодатели, предоставившие сотрудникам средства связи, – будь то подключенный к корпоративному тарифу мобильный телефон или доступ к стационарному компьютеру с выходом в Интернет. По действующим правилам оказания услуг связи они обязаны предоставлять оператору подробные сведения о конечных пользователях. «В случае передачи персональных данных интернет-провайдеру без согласия работников работодатель несет административную ответственность», – предупреждают в Федеральной службе по труду и занятости.

Тогда как деятельность многочисленных охранных предприятий, без согласия посетителей бизнес-центров и других в целом открытых организаций переписывающих их паспорта, не привлекает внимание Роскомнадзора. Один из немногих инцидентов зафиксирован в Санкт-Петербурге: штраф наложили на ООО «Единый медицинский центр», которое отказалось предоставлять медицинские услуги (платную флюорографию) пациенту, не пожелавшему разрешить клинике распространять его персональные данные (в том числе о семейном и имущественном положении, образовании, доходах, а также «другую информацию»).

Мнения

 

Анастасия Загородная, советник юридической фирмы Dentons

Необходимость внесения в КоАП поправок в части увеличения штрафов, безусловно, давно назрела. Российское законодательство о персональных данных достаточно близко к европейскому, в том числе и к новому регламенту о защите персональных данных (GDPR). Однако эта «продвинутость» абсолютно нивелировалась смешными штрафами. Хотя и после их увеличения мы будем все еще очень далеки от западного подхода к ответственности в этой сфере.

Для исчисления сроков давности важное значение имеет характер нарушения. Например, если компания осуществила однократную неправомерную трансграничную передачу персональных данных, штраф может быть наложен в течение трех месяцев со дня совершения такого правонарушения. Если же оператор хранит сведения без надлежащего согласия субъекта или иных законных оснований, такое нарушение является длящимся, и срок давности исчисляется со дня его выявления надзорным органом.