Понятие, виды и условия обработки персональных данных
20 сентября 2023 г.
Ежедневно в мире собирается и передается большой объем личных данных физических лиц. Принципы и условия их обработки в Российской Федерации регулирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – «Закон о персональных данных», «Закон», «ФЗ № 152-ФЗ»).
В последние годы вопрос о допустимых границах и условиях обработки персональных данных (далее также – «ПД») стал крайне острым ввиду роста цифровизации, которая увеличивает риски несанкционированного доступа и неправомерного использования персональных данных.
В статье разберем, что такое персональные данные, какие они бывают, а также рассмотрим условия обработки в зависимости от их вида.
Что такое «персональные данные»?
Согласно статье 3 ФЗ № 152-ФЗ под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее по тексту – «субъект персональных данных»). Таким образом, персональными данными являются любые сведения о человеке, которые прямо или косвенно позволяют его идентифицировать.
Данное определение носит крайне широкий характер и позволяет отнести к персональным данным большой круг информации, начиная от ФИО, паспортных данных, даты и места рождения до дактилоскопических данных, фото- и видеоизображения человека. При этом отдельные виды информации могут одновременно являться и не являться персональными данными. Можно согласиться с мнением исследователей данной проблемы, что именно возможность идентифицировать человека является важнейшим признаком персональных данных[1].
Виды (категории) персональных данных
Закон о персональных данных выделяет несколько видов персональных данных (в Законе они носят название «категории персональных данных», далее и мы будем использовать этот термин):
- общие;
- специальные;
- биометрические.
До 1-го марта 2021 года в ФЗ № 152-ФЗ выделялась еще одна категория: «общедоступные персональные данные». Под ними понимали персональные данные, доступ к которым неограниченному кругу лиц предоставил сам субъект персональных данных. Например, разместил в соцсетях, на сайтах поиска работы и т.п. Обработка таких данных допускалась без согласия субъекта.
Правовое регулирование изменилось в связи со вступлением в силу Федерального закона от 30.12.2020 № 519-ФЗ[2], который исключил данный термин. Вместо этого было введено понятие «персональные данные, разрешенные субъектом персональных данных для распространения», т.е. ПД, на распространение которых владелец данных дал отдельное согласие. Это могут быть как общие, так и специальные и биометрические персональные данные. Данный институт не будет рассматриваться в настоящей статье, поскольку, на наш взгляд, в настоящем правовом регулировании не является разновидностью персональных данных.
В зависимости от категории различаются и условия их обработки. Ниже рассмотрим подробнее каждую категорию и условия обработки, в том числе на примерах из судебной практики.
Что понимается под условиями обработки персональных данных?
В соответствии со статьей 3 ФЗ № 152-ФЗ обработка персональных данных – это любое действие или совокупность действий с персональными данными, как-то: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение и другие.
Лицо, которое организует и (или) осуществляет обработку персональных, носит название оператор персональных данных (далее по тексту – «оператор ПД», «оператор»). Таковыми могут быть как государственные и муниципальные органы, юридические лица, так и индивидуальные предприниматели и самозанятые граждане, в случае если они осуществляют действия с персональными данными физических лиц.
Под условиями обработки в Законе о персональных данных фактически понимаются правила и основания, при которых допускается обработка персональных данных. В качестве общего условия обработки любых видов персональных данных в части 1 статьи 6 ФЗ № 152-ФЗ указано соблюдение принципов и правил, предусмотренных Законом о персональных данных. Принципы приведены в статье 5 Закона:
- Обработка должна осуществляться на законной и справедливой основе.
- Обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- Обработке подлежат только персональные данные, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых персональных данных не должны быть избыточными по отношению к заявленным целям их обработки.
- При обработке персональных данных должны быть обеспечены точность достаточность и актуальность персональных данных.
- Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, и не дольше, чем этого требуют цели обработки.
Помимо общих условий для каждой категории персональных данных регламентированы основания для их обработки, которые рассмотрим ниже.
Общие категории персональных данных и условия их обработки
Определения и перечня общих персональных данных Закон о ПД не содержит. Таковыми могут быть значительное количество сведений о человеке: ФИО, дата и место рождения, паспортные данные адрес регистрации и проживания, номер телефона, информация о семейном, социальном и имущественном положении, образовании, профессии, занимаемой должности, стаже работы и т.д.
На практике нередко возникают вопросы об отнесении той или иной информации к общим персональным данным. Приведем возникающий на практике вопрос: являются ли персональными данными информация о заработной плате работника? По мнению Роскомнадзора как органа, уполномоченного на защиту прав субъектов персональных данных, сведения о заработной плате лица являются информацией, содержащей персональные данные субъекта.
Условия обработки общих персональных данных, которые изложены в части 1 статьи 6 ФЗ № 152-ФЗ, можно разделить на две группы:
1. Обработка с согласия субъекта персональных данных.
По общему правилу, обработка персональных данных допускается с согласия субъекта персональных данных. Требования к содержанию согласия предусмотрены в статье 9 ФЗ № 152-ФЗ. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку общих персональных данных может быть дано в любой форме, однако, учитывая установленную Законом о персональных данных, обязанность оператор ПД подтвердить его наличие, рекомендуем оформлять его в письменной или иной форме, позволяющей подтвердить его получение.
2. Обработка без согласия субъекта персональных данных.
Перечень оснований, когда допускается обработка персональных данных без получения согласия субъекта ПД, является исчерпывающим. Такая обработка разрешается в следующих случаях:
- Если она необходима для осуществления и выполнения возложенных на оператора ПД законодательством РФ или международным договором функций, полномочий и обязанностей; Так, например, обработка персональных данных работника, необходимых работодателю для приема на работу, передача установленных нормативными актами данных работника в налоговые органы, внебюджетные фонды, не требует его согласия.
- В связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
- Для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве. Так, например, предоставляется информация, содержащая персональные данные, по запросу судебного пристава-исполнителя для совершения им исполнительных действий.
- Для исполнения полномочий органов исполнительной власти, государственных внебюджетных фондов, органов местного самоуправления или организаций, участвующих в оказании государственных и муниципальных услуг.
Обработка персональных данных физического лица может потребоваться для регистрации субъекта персональных данных на портале Госуслуг, оказания ему государственной или муниципальной услуги, осуществления межведомственного взаимодействия для ее оказания. В силу указанной нормы требование данными органами согласия на обработку персональных данных и отказ в предоставлении услуги в связи с непредставлением согласия является неправомерным, что подтверждается судебной практикой[3].
- Для заключения и (или) исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных; Вид договора законом не конкретизируется, но на практике контролирующие органы понимает под ним любой из видов гражданско-правового договора (купли-продажи, подряда, оказания услуг, страхования и т.п.), где физическое лицо является стороной, выгодоприобретателем или поручителем. Кроме того, обработка должна осуществляться для осуществления действий по его заключению или исполнению (например, для доставки или оплаты товара). Для осуществления рекламных рассылок, проведения маркетинговых исследований и т.п., необходимо получить согласие.
- Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; Как правило, речь идет о случаях, когда необходимо принять срочные меры для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, а получение согласия невозможно в силу его бессознательного состояния, недееспособности и иных подобных причин.
- Для осуществления прав и законных интересов оператора ПД или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; Формулировка данной нормы позволяет трактовать ее достаточно широко. Однако в спорных случаях оператору придется подтвердить, в чем заключались его законные интересы и каким нормативным документом они регулируются.
В сложившейся правоприменительной практике подобное основание применяется, например, банками и иными кредитными организациями, лизингодателями, которые в силу ФЗ от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» обязаны идентифицировать клиента и установить о нем сведения (ФИО, гражданство, дату рождения, паспортные данные и ряд других).
- Для осуществления профессиональной деятельности журналиста, СМИ либо научной, литературной или иной творческой деятельности, если не нарушаются права и законные интересы субъекта персональных данных.
Обратим внимание, что в соответствии с Законом РФ от 27.12.1991 № 2124-1 «О средствах массовой информации» под средством массовой информации понимается периодическое печатное издание, сетевое издание, телеканал, радиоканал, телепрограмма, радиопрограмма и иная форма периодического распространения информации, которое зарегистрировано в качестве такового в установленном указанным законом порядке. Так, интернет-сайт может быть зарегистрирован как сетевое издание, однако при отсутствии регистрации – СМИ не является.
Под журналистом понимается лицо, профессионально занимающее редактированием, созданием, сбором или подготовкой сообщений и материалов для редакции зарегистрированного СМИ, связанное с ней трудовыми или иными договорными отношениями либо занимающееся такой деятельностью по ее уполномочию.
Таким образом, по общему правилу под действие данной нормы не подпадают незарегистрированные как СМИ интернет-страницы, страницы в соцсетях, блогеры и т.п.
Кроме того, при оценке допустимости применения данной нормы суды анализируют не нарушены ли права субъектов персональных данных. Так, в одном из рассмотренных судом дел главный редактор газеты была привлечена к административной ответственности по части 1 статьи 13.11 КоАП РФ с наложением административного наказания в виде предупреждения. Основанием привлечения к ответственности послужило распространение в статье фамилии и звания сотрудника ФСБ в отсутствие его согласия. Суды, включая Верховный Суд РФ, указали, что наличия какой-либо необходимости или потребности общества в раскрытии персональных данных лица, не занимающегося публичной деятельностью, не было. В удовлетворении жалобы об отмене привлечения к ответственности отказали[4].
- В статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных, а также в иных целях, предусмотренных ФЗ от 24.04.2020 года № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве» и Федеральном законе от 31.07.2020 года № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации».
Под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. При этом в силу прямого указания Закона по данному основанию не допускается обработка данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем, а также в целях политической агитации.
- Обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Например, Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» обязывает образовательные учреждения размещать на своем официальном сайте в сети Интернет сведения персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы. Получение согласия педагогических работников на данные действия не требуется.
Обратим внимание, что рассмотренный перечень случаев обработки общих категории персональных данных расширительному толкованию не подлежит.
Специальные персональные данные и условия их обработки
К специальным персональным данным относятся сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (часть 1 статьи 10 Закона о персональных данных).
По общему правилу, их обработка не допускается. Случаи, когда обработка данной категории персональных данных разрешена, перечислены в частях 2 и 2.1. статьи 10 ФЗ № 152-ФЗ. Рассмотрим их подробнее.
1. Обработка на основании письменного согласия субъекта персональных данных.
Как видим, в отличие от общих категории персональных данных, оформление письменного согласия является обязательным. Равнозначным согласию на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью. Требования к содержанию письменного согласия предусмотрены частью 4 статьи 9 ФЗ № 152-ФЗ.
С 1-го марта 2021 на основании отдельного согласия обрабатываются персональные данные, разрешенные субъектом персональных данных для распространения. При этом оператор ПД должен соблюдать запреты и условия, которые установил субъект персональных данных.
2. Обработка без согласия субъекта персональных данных.
Обработка специальных категорий персональных данных без согласия их владельца осуществляется:
- в связи с реализацией международных договоров Российской Федерации о реадмиссии («реадмиссия» – это согласие государства на обратный прием своих граждан, которые подлежат депортации из другого государства);
- в соответствии с Федеральным законом от 25.01.2002 года № 8-ФЗ «О Всероссийской переписи населения»;
- в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
Например, работодатель имеет право осуществлять обработку сведений о состоянии здоровья работника, которые необходимы ему в связи с организацией и проведением обязательных медицинских осмотров.
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
Данное основание аналогично выше рассмотренному основанию для обработки общих категорий персональных данных.
- в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что она осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.
Право на осуществление медицинской деятельности в Российской Федерации имеют лица, получившие медицинское или иное образование и прошедшие аккредитацию специалиста.
- обработка общественным объединением или религиозной организацией персональных данных своих членов для достижения целей, предусмотренных их учредительными документами;
- для установления или осуществления прав субъекта персональных данных или третьих лиц или в связи с осуществлением правосудия;
- в соответствии с законодательством Российской Федерации об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, оперативно-розыскной деятельности, исполнительном производстве, уголовно-исполнительным законодательством;
- органами прокуратуры в связи с осуществлением ими прокурорского надзора;
- в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
- уполномоченными государственными, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;
- в соответствии с законодательством РФ о гражданстве;
- обработка обезличенных персональных данных, касающихся состояния здоровья, а также в целях, предусмотренных ФЗ от 24.04.2020 года № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве» и ФЗ от 31.07.2020 года № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации».
Таким образом, к обработке специальных персональных данных Закон предъявляет более жесткие требования. Однако некоторые из рассмотренных оснований обработки персональных данных перекликаются или являются аналогичными с основаниями обработки общих категорий персональных данных.
Биометрические персональные данные и условия их обработки
Биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (часть 1 статьи 11 Закона о персональных данных).
Исходя из приведенного определения, биометрическими будут являться персональные данные, если они:
- характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
- используются оператором ПД для установления личности субъекта персональных данных.
Конкретного перечня биометрических данных Закон о ПД не определяет. На практике к биометрическим персональным данным относят фото- и видеоизображение человека, дактилоскопические данные, информация о радужной оболочке глаза, результаты анализов ДНК, данные о голосе.
При определении являются ли данные биометрическими, следует учитывать следующие нюансы, на которые обращают внимание контролирующие органы.
Фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию, относятся к биометрическим пероснальным данным, поскольку их используют для установления личности лица[5]. В свою очередь, не будут считаться биометрическими персональными данными фото, содержащееся в личном деле работника или подпись лица на договоре, поскольку они не используется для идентификации человека.
Также, согласно разъяснениям Роскомнадзора[6] не являются биометрическими персональными данными рентгеновские или флюорографические снимки, находящиеся в истории болезни (медицинской карте) пациента, поскольку они также не используются оператором ПД (медицинским учреждением) для установления личности пациента. Несмотря на то, что указанные разъяснения в настоящее время отменены исходя из сути Закона, с ним вполне можно согласиться.
Фото- и видеоизображения лица в общественных местах, рабочих помещениях и на охраняемой территории, судебные органы, как правило, не признают биометрическими данными, поскольку они используются для охраны общественного порядка, поддержания трудовой дисциплины, в общественных или публичных интересах, и по общему правилу не требуют получения согласия.
Что касается дактилоскопических данных, то, по мнению Роскомнадзора[7], отпечатки пальцев человека всегда являются биометрическими персональными данными. Однако их обработка допускается только уполномоченными государственными органами и только в случаях, установленных Федеральным законом от 25.07.1998 N 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации». Использование дактилоскопической информации иными Операторам персональных данных, в том числе, для осуществления однократного/многократного пропуска на территорию, носит признаки административного правонарушения, предусмотренного частью 1 статьи 13.11 КоАП РФ «Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных».
Условия обработки биометрических персональных данных приведены в статье 11 Закона о персональных данных и во многом схожи с условиями обработки специальных категорий персональных данных.
1. По общему правилу, обработка таких данных допускается с согласия субъекта ПД, выраженному в письменной форме.
Предоставление такого согласия не является обязательным. Оператор ПД не вправе отказывать в обслуживании в случае отказа от предоставления биометрических данные или дать согласие на обработку персональных данных, если в соответствии с законом получение оператором ПД согласия на обработку персональных данных не является обязательным.
2. Без получения согласия субъекта ПД допускается обработка в следующих случаях:
- в связи с реализацией международных договоров Российской Федерации о реадмиссии;
- в связи с осуществлением правосудия и исполнением судебных актов;
- в связи с проведением обязательной государственной дактилоскопической регистрации, обязательной государственной геномной регистрации;
- в случаях, предусмотренных законодательством РФ об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, оперативно-розыскной деятельности, государственной службе, нотариате, уголовно-исполнительным законодательством, законодательством о порядке выезда и въезда в Российскую Федерацию, о гражданстве Российской Федерации.
Несмотря на разъяснения уполномоченных органов, отметим, что полностью единообразной правоприменительной практики по вопросу отнесения данных к биометрическим, до настоящего времени не сложилось, поэтому риски возникновения судебных споров и привлечения к ответственности за нарушение условий их обработки не исключены.
Ответственность за нарушение условий обработки персональных данных
За нарушение условий обработки персональных данных может наступить административная, гражданско-правовая или дисциплинарная ответственность.
Чаще всего к административной ответственности за нарушение условий обработки привлекают:
- По части 1 статьи 13.11 КоАП РФ «Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных». Максимальное наказание для должностных лиц – штраф до 20 000 рублей, для юридических лиц – до 100 000 рублей.
- По части 2 статьи 13.11 КоАП РФ «Обработка персональных данных без согласия в письменной форме субъекта персональных данных либо с нарушением требований к согласию». Максимальное наказание для должностных лиц – штраф до 40 000 рублей, для юридических лиц – до 150 000 рублей.
Гражданско-правовая ответственность может наступить в форме возмещения субъекту персональных данных морального вреда и возмещения убытков. Размеры компенсации морального вреда определяет суд с учетом степени вины нарушителя и степени страданий морального вреда.
К дисциплинарной ответственности привлекают работников, ответственных за обработку персональных данных, в случае неисполнения или ненадлежащего исполнения ими своих трудовых обязанностей. Работодатель имеет право применить следующие дисциплинарные взыскания: замечание, выговор, увольнение по соответствующим основания.
Подводя итоги, отметим, что отсутствие в законе перечня персональных данных или четких критериев отнесения к ним в ряде случаев может порождать правовую неопределенность и влечет дополнительные риски привлечения к ответственности. Также обратим внимание на периодические изменения правового регулирования, в том числе оснований обработки персональных данных, что требует от операторов персональных данных постоянно «держать руку на пульсе».
______________________
[1] Платонова Н.И., Соловьева-Опошнянская А.Ю. Биометрические персональные данные: возможности и проблемы // «Юрист», 2019, № 6.
[2] Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».
[3] Кассационное определение Судебной коллегии по административным делам Верховного Суда Российской Федерации от 22.01.2020 № 5-КА19-56.
[4] Постановление Верховного Суда РФ от 28.06.2018 № 74-АД18-11.
[5] Письмо Минцифры России от 17.07.2020 № ОП-П24-070-19433.
[6] Разъяснения Роскомнадзора от 02.09.2013 «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки».
[7] Письмо Роскомнадзора от 10.02.2020 № 08АП-6782 «О направлении информации по протоколу совещания».
20 сентября 2023 г.