Права субъекта персональных данных и их юридическая защита

 

30 сентября 2023 г.

 

Ежедневно передается огромный объем персональных данных государственным органам, работодателям, банкам, продавцам, социальным сетям и иных операторам, что значительно повышает риски их неправомерного использования. В условиях современного мира крайне важно обеспечить защиту прав и свобод физических лиц при обработке их персональных данных.

В статье подробно рассмотрим то, какими правами наделяет российское законодательство субъектов персональных данных, а также как обжаловать действия (бездействие) оператора персональных данных в случае нарушения прав.

Немного о терминологии законодательства о персональных данных

Базовым нормативным актом, регулирующим отношения по обработке персональных данных в Российской Федерации, является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – «Закон о персональных данных», «Закон», «ФЗ № 152-ФЗ»).

Закон не содержит определения термина «субъект персональных данных». Согласно статье 3 ФЗ № 152-ФЗ персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом, исходя из приведенного понятия, под субъектом персональных данных (далее по тексту – «субъект ПД») понимается физическое лицо, которому принадлежат персональные данные и по которым он прямо или косвенно может быть определен.

В свою очередь государственные или муниципальные органы, юридические или физические лица, организующие или осуществляющие обработку персональных данных, именуются «операторами персональных данных» (далее – «оператор», «оператор ПД»).

Права субъектов персональных данных

Основным правам субъектов персональных данных посвящена отдельная глава 3 Закона о персональных данных. Перечислим их:

  • Право на доступ к своим персональным данным.
  • Право требовать уточнения, блокирования или уничтожения персональных данных.
  • Право не получать рекламу и политическую агитацию без предварительного согласия.
  • Право возражать против принятия решений на основе автоматизированной обработки данных.
  • Право на защиту своих прав и законных интересов

Ниже рассмотрим каждое подробнее.

Право субъекта ПД на доступ к информации

Одно из ключевых прав субъекта ПД – право на доступ к информации об обработке его персональных данных. Многие другие права будут получать развитие из данного базового права.

В соответствии с частью 1 статьи 14 ФЗ № 152-ФЗ субъект ПД имеет право получать следующую информацию, касающуюся обработки его данных:

  • факт обработки персональных данных оператором ПД;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора ПД), которые имеют доступ к персональным данным или которым они могут быть раскрыты;
  • правовые основания и цели обработки персональных данных;
  • применяемые оператором ПД способы обработки персональных данных (автоматизированная обработка, неавтоматизированная обработка, смешанный способ обработки);
  • перечень обрабатываемых персональных данных, источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных его прав;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных (передаче данных на территорию другого государства);
  • наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению оператора ПД;
  • информацию о мерах, принимаемых оператором для соблюдения правил обработки и защиты персональных данных.

Данный перечень не является исчерпывающим.

Указанные права могут быть реализованы (1) при личном обращении субъекта ПД или его представителя, либо посредством направления оператору (2) запроса ПД. Запрос в адрес оператора ПД может быть направлен в форме бумажного документа или электронного документа, подписанного ЭЦП, и должен содержать:

  • паспортные данные субъекта ПД /его представителя (номер документа, дата выдачи и сведения о выдавшем его органе);
  • сведения, подтверждающие участие субъекта ПД в отношениях с оператором ПД (номер договора, дата заключения договора, или иные сведения, подтверждающие факт обработки персональных данных оператором ПД);
  • подпись субъекта персональных данных или его представителя.

Сведения предоставляются оператором в доступной форме и не должны содержать персональных данных иных лиц. Ответ на запрос предоставляется в той же форме, что и запрос, если иное не было указано при его подаче.

Срок предоставления данных сведений – 10 рабочих дней с даты обращения субъекта/его представителя или получения запроса (часть 1 статьи 20 ФЗ № 152-ФЗ). Указанный срок может быть продлен на 5 рабочих дней с обязательным направлением мотивированного уведомления о причинах такого продления.

Повторно направить запрос можно не ранее чем через 30 дней после первоначального обращения. Исключение – если это прямо предусмотрено федеральным законом или договором, или если сведения ранее не были предоставлены оператором в полном объеме. Повторный запрос должен содержать обоснование его направления.

Право на доступ к персональным данным может быть ограничено федеральными законами. Так, согласно части 8 статьи 14 ФЗ № 152-ФЗ в предоставлении запрашиваемой информации может быть отказано, если обработка персональных данных осуществляется:

  • в целях обороны страны, безопасности государства и охраны правопорядка;
  • если субъект ПД задержан по подозрению в совершении преступления, либо ему предъявлено обвинение по уголовному делу либо применена мера пресечения (кроме прав, предусмотренных уголовно-процессуальным законодательством);
  • если обработка осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем;
  • если это нарушает права и законные интересы третьих лиц;
  • в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности.

При отказе в предоставлении информации оператор ПД в течение 10 рабочих дней обязан дать мотивированный ответ в письменной форме с указанием нормы федерального закона, являющейся основанием для такого отказа.

Невыполнение оператором ПД обязанности по предоставлению субъекту ПД информации, касающейся обработки его персональных данных, влечет привлечение к административной ответственности по части 4 статьи 13.11 КоАП РФ. Штраф на граждан в размере от 2 000 до 4 000 рублей; на должностных лиц – от 8 000 до 12 000 рублей; на индивидуальных предпринимателей – от 20 000 до 30 000 рублей; на юридических лиц – от 40 000 до 80 000 рублей.

Как показывает практика, контролирующие органы в большинстве случаев не усматривает в действиях указанных лиц признаков правонарушения, однако риск привлечения к ответственности при незаконном отказе существует.

Право требовать уточнения, блокирования и уничтожения персональных данных

Нередко владелец персональных данных не хочет, чтобы его данные продолжали обрабатываться или находит в них ошибки. Частью 1 статьи 14 ФЗ №152-ФЗ он наделен правом требовать от оператора ПД уточнения, блокирования или уничтожения его персональных данных.

Уточнение (обновление, изменение) ПД осуществляется в случаях, когда персональные данные являются неполными, устаревшими или неточными. Оператор ПД обязан внести соответствующие изменения в течение 7 рабочих дней со дня представления субъектом ПД / его представителем подтверждающих сведений. Кроме того, оператор ПД обязан уведомить о внесенных изменениях и предпринятых мерах, а также принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы (часть 3 статьи 20 ФЗ № 152-ФЗ).

Под блокированием персональных данных понимается временное прекращение обработки персональных данных, под уничтожением – действия, в результате которых становится невозможным восстановить содержание персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Блокирование как временная мера, как правило, осуществляется на период проверки полученной от субъекта ПД информации о неправомерности обработки, неточности данных. Требования об уничтожении персональных данных могут быть предъявлены в случаях, когда они незаконно получены или не являются необходимыми для заявленной цели обработки. Также как и при уточнении персональных данных, в течение 7 рабочих дней со дня представления субъектом ПД / его представителем подтверждающих сведений, Оператор ПД обязан уничтожить персональные данные и уведомить об этом субъекта ПД.

За невыполнение законного требования субъекта персональных данных об уточнении персональных данных, их блокировании или уничтожении привлекают к административной ответственности по части 5 статьи 13.11 КоАП РФ. Штраф на граждан в размере от 2 000 до 4 000 рублей; на должностных лиц – от 8 000 до 20 000 рублей; на индивидуальных предпринимателей – от 20 000 до 40 000 рублей; на юридических лиц – от 50 000 до 90 000 рублей.

Так, в одном из дел хозяйственное общество не выполнило требования об удалении персональных данных своих работников на интернет-страницах. Данное общество было признано виновным в совершении административного правонарушения, предусмотренного частью 5 статьи 13.11 КоАП РФ, и подвергнуто административному наказанию в виде штрафа в размере 25 000 рублей[1].

Также не исключаются риски присуждения потерпевшему лицу компенсации морального вреда. Приведем пример из судебной практики.

С. обратился в суд с иском об обязании коммерческого банка исключить из информационных баз его персональные данные и компенсации морального вреда в размере 25 000 рублей. В обоснование требований указал, что данный банк совершал звонки на его личный номер телефона и номер телефона его дочери в целях взыскания просроченной задолженности. Истец пытался сообщить сотрудникам банка, что незнаком с должником, но звонки продолжались. В судебном заседании было установлено, что С. и его несовершеннолетняя дочь не передавали банку свои данные, каких-либо обязательств перед Банком не имеют, то есть банк без законных на то оснований осуществлял обработку их персональных данных. При этом, неоднократно получая информацию об отсутствии кредитных обязательств, не выполнил требований об уничтожении персональных данных. Суд взыскал компенсацию морального вреда в пользу С. в размере 6 000 рублей[2].

Право субъекта ПД не получать рекламу и политическую агитацию без предварительного согласия

Многие компании используют персональные для направления рекламных сообщений. Согласно статьи 15 ФЗ № 152-ФЗ любая обработка персональных данных, осуществляемая для продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем или с целью политической агитации допускаются только с предварительного согласия субъекта персональных данных.

Закон о персональных данных не предъявляет каких-либо специальных требований к такому согласию. Главное, чтобы оно было конкретным, предметным, информированным, сознательным и однозначным (часть 1 статьи 9 ФЗ № 152-ФЗ). Оно может быть получено при оформлении скидочных карт, анкет, в личном кабинете интернет-магазина путем проставления галочки в соответствующей графе. Обязанность подтвердить получение такого согласия возлагается на Оператора ПД. Также Закон обязывает оператора ПД немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.

За нарушение рассматриваемого права есть риск привлечения к административной ответственности по части 1 статьи 13.11 КОАП РФ «Обработка персональных данных в непредусмотренных законом случаях». Штраф на граждан в размере от 2000 до 6 000 рублей; на должностных лиц – от 10 000 до 20 000 рублей; на юридических лиц – от 60 000 до 100 000 рублей.

Так, в одном из дел генеральный директор был привлечен к административной ответственности по части 1 статьи 13.11 КоАП РФ, вынесено предупреждение. В качестве нарушения суд указал, что генеральный директор допустил использование персональных данных гражданина (Ф.И.О. и номера его мобильного телефона), осуществив звонок на указанный номер в целях продвижения инвестиционных продуктов хозяйственного общества, чем нарушил статью 15 Закона о персональных данных[3].

Нередко суды и антимонопольные органы расценивают действия по рассылке конкретным лицам информации, направленной на продвижение товаров, работ, услуг, как нарушение не только Закона о персональных данных, но и Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе» (далее по тексту – «Закон о рекламе»). Поясним подробнее.

В соответствии со статьей 3 указанного Закона под рекламой понимается «информация, распространенная любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке». При этом согласно разъяснениям ФАС России[4] рекламой признается информация, направленная на продвижение объекта рекламирования, даже если она направляется по определенному адресному списку.

В качестве примера такого толкования приведем дело № А57-6346/2021, дошедшее до Верховного Суда РФ[5]. В данном деле банк без предварительного согласия заемщика на его личный номер мобильного телефона направил СМС-сообщение, содержащее рекламу кредитных продуктов следующего содержания: «Сергей Александрович; кредит наличными от 7,5% до 3 млн. рублей». Суды установили, что вопреки требованиям Закона о рекламе банк осуществил рассылку рекламы финансовых услуг, в которой отсутствовала предусмотренная Законом о рекламе информация. Также суды указали, что согласие на рассылку было получено при оформлении нового банковского продукта. Однако разработанная банком форма заявки подразумевала одновременную дачу согласия на обработку персональных данных для оказания запрашиваемых банковских услуг, и на получение от банка рекламной информации, не оставляя тем самым гражданину какого-либо свободного выбора. Данные действия были признаны нарушающими как положения Закона о рекламе, так и Закона о персональных данных. Отметим, что за нарушения Закона о рекламе предусмотрены не менее жесткие штрафы.

Право возражать против принятия решений на основе автоматизированной обработки данных

Статья 16 Закона о персональных данных регламентирует права субъектов ПД при принятии решений на основании исключительно автоматизированной обработки их данных. Поясним, что под автоматизированной обработкой персональных данных понимается обработка с помощью средств вычислительной техники.

По общему правилу запрещается принимать решения, порождающие юридические последствия или иным образом затрагивающие его права и законные интересы субъекта ПД только на основании данных, подученных в результате автоматизированной обработки. Например, нельзя оценивать деловые качества соискателя и отказывать в приеме на работу только на основании онлайн-тестирования, нельзя уволить работника за прогул только на основании данных видеонаблюдения и тп.

Решение исключительно на основе автоматизированной обработки данных модно принять:

  • при наличии согласия в письменной форме субъекта ПД (письменное согласие должно быть оформлено в соответствии с требованиями части 4 статьи 9 ФЗ № 152-ФЗ);
  • в случаях, предусмотренных федеральными законами (например, КоАП РФ разрешает привлечение к административной ответственности за нарушения в области дорожного движения, выявленные в результате фото- и видео-фиксации).

Дополнительно Закон о персональных данных обязывает оператора ПД разъяснить субъекту ПД порядок принятия такого решения и возможные юридические последствия. В целях исполнения данной обязанности рекомендуем включать соответствующие положения в типовые формы, которые оформляет клиент.

Субъект ПД вправе заявить оператору возражение против такого решения. Срок на его рассмотрение – 30 дней со дня получения. О результатах рассмотрения уведомляют лицо, подавшее возражение. Игнорирование данных обязанностей может повлечь для оператора ПД неблагоприятные последствия в виде судебного иска.

Рассмотрим на примере из судебной практики. М. обратился с иском к Банку о признании незаконным открытия банковских счетов, возложении обязанности уничтожить сведения об открытии на его имя счетов и взыскании компенсации морального вреда в размере 1 000 000 рублей. В судебном заседании сторонами не оспаривалось, что Банк открыл на имя М. банковские счета. На момент рассмотрения спора счета закрыты. Суд указал, что в соответствии со статьей 16 ФЗ № 152-ФЗ запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных. М. согласия на открытие счетов не давал. Суд признал действия банка незаконными и взыскал в пользу М. компенсацию морального вреда в размере 20 000 рублей[6].

Обжалование действий или бездействия оператора персональных данных

В случае нарушения оператором ПД порядка обработки персональных данных субъект ПД вправе обжаловать действия (бездействия) оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке (статья 17 Закона о персональных данных). Способ защиты субъект ПД выбирает самостоятельно исходя из конкретных обстоятельств. Рассмотрим каждый из них подробнее.

1. Обжалование действий (бездействия) оператора ПД в административный орган. Порядок подачи жалобы регулирует Федеральный закон № 59-ФЗ от 02.05.2006 «О порядке рассмотрения обращений граждан РФ». Жалоба подается в территориальный орган Роскомнадзора по месту жительства субъекта ПД. Подать жалобу можно путем направления почтой или при личном обращении в контролирующий орган, а также в электронном виде – через официальный сайт Роскомнадзора.

В жалобе необходимо указать:

  • наименование органа или должностного лица, которому подается жалоба;
  • ФИО заявителя, почтовый адрес или адрес электронной почты (в случае электронного обращения), по которым должен быть направлены ответ (анонимные обращения не рассматриваются).
  • суть жалобы (желательно точно указать наименование оператора и подробно описать суть нарушений, а также при необходимости можно приложить к жалобе документы (их копии), подтверждающие доводы жалобы).
  • подпись заявителя и дата.

Срок рассмотрения жалобы – 30 дней с даты ее регистрации, но в исключительных случаях срок может быть продлен еще на 30 дней с обязательным уведомлением лица, подавшего жалобу.

В случае несогласия с решением контрольного органа заявитель вправе обратиться в суд с требованиями об оспаривании данного решения, действий (бездействия) органа государственной власти. При этом потребуется доказать, что оспариваемыми решениями, действиями или бездействием нарушены или оспорены права, свободы и законные интересы субъекта ПД, созданы препятствия к осуществлению права или незаконно возложены какие-либо обязанности (статья 218 КАС РФ).

Проиллюстрируем на примере из судебной практики. Так, в одном из дел Л. обратился в суд с административным исковым заявлением о признании незаконными бездействия прокуратуры области и территориального Управления Роскомнадзора. В обоснование своих требований указал, что энергосбытовая компания незаконно запросила и использовала копию поквартирной карточки, в которых содержались персональные данные Л. и иных зарегистрированных в квартире лиц, никто из которых согласия на обработку персональных данных не давал. Л. обратился в государственные органы с заявлением о привлечении к административной ответственности должностных лиц энергосбытовой компании за нарушение законодательства о персональных данных. Прокуратура переадресовала заявление в Роскомнадзор. Управление Роскомнадзора сообщило Л. об отсутствии оснований для принятия мер реагирования, что и послужило поводом для обращения с иском.

В судебном заседании представитель Роскомнадзора пояснил, что контрольному органу не была предоставлена информация, чьи права были нарушены, а также какие негативные последствия наступили в результате неправомерной обработки. Суд пришел к выводу, что Роскомнадзор, как орган, наделенный правом возбуждать дела об административных правонарушениях за нарушение правил обработки персональных данных, в нарушение требований законодательства не принял процессуальное решение о возбуждении или об отказе в возбуждении дела, чем лишил заявителя права на его обжалование. В отношении прокуратуры не установил нарушений прав истца, поскольку возбуждение данной категории дел не относится к исключительной компетенции прокурора[7].

2. Оспаривание действий (бездействия) оператора ПД в судебном порядке.

Рассмотрение спора в суде производится в соответствии с Гражданским процессуальным кодексом РФ путем предъявления иска. Иск подается в районный (городской) суд по месту нахождения ответчика – оператора ПД. Также он может быть подан по месту нахождения истца (часть 6.1. статьи 29 ГПК РФ). Соблюдение досудебного порядка не требуется.

Субъект персональных данных предъявить требования:

1. Об исполнении оператором обязанностей или прекращении действий, нарушающих права субъекта ПД. Например, обязать оператора ПД предоставить информацию об обрабатываемых персональных данных, прекратить обработку, уничтожить персональные данные и т.п. Отметим, что субъекты ПД нередко обращаются с требованиями, заведомо противоречащими смыслу Закона о персональных данных. Например, требуют уничтожить персональные данные в случаях, когда оператор ПД наделен правом их обрабатывать в силу Закона о персональных данных.

2. О возмещении убытков. В соответствии со статьей 15 ГК РФ под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода). Отметим, что взыскание убытков крайне проблематично в данных правоотношениях ввиду особенностей доказывания.

3. О компенсации морального вреда. Моральный вред – это физические или нравственные страдания гражданина, причиненные действиями оператора ПД, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие ему нематериальные блага (статья 151 ГК РФ). Размер компенсации морального вреда определяется судом в зависимости от характера причиненных потерпевшему физических и нравственных страданий, а также от степени вины причинителя вреда. При определении размера компенсации вреда должны учитываться требования разумности и справедливости. Как показывает практика, размеры взыскиваемой денежной компенсации крайне невелики и варьрируются обычно от 500 до 25 000 рублей.

Приведем пример из судебной практики. С. обратилась в суд с иском к Микрофинансовой компании о взыскании компенсации морального вреда в размере 20000 рублей. В обоснование требований указала, что при проверке кредитной истории С. узнала о заключенном от ее имени кредитном договоре на сумму 9000 рублей и наличии задолженности по нему, в связи с чем обратилась к микрофинансовой организации с требованием об отказе от задолженности и прекращении обработки ее персональных данных. Микрофинансовая организация уведомила С., что договор на ее имя признан незаключенным, направлена информация в бюро кредитных историй об отсутствии заключенного договора. Однако в результате действий микрофинансовой организации истец испытала нравственные страдания, что и послужило поводом для обращения в суд. Суд указал, что оператор ПД обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных. Сведений о том, что требования истца о прекращении обработки ее данных ответчиком удовлетворены, в суде не нашли своего подтверждения. С учетом обстоятельств дела и поведения каждой стороны суд признал право на компенсацию морального вреда в размере 4 000 рублей[8].

Подводя итог, можно констатировать, что права субъектов персональных данных в России в настоящее время не соблюдаются на должном уровне. Звонки с неизвестных номеров телефонов с предложением различных товаров и услуг или требованиями уплаты долга до сих пор являются обычной практикой, а добиться прекращения использования своих персональных данных по-прежнему сложно. Не способствует защите прав субъекта персональных данных и позиция судебных органов, которые зачастую формально подходят к рассмотрению требований или снижают размеры взысканий до номинальных.

Также стоит обратить внимание не недостаточную правовую грамотность и правовую культуру самих субъектов персональных данных. Представляется, что для решения таких проблем необходимо предпринимать комплекс мер, направленных на повышение правовой грамотности граждан, изменению правоприменительной практики, ужесточению штрафов за нарушение прав.

______________________

 

[1] Постановление Второго кассационного суда общей юрисдикции от 30.11.2021 № 16-9529/2021.

[2] Решение Ленинского районного суда города Костромы от 15.04.2019 по делу № 2-222/2019 (2-2821/2018).

[3] Постановление Московского городского суда от 03.08.2017 № 4а-2675/2017.

[4] Разъяснения ФАС России от 14 июня 2012 года «О порядке применения статьи 18 Федерального закона «О рекламе».

[5] Определение Верховного Суда РФ от 23.03.2022 № 306-ЭС22-2085 по делу № А57-6346/2021.

[6] Решение Железнодорожного районного суда города Екатеринбурга от 05.07.2019 по делу № 2-2751/2019.

[7] Кассационное определение Второго кассационного суда общей юрисдикции от 24.05.2023 № 88а-13050/2023.

[8] Заочное решение Октябрьского районного суда города Архангельска от 21.06.2023 по делу № 2-2030/2023.

 

30 сентября 2023 г.

Наша почта
info@brace-lf.com

Вы можете направить нам запрос на e-mail с подробным описанием вопроса.

Наш телефон
+ 7 (499) 755-56-50

Связаться с нами по телефону.

Клиенты и партнеры

65.png
68.png
69.png
73.png
75.png
fitera.jpg
imko.png
logo.png
Logo_RED_RGB_Rus.png
logo_SK_2.png