Уголовно-правовая охрана обработки персональных данных в сфере спорта: постановка вопроса
Автором ставится вопрос о распространенности нарушений, совершаемых при незаконной обработке персональных данных в сфере спорта. Среди причин проблем правоприменения называется неопределенность и незавершенность положений ст. 13.11 КоАП РФ, наряду с пробельностью Уголовного кодекса РФ в части усиления противодействия противоправным проявлениям путем последовательной криминализации нарушений законодательства Российской Федерации в области персональных данных, административная ответственность за совершение которых предусмотрена ч. 1, 2 ст. 13.11 КоАП РФ.
Ключевые слова: обработка персональных данных, административное законодательство, административное правонарушение, ст. 13.11 КоАП РФ, административная ответственность, уголовная ответственность, уголовно наказуемое деяние, признаки преступления, спорт.
The author raises the question of the prevalence of violations committed during the illegal processing of personal data in the field of sports. Among the reasons for problems of law enforcement is the uncertainty and incompleteness of the provisions of Art. 13.11 The Code of Administrative Offenses of the Russian Federation, along with the gaps in the Criminal Code of the Russian Federation, in terms of strengthening the counteraction to illegal manifestations through the consistent criminalization of violations of the legislation of the Russian Federation in the field of personal data, administrative liability for the commission of which is provided for by Part. 1, 2 tbsp. 13.11 Code of Administrative Offenses of the Russian Federation.
Key words: processing of personal data, administrative legislation, administrative offense, article 13.11 Code of Administrative Offenses of the Russian Federation, administrative responsibility, criminal liability, criminal offense, signs of a crime, sports.
Вопрос об обеспечении безопасности персональных данных (далее - персональные данные, ПД) граждан при их обработке в виде законодательного закрепления самостоятельного объекта уголовно-правовой охраны <1> является насущным и даже немного запоздалым, особенно при правовом регулировании общественных отношений в области физической культуры и спорта (далее - спорт).
--------------------------------
<1> См.: Ковалев С.Д. Актуальные проблемы правового регулирования оборота и защиты персональных данных в России в цифровую эпоху // Вестник Владимирского юридического института. 2022. N 4 (65). С. 37; Ефремова М.А. Уголовно-правовая охрана информационной безопасности: дис. ... д-ра юрид. наук. М., 2017. 426 с.
По нашему мнению, в качестве самостоятельного объекта уголовно-правовой охраны следует рассматривать как ПД в целом, так и обработку персональных данных (далее - обработка ПД) как наиболее распространенную часть отношений в области ПД.
В аспекте исследования такого отдельного объекта уголовно-правовой охраны, как информационная безопасность обработки ПД, предлагаем понимать состояние защищенности процесса обработки ПД, обеспечивающей надлежащее функционирование информационного пространства, касающегося обработки ПД, защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Е.Е. Никитина, рассматривая информационную безопасность как элемент конституционного статуса личности, обоснованно относит ПД к информационным правам человека, входящим в одну из групп классификационных конституционных прав человека <2>.
--------------------------------
<2> См.: Никитина Е.Е. Информационная безопасность как элемент конституционного статуса личности // Журнал российского права. 2024. Т. 28. N 1. С. 81 - 94.
В соответствии с п. 14 Указа Президента РФ от 5 декабря 2016 г. N 646 "Об утверждении Доктрины информационной безопасности Российской Федерации" к угрозам информационной безопасности отнесено увеличение числа преступлений, "связанных с нарушением конституционных прав и свобод человека и гражданина, в том числе в части, касающейся неприкосновенности частной жизни, личной и семейной тайны, при обработке персональных данных с использованием информационных технологий" <3>.
--------------------------------
<3> СЗ РФ. 2016. N 50. Ст. 7074.
Согласно Распоряжению Правительства РФ от 29 апреля 2023 г. N 1118-р "О внесении изменений в Стратегию развития физической культуры и спорта в Российской Федерации на период до 2030 года" <4> внесены изменения в данную Стратегию, в частности отражено, что в части увеличения доли граждан РФ, систематически занимающихся спортом, в общей численности населения ранее было установлено значение показателя на 2022 г. 48%, а достигнут по факту (дополнено и курсив мой. - В.С.) более высокий показатель - 51,3%.
--------------------------------
<4> СЗ РФ. 2023. N 19. Ст. 3490.
Очевидно то, что нарушение требований законодательства РФ по обработке ПД в области спорта, может увеличиваться в динамике из-за количества задействованных в области спорта граждан - владельцев персональных данных.
Автором предлагается рассматривать в настоящей работе словосочетание "незаконная обработка персональных данных" как часто используемое понятие в судебной практике.
Федеральный закон от 4 декабря 2007 г. N 329-ФЗ "О физической культуре и спорте в Российской Федерации" <5> (далее - Закон о спорте) устанавливает требования к субъектам физической культуры и спорта по соблюдению требований Российской Федерации в области ПД (п. 12.3 ч. 1 ст. 16, ч. 6 ст. 19.2, ч. 8 ст. 31.1, ч. 6 ст. 37.1 Закона о спорте).
--------------------------------
<5> СЗ РФ. 2007. N 50. Ст. 6242.
При общей картине законодательной урегулированности действий субъектов спорта в отношении ПД вопрос о достаточности правоприменительных мер остается открытым. Так, норма п. 12.3 ч. 1 ст. 16 Закона о спорте, определяя необходимость соблюдения требований законодательства РФ в области ПД среди перечня прав общероссийской спортивной федерации, исключает аналогичную обязанность для региональной спортивной федерации по ст. 16.1 этого же Закона.
Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195-ФЗ <6> (далее - КоАП РФ) в ст. 13.11 устанавливает административную ответственность за нарушение законодательства РФ в области ПД.
--------------------------------
<6> СЗ РФ. 2002. N 1 (ч. 1). Ст. 1.
Диспозиции ч. 1 и ч. 2 ст. 13.11 КоАП РФ содержат уточнения (далее - уточнения) в виде отсылки "если эти действия не содержат уголовно наказуемого деяния", а диспозиция ч. 6 ст. 13.11 КоАП РФ содержит уточнение в виде словосочетания "при отсутствии признаков уголовно наказуемого деяния".
Вариативность подхода законодателя в установлении данных разных уточнений не может не вызывать научного интереса и желания понять правотворческий замысел.
Содержание пакета документов законопроекта N 683952-6 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" (в части уточнения положений, устанавливающих ответственность за нарушение законодательства о персональных данных), включая Пояснительную записку, заключения и отзывы органов и комитетов, не дает ответа на то, что подразумевается законодателем под понятием "действие, содержащее уголовно наказуемое деяние".
Поправка о дополнении текста проекта федерального закона N 683952-6 ко второму чтению в виде словосочетания "если эти действия не содержат уголовно наказуемого деяния" была внесена депутатом Госдумы А.С. Грибовым. Ввиду отсутствия в открытых источниках (документах), сопровождающих прохождение законопроекта, иной оценки этой поправки, можно допустить научный и правоприменительный интерес в правовом мониторинге к 2024 г. применения составов административных правонарушений, предусмотренных ч. 1, 2 ст. 13.11 КоАП РФ.
23 января 2024 г. в первом чтении принят проект федерального закона N 502113-8 "О внесении изменений в Уголовный кодекс Российской Федерации" (в части установления ответственности за незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные). В Пояснительной записке указано: "Законопроект дополняет Уголовный кодекс Российской Федерации... новой статьей 272.1, предусматривающей уголовную ответственность за использование и (или) передачу (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные... для целей уголовного законодательства конкретизирован объект преступного посягательства (компьютерная информация), который содержит персональные данные, полученные незаконным путем. Это позволяет разграничивать (курсив мой. - В.С.) новый состав УК РФ от правонарушений, ответственность за которые предусмотрена Кодексом Российской Федерации об административных правонарушениях в статье 13.11 "Нарушение законодательства Российской Федерации в области персональных данных..." <7>.
--------------------------------
<7> Государственная Дума Федерального Собрания Российской Федерации. Система обеспечения законодательной деятельности (СОЗД).
Изложенное положение о разграничении нового состава УК РФ в части проектируемой ст. 272.1 от действующей ст. 13.11 КоАП РФ не добавляет ясности в правовой квалификации уточнения ч. 1, 2 ст. 13.11 КоАП РФ в части "действий, содержащих уголовно наказуемое деяние".
Уголовно-процессуальный кодекс Российской Федерации от 18 декабря 2001 г. N 174-ФЗ <8> (далее - УПК РФ) не поддерживает отраслевое применение понятия "действие, содержащее уголовно наказуемое деяние" и понятия "признаки уголовно наказуемого деяния" в любых вариантах и не дает им правового определения.
--------------------------------
<8> СЗ РФ. 2001. N 52 (ч. I). Ст. 4921.
Уголовно-процессуальный кодекс РФ оперирует понятием "признаки преступления", в том числе и при принятии решения о возбуждении уголовного дела (ч. 2 ст. 140 УПК РФ - "основанием для возбуждения уголовного дела является наличие достаточных данных, указывающих на признаки преступления").
Не применяется понятие "уголовно наказуемое деяние" и в Уголовном кодексе РФ от 13 июня 1996 г. N 63-ФЗ <9>, оставляя использование данного понятийного словосочетания для теории уголовного права, научных трудов и доктринальных толкований.
--------------------------------
<9> СЗ РФ. 1996. N 25. Ст. 2954.
При этом теория уголовного права исследует, как и Уголовно-процессуальный кодекс РФ, институт признаков преступления при формулировании понятия преступления по ч. 1 ст. 14 УК РФ <10>.
--------------------------------
<10> См.: Долгих Т.Н. Признаки преступления в теории уголовного права.
Как было отмечено выше, существенная роль в изначальном выявлении преступных посягательств в отношении ПД принадлежит по КоАП РФ Роскомнадзору <11>. Это позволяет сделать вывод, что трудности в уголовно-правовой квалификации "уголовно наказуемого деяния" по ч. 1, 2 ст. 13.11 КоАП РФ так или иначе связаны с уровнем правовой компетентности должностных лиц Роскомнадзора <12>.
--------------------------------
<11> См.: Постановление Правительства РФ от 16 марта 2009 г. N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций" (вместе с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций) // СЗ РФ. 2009. N 12. Ст. 1431.
<12> См.: Приказ Роскомнадзора от 4 февраля 2014 г. N 16 "Об утверждении Перечня должностных лиц Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов, уполномоченных составлять протоколы об административных правонарушениях" // Российская газета. 2014. 26 марта.
Отношения, связанные с обработкой ПД, регулируются Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <13> (далее - Закон о ПД).
--------------------------------
<13> СЗ РФ. 2006. N 31 (1 ч.). Ст. 3451.
Согласно ст. 3 Закона о ПД под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а под обработкой персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В силу требования ч. 1 ст. 6 Закона о ПД обработка ПД должна осуществляться с соблюдением принципов и правил, предусмотренных федеральным законом.
В контексте ч. 1 ст. 13.11 КоАП РФ необходимо отметить определяющее положение правовой нормы о том, что административная ответственность устанавливается законом при обработке ПД в случаях, не предусмотренных (выделено мной. - В.С.) законодательством РФ в области ПД, т.е. вне и вопреки закону.
В соответствии с п. 2 ст. 3 Закона о ПД оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку ПД, а также определяющие цели и содержание обработки ПД.
При этом указанные органы и лица являются операторами независимо от включения их в реестр операторов, осуществляющих обработку ПД (далее - реестр операторов), ведение которого поручено Роскомнадзору. Операторы обязаны соблюдать все требования Закона о ПД.
В соответствии с ч. 1 ст. 22 Закона о ПД оператор до начала обработки ПД обязан уведомить Роскомнадзор о своем намерении осуществлять обработку ПД.
Неисполнение обязанности уведомить Роскомнадзор о намерении осуществлять обработку ПД может, по нашему мнению, образовывать и состав административного правонарушения, предусмотренного ст. 19.7 "Непредоставление сведений (информации)" КоАП РФ.
Возвращаясь к положению ч. 1 ст. 13.11 КоАП РФ, можно утверждать, что несоблюдение требования ч. 1 ст. 22 Закона о ПД относится к совершению административного правонарушения, квалифицируемого как обработка ПД в случае, не предусмотренном законодательством РФ, если эти действия не содержат уголовно наказуемого деяния.
Для справки: пока УК РФ не содержит правовой нормы, устанавливающей уголовную ответственность за незаконную обработку ПД, продекларированной через отсылку к возможному совершению действий, содержащих уголовно наказуемое деяние.
Норма ч. 2 ст. 173.2 УК РФ - использование персональных данных, полученных незаконным путем, если эти деяния совершены для внесения в единый государственный реестр юридических лиц сведений о подставном лице, является единственной статьей в УК РФ, упоминающей ПД. Сложившаяся уголовная практика пока отражает относительное (косвенное) противодействие противоправному воздействию в отношении ПД в целом в зависимости от обстоятельств событий и признаков преступлений (ст. 137, 183, 272 УК РФ).
Принимая во внимание, что уголовно-правовой квалификацией преступления, например, по мнению В.В. Власенко, является установление тождества между "фактическим" составом преступления, присутствующим в совершенном деянии, и "юридическим" составом преступления, содержащимся в уголовном законе <14>, отсутствие в УК РФ "уголовно наказуемого деяния", вытекающего из ч. 1, 2 ст. 13.11 КоАП РФ, является трудно объяснимым.
--------------------------------
<14> См.: Власенко В.В. Проблемные аспекты понятия "квалификация преступлений" // Российская юстиция. 2016. N 5. С. 59 - 62.
Автор допускает наличие нерешенной проблемы административно-правовой охраны обработки ПД граждан при организации и проведении физкультурных мероприятий и спортивных мероприятий.
Подтверждением тому являются хотя бы два обстоятельства, легко проверяемые по открытым источникам (электронным сайтам организаций - субъектов спорта, электронного портала Роскомнадзора).
1. Бездействие субъектов спорта, связанное с ненаправлением уведомления Роскомнадзору о своем намерении осуществлять обработку ПД.
Для примера, общероссийская общественная организация "Федерация хоккея России" (ИНН 7704031008) на 26 апреля 2024 г. отсутствует в реестре операторов <15>.
--------------------------------
<15> Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Реестр операторов.
При этом нельзя не отметить, что при "запоздалом" уведомлении операторов существующая практика Роскомнадзора об указании в реестре операторов начала обработки ПД не с даты приема уведомления или приказа Роскомнадзора, а с прошедшей даты, имеющей подчас многолетний период, не основана на Законе о ПД и не может легитимизировать деятельность операторов по правилу "последующего одобрения".
Для примера: общероссийская общественная организация спортивная федерация по футболу "Российский футбольный союз" (ИНН 7704016803) включена в реестр операторов с 21 февраля 2023 г. Приказом Роскомнадзора N 70 с указанием даты начала обработки ПД 28.04.2000 <16>.
--------------------------------
<16> Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Реестр операторов.
Российское антидопинговое агентство "РУСАДА" (ИНН 7702370887) включено в реестр операторов с 16 ноября 2022 г. Приказом Роскомнадзора N 281 с указанием даты начала обработки ПД 23.01.2008 <17>.
--------------------------------
<17> Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Реестр операторов.
2. Отношение субъектов спорта к разработке, утверждению и обеспечению доступа к такому акту организации, как политика в отношении обработки ПД.
Согласно п. 2 ч. 1 ст. 18.1 Закона о ПД оператор обязан издать отдельный документ, определяющий политику в отношении обработки ПД (далее - Политика о ПД). В соответствии с ч. 2 ст. 18.1 Закона о ПД оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД.
Правонарушение в отношении Политики о ПД влечет административную ответственность, предусмотренную ч. 3 ст. 13.11 КоАП РФ.
Для примера: сайт Федерации бодибилдинга России (ИНН 7810704696) <18> не содержит документа о политике в отношении обработки ПД. Можно с большой долей вероятности утверждать, что это не единственный случай среди спортивных федераций.
--------------------------------
<18> Федерация бодибилдинга России.
Конструирование правовых норм ч. 1, 2 ст. 13.11 КоАП РФ, отсылающих правоприменителя к отсутствующему в законе уголовно наказуемому деянию, допускает, по нашему мнению, правовую неопределенность, необеспеченность реализации отраслевого принципа неотвратимости наказания и незавершенность мер по соблюдению общеправового принципа законности.
