Защита прав граждан от необоснованного сбора персональных данных 1
С марта 2023 года в России изменились требования к обработке персональных данных. Поправки в Закон коснулись их трансграничной передачи, утечки и уничтожения. Это не первые и, вероятно, не последние изменения ключевого нормативного акта, принятого еще в 2006 году. В статье рассматриваются способы защиты персональных данных потребителя как их субъекта. Отмечается, что риск нарушения прав этой категории граждан значительно возрос в эпоху цифровизации. Анализируются предлагаемые научным сообществом законодательные новеллы, касающиеся признания персональных данных в качестве личного неимущественного блага. На основе обобщения судебной практики показаны подходы к оценке неправомерности обработки, распространения или использования чужих персональных данных в решениях по искам о признании таких действий нарушающими положения гражданского законодательства. Рассмотрены вопросы совершенствования законодательства в данной сфере.
Ключевые слова: персональные данные, законодательство, гражданин, потребитель, закон, право на защиту, изображение гражданина, нематериальные блага, гражданский оборот, реализация.
Since March 2023, the requirements for the processing of personal data have changed in Russia. Amendments to the law have affected their cross-border transfer, leak and destruction. These are not the first and probably not the last changes to a key regulatory act adopted back in 2006. The article discusses ways to protect the personal data of the consumer as their subject. It is noted that the risk of violation of the rights of this category of citizens has increased significantly in the era of digitalization. Legislative innovations proposed by the scientific community concerning the recognition of personal data as a personal non-property benefit are analyzed. Based on the generalization of judicial practice, approaches to assessing the illegality of processing, distributing or using other people's personal data in decisions on claims for recognition of such actions as violating the provisions of civil legislation are shown. The issues of improving legislation in this field are considered.
Key words: personal data, legislation, citizen, consumer, law, right to protection, citizen's image, intangible benefits, civil turnover, implementation.
Принятый в 2006 году Закон N 152-ФЗ "О персональных данных" - ключевой нормативный правовой акт в сфере регулирования их оборота. Во исполнение норм Закона приняты многочисленные постановления правительства, приказы Роскомнадзора, детализирующие его и дающие разъяснения по отдельным вопросам.
Впервые термин "персональные данные" появился в Федеральном законе от 20.02.1995 N 24-ФЗ "Об информации, информатизации и защите информации". В нем было закреплено, что информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. При этом устанавливалось, что деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных, подлежит лицензированию. То есть то, что делает сейчас фактически каждая организация или индивидуальный предприниматель, уведомляя Роскомнадзор, принимая меры к легализации оборота информации, расценивалось как особая деятельность, на осуществление которой необходима лицензия. Однако это не значит, что при отсутствии до 1995 года специальной правовой базы персональные данные не подлежали защите.
Но концепция исходила из защиты частной жизни гражданина. Если углубиться в историю, понятия "неприкосновенность частной жизни" и "тайна переписки", из которых и вытекает понятие персональных данных, появились в Почтовом и Телеграфных уставах, принятых при Александре II. А ответственность за их нарушение уже была в Уголовном уложении.
После революции 1917 года термины были "забыты" ввиду конфликта с пришедшей идеологией. Лишь в Конституции 1936 года создали раздел, посвященный правам и свободам гражданина, в двух статьях которого содержались нормы о неприкосновенности личности, жилища и тайне переписки. Однако они "соседствовали" с официальной цензурой и стенографией телефонных переговоров.
В действующей сейчас Конституции 1993 года закреплено, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. На наш взгляд, можно говорить о том, что в России есть перекос в сторону избыточного регулирования. При этом штрафы за неисполнение законодательства существенные, поэтому появилась целая индустрия специалистов в этой области, но опять же их услуги не всегда по карману малому бизнесу.
В 2022 году в Закон "О персональных данных" были внесены очередные правки. Эти корректировки стали основанием для переработки форм согласий и политик у всех операторов, которые следят за изменениями.
С 1 сентября 2022 года согласие на обработку персональных данных стало более предметным, однозначным, соответствующим узким целям обработки данных, и оно должно быть получено путем совершения активных действий субъекта, даже если это просто проставление галочки в чек-боксе.
Политику необходимо размещать на первой странице сайта организации, и за несоблюдение этого требования полагается штраф. Сокращен срок реагирования на запросы субъектов о своих персональных данных - с 30 до 10 рабочих дней с возможностью продления до 15. Еще одно - компания не может отказывать в обслуживании, если клиент отказался предоставлять ей биометрические данные.
Последний существенный блок изменений в Закон "О персональных данных" вступил в силу с 1 марта 2023 года. Они коснулись сроков подачи уведомлений в Роскомнадзор об изменении обрабатываемых персональных данных.
Раньше нужно было сделать это в течение 10 дней с момента корректировки, а теперь - не позднее 15-го числа месяца. Теперь операторам нужно подтверждать этот факт: на бумажных носителях актом, а на электронных, например, журналом событий. Изменения коснулись полномочий Роскомнадзора при передаче информации за границу (теперь нужно спрашивать разрешение у ведомства, а не просто уведомлять). Это важно, если компания сотрудничает с иностранными партнерами.
Также с 1 марта 2023 года вступил в силу Приказ Роскомнадзора от 27.10.2022 N 178. Он обязывает операторов создавать акт, в котором прописываются возможные степени риска при работе с персональными данными. Кроме того, при утечке персональных данных оператор должен известить об этом Роскомнадзор, направив специальное уведомление.
Резюмируя вышесказанное, отметим, что законодательство в сфере защиты персональных данных постоянно усложняется, накладывая на бизнес все больше и больше обязательств. А активность Роскомнадзора по проведению проверок, в том числе по жалобам граждан, возрастает. При этом нельзя не отметить, что с развитием ИТ-технологий оборот информации увеличивается, и, значит, возрастает риск утечки.
Персональные данные фактически стали объектом гражданского оборота, информацией, используемой для создания цифровых продуктов и интернет-сервисов.
В информационном обществе их защита является актуальной проблемой. Это подтверждается данными Роскомнадзора в 2023 году. Роскомнадзор зарегистрировал увеличение числа утечек персональных данных в России по сравнению с предыдущим годом, но при этом отметил снижение общего числа записей, попавших в открытый доступ. По информации РКН, в прошлом году было выявлено 168 инцидентов, связанных с утечкой личных данных, в результате которых в интернет попало более 300 млн записей. Для сравнения, в 2022 году количество таких случаев составляло чуть более 140, но тогда в сеть утекло около 600 млн записей. При этом, по данным "Лаборатории Касперского", только за 2022 год в сеть могли попасть более 1,5 млрд записей о россиянах. Роскомнадзор также сообщил, что в 2023 году суды рассмотрели 87 дел, связанных с утечками персональных данных, и назначили штрафы на общую сумму свыше 4,6 млн рублей. Данные контрастируют с показателями 2021 года, когда было зафиксировано всего четыре крупные утечки, в результате которых в открытый доступ попали 2,7 млн записей. Резкий рост числа утечек персональных данных в России РКН связывает с началом конфликта между Россией и Украиной <1>.
--------------------------------
<1> Лосев В.В. Нарушение законодательства о защите персональных данных: административная и уголовная ответственность // Актуальные проблемы гражданского права. 2023. N 2 (22). С. 65.
Основными нарушителями права на защиту персональных данных являются кредитные организации, организации ЖКХ и коллекторские агентства, которые передавали или обрабатывали персональные данные потребителей без их согласия. Ведомство фиксирует, что доступ к персональным данным граждан неограниченному числу лиц предоставляют и владельцы интернет-сайтов и соцсетей.
На сегодняшний день, по информации с сайта Роскомнадзора, число операторов персональных данных составляет 941 846. Очевидно, что с развитием информационных технологий, все большей вовлеченностью человека в виртуальный мир информационных услуг и социальной коммуникации количество операторов (индивидуальных предпринимателей, иных юридических лиц) будет расти, а значит, право потребителя на защиту персональных данных будет и дальше являться объектом нарушений.
Персональные данные включают сведения о физическом лице, в том числе семейном положении, месте жительства, работы, образовании, национальности, о судимости и др. Сам Закон делит персональные данные на две группы: 1) так называемые "чувствительные", куда входят сведения о расе, национальности, политических взглядах и убеждениях, религиозных верованиях, состоянии здоровья, сексуальной жизни и др.; 2) биометрические персональные данные, которые могут включать, к примеру, фото- и видеоизображение, запись голоса, фото радужки глаза, анализ ДНК, рост, вес и др. В теории гражданского права учеными отмечается, что отсутствие категории "персональные данные" в ст. 128 ГК РФ в числе легально закрепленных объектов гражданских прав порождает проблему определения места персональных данных среди закрепленных в законе объектов гражданских прав и установления их правового режима <2>. Гражданское законодательство в действующей редакции исходит из необходимости охраны персональных данных в составе охраны частной жизни гражданина при осуществлении сбора, хранения, распространения и использования любой информации о ней как нематериального блага (п. 2 ст. 2 ГК РФ). В норме законодатель оговаривает, что частная жизнь человека включает, в частности, сведения о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни, что не исчерпывается этими данными. Так, правом на неприкосновенность частной жизни Конституционный Суд РФ признал предоставленную человеку и гарантированную государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера. А Пленум Верховного Суда РФ указал на исключения из запрета использования сведений о частной жизни лица, указанного в п. 1 ст. 152.2 ГК РФ. Он (запрет) не распространяется на случаи, когда их "собирание или распространение осуществляется в государственных, общественных или иных публичных интересах, а также в случаях, если сведения о частной жизни гражданина ранее стали общедоступными либо были преданы огласке самим гражданином или по его воле" <3>.
--------------------------------
<2> Оленин А.В. Проблемы правового регулирования в области защиты персональных данных в современных условиях и пути ее решения // Человек. Социум. Общество. 2022. N 10. С. 97.
<3> Карунная Я.А. Проблемы защиты персональных данных в условиях цифровой трансформации // Юридическая наука и практика. 2023. Т. 19. N 3. С. 51.
В теории гражданского права известны предложения ученых признать персональные данные нематериальным благом путем внесения в ГК РФ соответствующих изменений. И тогда персональные данные становятся объектом личного неимущественного права гражданина на защиту персональных данных, расширяется содержание гражданской правосубъектности. Неопределенность же правового режима персональных данных оказывает влияние на неправомерный их оборот. Отсюда представляет сложность выбор норм, применяемых к договорным обязательствам, когда их объектом являются персональные данные, а значит, и мер ответственности за нарушение права на их неприкосновенность.
Именно от нормативного регулирования, от объема и подходов регулирования персональных данных зависит то, насколько будет позволено третьим лицам иметь доступ, и в каком объеме смогут распоряжаться третьи лица личными и неотъемлемыми от человека персональными данными, которые по своей природе являются неимоверно уязвимой составляющей нашей повседневной жизни. Противоправные действия или же действия, превышающие необходимость сбора персональных данных, могут серьезно нарушать права человека, его близких, затрагивать иные интересы. Проблема использования персональных данных разных категорий очень остро стоит с этической точки зрения, начиная от данных о покупках, интересах пользователя, предпочтениях, паспортных данных, данных о членах семьи, о гражданском статусе, а также более существенные и ценные, особенно для преступников, медицинские данные, данные лица человека (биометрические данные), данные о его отпечатках пальцев и т.д.
Именно этический аспект в нормативном регулировании отношений с персональными данными стоит наиболее остро, наравне с правовыми вопросами об эвтаназии, абортах, биоэтике и прочем. В данном случае нормы права подстраиваются и принимаются исключительно для целей соблюдения конституционного права человека на личную жизнь, но конкурируют и с другими конституционными правами. Роль же суда - определить наиболее весомые права и увидеть обстоятельства, при которых на основе собственного мнения и отношения, на основе этических соображений принять то или иное решение, занять сторону того или иного лица в споре. Проблема этики по вопросам обработки персональных данных отражается в банальных житейских ситуациях, например при установке камер видеонаблюдения в подъезде, ведь фактически камера собирает информацию о том, кто, куда и с кем из жильцов подъезда выходит и направляется, а это уже нарушение этических правил и норм, или же это право жильца квартиры обеспечить свою безопасность. Это равнозначно тому, чтобы поставить человека с записной книжкой, который бы фиксировал все перемещения соседей. Подобные судебные споры не редкость и вызваны они быстрым развитием технологий и повсеместной доступностью для простого населения данных технологий, а также уязвимостью данных технологий перед кибершпионажем и прочими современными проблемами, в том числе этики. Так, Первым кассационным судом общей юрисдикции было рассмотрено дело от 16.02.2022 N 88-5317/2022. Ответчик с истцом являлись соседями по земельному участку. Ответчик сам, без согласия истца установил камеры видеонаблюдения на крыше и на углу своего дома, которые были направлены на участок истца и частично контролировали его двор. Истец настаивал, что установка ответчиком камеры видеонаблюдения нарушает его законные права на неприкосновенность частной жизни. Истец заявил судебное требование к ответчику снять камеры видеонаблюдения с дома, направленные на собственность истца. Суд первой инстанции удовлетворил требования истца и в обоснование своего решения отметил, что без правового обоснования и законной цели видеоконтроль за чужой территорией, а именно частной территорией, где находится жилое помещение истца, незаконен, является вмешательством в жизнь и нарушает права на уважение частной жизни истца. Суд апелляционной инстанции не согласился с такими выводами и посчитал, что ответчик реализует свое право на защиту имущества, а именно дома и земельного участка. В процессе реализации своих прав имеет право установить на принадлежащей ему территории и имуществе камеры видеонаблюдения. Выводы из решения суда: истец должен доказать нарушение своих прав на неприкосновенность частной жизни, а также доказать, что ответчик использует данные с камер незаконно, распространяет информацию, составляющую личную, семейную тайну, вмешивается в жизнь истца. Предоставление фотографий с камер видеонаблюдения не доказывает само по себе противоправность видеосъемки. Законом не запрещена установка камер для целей защиты своего имущества <4>.
--------------------------------
<4> Егин В.В. Правовая защита биометрических персональных данных в условиях цифровой экономики // Наукосфера. 2023. N 7-1. С. 99.
Анализируя вышепредставленную информацию, Первый кассационный суд общей юрисдикции не установил недобросовестности при осуществлении принадлежащих прав собственника имущества, поскольку установка на крыше и стене принадлежащего ответчику жилого дома видеокамер произведена в целях ее личной безопасности и сохранности принадлежащего ей имущества, что не является нарушением прав на неприкосновенность частной жизни, личную и семейную тайну. Руководствуясь ст. ст. 23, 24 Конституции Российской Федерации, ст. ст. 152.1, 152.2, 209 Гражданского кодекса Российской Федерации, положениями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", суд апелляционной инстанции пришел к правильному выводу о необходимости отказа в иске (о демонтаже камеры). То есть в данном случае суд встал на защиту интересов безопасности ответчика, мотивируя это правом собственности на объект, на который было установлено правомерно средство наблюдения. Этический факт того, что камера направлена и на чужой участок и может собирать круглосуточно данные, которые потом могут отсматриваться и даже использоваться в противоправных или аморальных целях, судом не учтен, а точнее, этот аспект суд посчитал не столь важным (необоснованным). Мы видим на примере данного дела, что несколько федеральных законов регулируют смежные правоотношения в данном споре - это и классические нормы ГК РФ, и нормы об информации в виде Закона о персональных данных. Процедуру сбора и обработки фото- и видеоизображений регламентирует Закон о персональных данных, определяя, что обработка персональных данных осуществляется с согласия на это субъекта (п. 1 ч. 1 ст. 6). В то же время, согласно ст. 209 ГК РФ, собственнику принадлежат права владения, пользования и распоряжения своим имуществом. И суд встает на сторону ответчика, ставя нормы права о собственности выше, чем этические нормы о сборе информации (персональные данные) человека, на участок которого направлена камера тоже.
Разделяемое нами мнение о персональных данных как личном нематериальном благе и необходимости легализации такого их понимания доказывается самим содержанием охраняемой информации о человеке - его жизни, здоровье, личной тайне и т.д., когда персональные данные характеризуют наличие банковских вкладов, сексуальную ориентацию, имеющуюся судимость или число объектов недвижимости.
Какие же действия являются нарушением права потребителя (клиентов банков, салонов красоты, онлайн магазинов, пациентов, пассажиров и др.) на защиту персональных данных и влекут гражданско-правовую ответственность? К таковым относится неправомерная передача персональных данных (распространение, предоставление, доступ), раскрывающая личные данные. Передача личных данных может осуществляться конкретному лицу или неопределенному кругу лиц (когда осуществляются так называемые "сливы" баз данных, информационных массивов). Для защиты персональных данных как личного неимущественного блага должны применяться те же меры ответственности, какие установлены законом за нарушение этих благ.
Судебная практика подтверждает применение к персональным данным потребителя режима нематериальных благ при условии согласия на обработку персональных данных. Для защиты прав потребителей применяются положения абз. 2 ч. 2 ст. 150 "Нематериальные блага", ст. 151 "Компенсация морального вреда", п. 3 ст. 152.1 "Охрана изображения гражданина", п. 4 ст. 152.2 "Охрана частной жизни гражданина" ГК РФ. Причем для применения мер гражданско-правовой защиты является достаточным доказать истцу факт нарушения его права на неприкосновенность персональных данных, к примеру путем их распространения. Так, Л. обратился в суд с иском, ответчиком по которому выступала городская больница. Истец требовал взыскания компенсации морального вреда и судебных расходов, приводя следующие обоснования. Получив на производстве травму, он был доставлен бригадой скорой медицинской помощи в больницу, где проходил лечение. Работник больницы с телефона (N) без согласия истца в мессенджере "Ватсап" выслал его сожительнице фотографию медицинской карты стационарного больного, где содержатся его персональные данные и сведения о диагнозе - гепатит C. Об этом диагнозе истец не рассказывал сожительнице, которая, узнав о нем, решила с ним расстаться. По вине сотрудника больницы у истца распалась семья. Центральный районный суд г. Комсомольска-на-Амуре удовлетворил иск и взыскал с больницы в пользу Л. денежную компенсацию морального вреда и судебные расходы. В своем решении он указал, что разглашение персональных данных, включая сведения, составляющие врачебную тайну, допускаются только с письменного согласия гражданина или его законного представителя. Как установлено в судебном заседании, фотография титульного листа медицинской карты истца содержит его персональные данные, а именно год и место рождения, семейное положение, место работы, адрес, телефон, дату поступления в больницу, его диагноз. Изображение полностью совпадает с оригиналом карты пациента <5>.
--------------------------------
<5> Егин В.В. Правовая защита биометрических персональных данных в условиях цифровой экономики // Наукосфера. 2023. N 7-1. С. 101.
Гражданско-правовая ответственность направлена не только на возмещение убытков и компенсацию морального вреда. Другим требованием потребителей при незаконной обработке персональных данных выступает их физическое уничтожение, в том числе на материальных носителях, в случае если они используются ответчиком без согласия владельца. Так, во время нахождения Б. в магазине парфюмерии и косметики сотрудниками магазина были сделаны фотографии торгового зала с витриной, на которых были изображения истца в момент покупки товара. Из искового заявления следует, что истица предупреждала сотрудников о том, что она не дает своего согласия на публичное размещение своего фотографического изображения. Однако на здании, в котором расположен магазин "...", размещен баннер с ее фотографическим изображением. Истец Б. считает использование своего изображения на рекламном баннере нарушением права на охрану персональных данных, поскольку она в силу ст. 152.1 ГК РФ не давала согласия на его размещение. Ленинский районный суд г. Оренбурга, рассмотрев иск Б. о компенсации морального вреда за неправомерное использование изображения, удовлетворил его. Ответчик не представил доказательств того, что Б. дала согласие на размещение фотографии с ее изображением на рекламном баннере. Суд не принял и доводы ответчика о том, что фото Б. не является основным объектом изображения. Истец является единственным на фотографии, его лицо расположено в центре плаката крупным планом, что требовало согласия на его использование. Тот факт, что истица позирует фотографу, не означает, что она согласилась на использование ее изображения в рекламе магазина. Судом удовлетворено и требование в части осуществления демонтажа и уничтожения рекламного баннера с изображением истца.
При рассмотрении исков о защите персональных данных потребителя суды исходят из самого факта нарушения неприкосновенности персональных данных или факта их незаконной передачи третьим лицам без согласия потребителя. В зависимости от обстоятельств нарушения суды дают оценку правомерности предоставленного доступа к персональным данным или их использования. Согласно проведенному исследованию практика не определилась в позиции, следует ли однозначно устанавливать конкретный перечень третьих лиц, которым могут быть переданы персональные данные потребителя, нарушается ли право потребителя в случае отсутствия у него возможности отказаться от передачи персональных данных третьим лицам. Суды должны учитывать при этом, использовались ли персональные данные потребителя для исполнения его обязательств как стороны договора. Законодатель не определил персональные данные в качестве гражданско-правовой категории. Для обеспечения надлежащего восстановления прав истца по делам этой категории следует признать персональные данные личными нематериальными благами, что позволит признавать их объектом личного неимущественного права.
