О злоупотреблении нормами Закона о персональных данных и о том, как рынок ждет разъяснений РКН
С 30.05.2025 начали применяться более строгие наказания за непредставление Роскомнадзору ряда уведомлений. Операторам персональных данных грозят крупные штрафы по КоАП РФ за действия (бездействие), из-за которых произошла незаконная передача этих сведений. Практика применения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон 152-ФЗ) постепенно набирает обороты. При этом государство и компании обеспокоены возросшим числом кибератак. Госдума РФ и Правительство РФ продолжают работу над законодательными мерами для защиты информационной инфраструктуры и персональных данных граждан (включая оборотные штрафы) в этой сфере).
Однако по мере роста общего уровня "просвещенности" граждан насчет своих прав в сфере защиты персональных данных (далее также - ПД) наблюдается, к сожалению, тенденция к злоупотреблениям в этой сфере - а именно: когда какой-либо субъект прикрывает свое недобросовестное или откровенно противозаконное поведение нормами Закона 152-ФЗ, ссылаясь на невозможность/незаконность обработки своих ПД без его согласия (которое он, естественно, не дает).
Уже широко известными стали т.н. "тролли" - вымогатели, паразитирующие на нормах Закона 152-ФЗ, который во многих местах написан не ясно и не конкретно, провоцирующие или подыскивающие случаи обработки и использования их ПД без зафиксированного предварительного согласия на это и далее требующие неофициально заплатить им незаконное отступное под страхом скандала и жалоб в различные надзорные ведомства. Зачастую речь идет о не имеющих никакой общественной опасности в т.ч. непреднамеренных действиях и ситуациях, только на первый взгляд кажущихся нарушениями.
Подобный "троллинг", а равно и иные случаи претензий со стороны субъекта ПД в адрес компании-оператора пусть и без злонамеренной цели, но приводящие к блокированию обычных и разумных хозяйственных операций, становятся проблемой для добросовестного бизнеса. И потому в конфликтах института защиты ПД с другими правовыми институтами государству неизбежно надо подбирать баланс, "амортизируя" требования к операторам ПД различными послаблениями и исключениями, когда им не требуется соблюдать формальности при сборе согласий на обработку ПД (ч. 1 ст. 6 Закона 152-ФЗ).
Проблема заключается в том, что отдельные основания обработки ПД без соблюдения формальностей, т.е. того самого сбора согласий субъектов, прописаны в законе непонятно и неконкретно, вследствие чего со стороны предпринимателей чувствуется серьезный запрос на разъяснения РКН о границах их допустимого применения. Приведем пару примеров:
Пример первый: в Законе 152-ФЗ есть положения п. 7 ч. 1 ст. 6 о праве оператора обрабатывать ПД без согласия для реализации своего законного интереса или в общественно значимых целях при условии, если этим не нарушаются права субъекта ПД. Но при этом нет ясности, прежде всего, что в данном случае понимается под нарушением прав (да и всякий ли законный интерес оператора является достаточным резоном для применения данной нормы)
Пример второй: в рассматриваемом законе содержатся положения п. 2 ч. 1 ст. 6 о праве оператора обрабатывать ПД без согласия для достижения целей, предусмотренных законом. Однако категория "предусмотренных законом целей" очень широка и не сопровождается необходимым уточнением, любая ли законная цель оправдывает отсутствие согласия субъекта ПД.
На данный момент ситуация выглядит тревожно, если не сказать угрожающе. С одной стороны, КоАП РФ в ст. 13.11 установлены весьма существенные штрафы за обработку ПД без согласия субъекта (когда оно требуется) - они исчисляются сотнями тысяч рублей за каждый такой случай.
С другой стороны, среднестатистическая российская компания обрабатывает личные данные граждан постоянно и во множестве ситуаций, в т.ч. в таких, когда контакт с гражданином является обычным и заурядным, причем согласно контексту с очевидностью не нарушает прав гражданина (роспись в журнале посещений, сообщение контактного e-mail бухгалтером компании для обмена документами с контрагентом по сделке и т.д.).
В такой ситуации очевидно, что для компаний важно предельно четко понимать, обязательно ли в тех или иных конкретных рабочих ситуациях обременять себя и самих граждан формальным сбором согласий ("дамоклов меч").
Но, к сожалению, как это было показано на примерах, неопределенность сохраняется. При этом есть потребность в дополнительных разъяснениях РКН на этот счет, которые помогли бы добронамеренным предпринимателям, обрабатывающим ПД, правильно спланировать объем ресурсов, направляемых на соблюдение нормативных формальностей, и предотвратить огромные риски у тех, кто решается интерпретировать закон в свою пользу.
Неопределенность, по нашему мнению, существенная, потому что все-таки в отдельных немногочисленных ситуациях механизмы Закона 152-ФЗ из двух приведенных примеров выше действуют с очевидностью благодаря специальному правовому регулированию, присущему именно этим ситуациям. Чтобы наглядно продемонстрировать механизм действия п. 2 ч. 1 ст. 6 Закона 152-ФЗ "в связке" с таким специальным правовым регулированием, рассмотрим пример - сбор и обработка ПД в целях защиты прав на результаты интеллектуальной деятельности (далее так же - РИД). Зачастую такая защита осуществляется через технические средства защиты авторского права, под которыми закон понимает любые технологии, технические устройства или их компоненты, контролирующие доступ к произведению, предотвращающие либо ограничивающие осуществление действий, которые не разрешены автором или иным правообладателем в отношении произведения (п. 1 ст. 1299 ГК РФ).
Типичными техническими средствами указанной защиты является обязательная авторизация пользователя через ввод ФИО и, возможно, иных данных (номера телефона, адреса электронной почты и т.п.) перед началом работы с лицензионным программным обеспечением, особенно многопользовательским. Подобная авторизация обычно имеет своей целью не только и не столько маркетинг (инструмент коммерческого распространения доступов к софту), а устанавливается в целях предотвращения неправомерного использования программного обеспечения, т.е. общественно опасного деяния - правонарушения (ст. 7.12 КоАП РФ) и даже преступления (ст. 146 УК РФ).
Очевидно, что в условной ситуации, когда работником клиента оператора ПД - покупателя лицензионной программы, является "тролль", у него отсутствуют шансы на успешный шантаж оператора (правообладателя или уполномоченных им на реализацию технических мер защиты лиц - например, вендоров) незаконной обработкой его ПД без согласия на это. Ограничение злоупотреблений возможно благодаря специальному правовому регулированию - норме п. 1 ст. 1299 ГК РФ, устанавливающей в качестве законной цели применение соответствующих технических мер "самозащиты", в данном случае, авторизации пользователей. Т.е. если подобный "тролль" сначала авторизовался в программе, купленной его работодателем, оставив там свои ФИО, контактный телефон и e-mail, а затем обвиняет правообладателя в обработке ПД без соответствующего согласия с его стороны, то правообладатель может со ссылкой на п. 2 ч. 1 ст. 6 Закона 152-ФЗ пояснить, что данные обрабатываются с целью контроля использования РИД согласно ст. 1299 ГК РФ, т.е. с предусмотренной законом целью (при условии, что обработка ПД действительно ею ограничивается), и следовательно, согласие не требовалось.
Такая правовая конструкция коррелирует с основополагающим принципом гражданского законодательства - гражданские права могут быть ограничены на основании федерального закона и только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (п. 2 ст. 1 ГК РФ). И, напротив, действия "тролля" в описанной ситуации подпадают под п. 1 ст. 10 ГК РФ и должны квалифицироваться с учетом п. п. 2 и 3 ст. 10 ГК РФ как действия в обход закона с противоправной целью с отказом в правовой защите соответствующих требований.
Но, к сожалению, приведенный пример хотя и демонстрирует саму логику Закона 152-ФЗ, который содержит исключения из правила об обязательном сборе согласий на обработку ПД, но в масштабах экономики рассматриваемую проблему (т.е. неопределенность с правовым регулированием деятельности операторов ПД) не снимает. Сам по себе этот пример является исключением, т.к. не всегда мы можем найти очевидные законные основания правильного применения положений п. 2 ч. 1 ст. 6 Закона 152-ФЗ, которые отсылают к другим отраслям права.
Отметим также, что в отдельных случаях положения Закона 152-ФЗ прямо исключают применение норм законодательства о защите персональных данных к отдельным правоотношениям. Например, в силу ч. 3 ст. 1 Закона 152-ФЗ предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации". Но тут-то проявляется еще одна грань проблемы неопределенности с правовым регулированием деятельности операторов ПД. Даже несмотря на неоднократно озвученные позиции центрального аппарата РКН, в отдельных случаях территориальные подразделения РКН по-своему трактуют положения п. 2 ч. 1 ст. 6 Закона 152-ФЗ, что приводит к неоднообразной правоприменительной практике и указывает на недостаточность только устных заявлений со стороны РКН <1>.
--------------------------------
<1>
Указанную правовую неопределенность и проблему с неоднообразной правоприменительной практикой по п. 2 ч. 1 ст. 6 Закона 152-ФЗ со стороны территориальных подразделений РКН помог бы решить регулярный выпуск официальных разъяснений со стороны центрального аппарата РКН.
