Образовательные организации как операторы обработки персональных данных: проблемы защиты конституционного права на частную жизнь
В условиях необходимости обеспечения технологического суверенитета России защита персональных данных наших граждан приобретает особую актуальность. Автор анализирует проблемы, с которыми сталкиваются образовательные организации как операторы обработки персональных данных. Предлагается изменить вектор трансформации регулирования, с ужесточения ответственности операторов персональных данных на принятие мер по усилению защиты и безопасности персональных данных.
Ключевые слова: образовательные организации, персональные данные, частная жизнь, Роскомнадзор, операторы обработки, защита.
In the context of the need to ensure the technological sovereignty of Russia, the protection of personal data of our citizens is particularly relevant. The author analyzes the problems faced by educational organizations as operators of personal data processing. It is proposed to change the vector of regulatory transformation - from tightening the responsibility of personal data operators to taking measures to strengthen the protection and security of personal data.
Key words: educational organizations, personal data, privacy, Roskomnadzor, processing operators, protection.
Стремительное развитие глобальной сети в настоящее время во многом изменило поведение граждан и открыло новые возможности для преобразований общественных отношений во всех сферах жизнедеятельности человека <1>. Наиболее незаменимыми цифровые технологии оказались в таких сферах, "как труд, образование, развлечения, покупки и доступ к услугам" <2>. Переход на цифровые платформы так или иначе приводит к необходимости предоставления пользователем своих персональных данных. В противном случае такой субъект персональных данных не сможет воспользоваться цифровым ресурсом (платформой).
--------------------------------
<1> См. подробнее: Артемова С.Т. Влияние цифровизации на развитие доктрины конституционного права // Конституционное и муниципальное право. 2023. N 3. С. 9 - 13.; Балаян Э.Ю. Влияние цифровизации на формы реализации конституционных прав человека в России // Конституционное и муниципальное право. 2023. N 10. С. 34 - 40. DOI: 10.18572/1812-3767-202310-34-40.
<2> Mesa D. Digital Divide, e-Government and Trust in Public Service: The Key Role of Education // Frontiers in Sociology. 2023. 21 February.
В соответствии с п. 1 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) под ними понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) <3>. Следовательно, персональные данные стоит понимать как личную информацию человека, связанную с его частной жизнью (ст. 23 Конституции России гарантирует ее неприкосновенность). Вместе с тем сам по себе факт выражения добровольного согласия лица на использование его данных не равен автоматическому нарушению прав, но все меняется, как только сама цифровая платформа окажется в бесконтрольном самостоятельном существовании либо будет подвергнута хакерским атакам.
--------------------------------
<3> Федеральный закон от 27 июля 2006 г. N 152-ФЗ (ред. от 08.08.2024) "О персональных данных" // СЗ РФ. 2006. N 31 (ч. 1). Ст. 3451.
Так, по состоянию на начало 2024 г., по сравнению с первым полугодием 2023 г., наблюдается рост попадания в открытый доступ записей, относящихся к персональным данным граждан России - в 2,3 раза: свыше 510 миллионов записей - 334 инцидента произошло за полугодие 2024 г., 146 инцидента - за первое полугодие 2023 г. <4>. С января по ноябрь 2024 г. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) установила 127 случаев распространения в сети Интернет баз данных, содержащих более 680 миллионов записей <5>; за весь 2023 г. зафиксировано 168 таких "утечек" персональных данных (в Сеть попали порядка 300 миллионов записей), а в 2022 г., после начала специальной военной операции, в свободный доступ попали 600 миллионов записей о гражданах РФ - более 140 инцидентов <6>.
--------------------------------
<4> Количество утечек персональных данных в 2024 г. удвоилось.
<5> Общественный совет подвел итоги работы в 2024 г.
<6> В Роскомнадзоре заявили, что с начала 2024 года в Сеть утекли 510 млн записей о россиянах.
Таким образом, в России на протяжении последних нескольких лет наблюдается проблема защиты операторами персональных данных субъектов в сети "Интернет" <7>. По закону именно оператор обработки персональных данных или другое лицо по поручению оператора с согласия субъекта персональных данных несет за это ответственность. Понятие оператора имеет законодательное закрепление. Так, под оператором понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными <8> (далее - оператор).
--------------------------------
<7> Лачина Е.А., Кузнецова И.А., Носова Е.В. Проблемы защиты персональных данных в сети "Интернет" // Ученые записки. 2021. N 1 (37). С. 114.
<8> Федеральный закон от 27 июля 2006 г. N 152-ФЗ (ред. от 08.08.2024) "О персональных данных" // СЗ РФ. 2006. N 31 (ч. 1). Ст. 3451.
Закон о персональных данных определяет обязанности операторов, которые они должны выполнять, независимо от включения их в реестр операторов Роскомнадзором (глава 4). В частности, они должны уведомлять Роскомнадзор об обработке персональных данных, принимать политику обработки персональных данных, осуществлять обработку, хранение, блокировку, уточнение, предоставление персональных данных и др. Среди множества организаций, выполняющих функции операторов, к ним относятся и образовательные организации (субъекты персональных данных: учащиеся, законные представители учащихся, работники, родственники работников, контрагенты) <9>. Значит, на образовательные организации в равной мере распространяются положения об административной (на должностных лиц) и уголовной ответственности за нарушения российского законодательства в области персональных данных.
--------------------------------
<9> Памятка по обработке персональных данных образовательными учреждениями // Официальный сайт Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Кемеровской области - Кузбассу.
Выделим основные проблемы, с которыми, по-нашему мнению, сталкиваются образовательные организации как операторы.
Во-первых, увеличение числа "утечек" персональных данных (неправомерное распространение <10>) стало поводом для разработки на федеральном уровне нормативных положений, изменяющих отечественное законодательство. В первую очередь это касается внесения поправок в Кодекс Российской Федерации об административных правонарушениях, с целью ужесточить ответственность организаций, допустивших попадание в открытый (публичный) доступ записей персональных данных. Принят Федеральный закон от 30 ноября 2024 г. N 420-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях", вступающий в силу с 30 мая 2025 г. <11>. Закон предусматривает установление повышенных административных штрафов <12>. Как следует из пояснительной записки к проекту указанного федерального закона, существующие размеры штрафов не соотносятся с потенциальными последствиями от случившихся утечек. Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений <13>.
--------------------------------
<10> Жернова В.М. Правовой режим информационных систем: Дис. ... канд. юрид. наук. Челябинск, 2017. С. 144.
<11> Федеральный закон от 30 ноября 2024 г. N 420-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" // Официальный интернет-портал правовой информации.
<12> Например, в настоящее время минимальная сумма административного штрафа за утечку персональных данных для юридических лиц составляет 60 000 руб. (ч. 1 ст. 13.11 КоАП РФ), а с 30 мая 2025 г. сумма минимального административного штрафа за данное правонарушение составит для юридических лиц 150 000 руб.
<13> Законопроект N 502104-8 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части усиления ответственности за нарушение порядка обработки персональных данных)" // Система обеспечения законодательной деятельности.
Вместе с тем действующие и будущие размеры административных штрафов для операторов не направлены на решение проблемы восстановления нарушенных прав субъектов персональных данных, чьи данные попадают в открытый доступ записей, относящихся к персональным данным граждан России. Штраф как административная санкция, установленная государством за совершение административного правонарушения, по-нашему мнению, только косвенно влияет на предупреждение совершения новых правонарушений. Данный штраф носит лишь "карательный" характер и взыскивается в пользу государства <14>. Применение такой меры в отношении операторов - образовательных организаций автоматически не восстанавливает нарушенные права обучающихся, их родителей (законных представителей) как субъектов персональных данных на неприкосновенность их частной жизни. Данные лица вправе лишь в порядке гражданского судопроизводства требовать от оператора обработки персональных данных компенсации морального вреда, возмещения убытков за совершение нарушений законодательства Российской Федерации в области персональных данных, что в настоящее время также стало затруднительным в виду увеличения с 9 сентября 2024 г. размеров государственных пошлин, которые необходимо уплачивать при подаче в суд исковых заявлений имущественного характера <15>.
--------------------------------
<14> Василенко Г.Н., Виноградов И.А. Административный штраф как вид административного наказания // Актуальные проблемы административного права и процесса. 2019. N 1. С. 13.
<15> Федеральный закон от 8 августа 2024 г. N 259-ФЗ "О внесении изменений в части первую и вторую Налогового кодекса Российской Федерации и отдельные законодательные акты Российской Федерации о налогах и сборах" // СЗ РФ. 2024. N 33 (ч. I). Ст. 4955.
Вместе с тем имеют место ситуации, когда обучающиеся, их родители (законные представители) в реальности не испытывают физические или нравственные страдания, не имеют реальный ущерб и упущенную выгоду от возникающих утечек их данных. Однако это не может означать, что их конституционные права на неприкосновенность частной жизни не нарушены, а значит, не подлежат восстановлению.
Во-вторых, исходя из положений Гражданского кодекса РФ и разъяснений Верховного Суда РФ, суд определяет размер компенсации морального вреда, учитывая степень "вины оператора и степень страданий субъекта персональных данных" <16>. Объем убытков коррелирует с доказанностью наступления вреда, противоправности поведения и вины в действиях оператора, допустившего неправомерное распространение данных. При этом вина оператора обработки персональных данных за утечку таких данных презюмируется.
--------------------------------
<16> Статьи 151, 1101 Гражданского Кодекса Российской Федерации, п. 24 Постановления Пленума Верховного Суда Российской Федерации от 15 ноября 2022 г. N 33.
Анализ судебной практики показывает, что в настоящее время, несмотря на то, что утечка персональных данных зачастую осуществляется неустановленными третьими лицами в результате получения несанкционированного доступа к базе данных, суды квалифицируют содеянное операторами обработки персональных данных по ч. 1 ст. 13.11 КоАП РФ и признают их виновными в совершении данного административного правонарушения. Штраф обычно минимальный - 60 000 рублей <17>.
--------------------------------
<17> Постановление Мирового судьи судебного участка N 383 Мещанского района города Москвы по делу об административном правонарушении от 13 сентября 2023 г. N 5-1200/2023 (Университет "Синергия"); постановление Мирового судьи судебного участка N 387 Басманного района города Москвы по делу об административном правонарушении от 10 мая 2023 г. N 5-463/2023 (НИУ "Высшая школа экономики"); Постановление Мирового судьи судебного участка N 425 района Хамовники города Москвы по делу об административном правонарушении от 12 декабря 2022 года N 5-1728/2022 (АНО ДПО "Образовательные технологии Яндекса").
Деяние подпадает под состав административного правонарушения по ч. 1 ст. 13.11 КоАП РФ в случае попадания персональных данных в публичное пространство. Практика свидетельствует, что "ответственность наступает за фактическую утечку данных, а должна - за необеспечение должной конфиденциальности персональных данных субъектов либо за непринятие или принятие недостаточных мер по защите персональных данных" <18>. В административно-деликтной практике существует принцип объективного вменения - когда вины нет, но юридическое лицо привлекается к ответственности. Учитывая факт увеличения случаев хакерских атак, приходим к выводу, что абсолютно любое лицо, являющееся оператором обработки персональных данных, может стать жертвой таких злоумышленников и оказаться привлекаемым лицом по делу об административном правонарушении с назначением санкции в виде штрафа (ст. 13.11 КоАП РФ).
--------------------------------
<18> Айрапетян М. Утечка персональных данных - что грозит компании и к чему готовиться в суде?
В-третьих, применение административного штрафа как административного наказания следует скорректировать на предмет соразмерности и возможности его исполнения лицами, привлеченными к административной ответственности.
В частности, проблема исполнения административного наказания по уплате даже минимального штрафа в размере 60 000 руб., а с 30 мая 2025 г. - 150 000 руб., является краеугольной для образовательных учреждений, расположенных в сельской местности и небольших городских населенных пунктах. Бюджет данных школ в установленные судом сроки по исполнению наказания не позволяет выделить статью расходов для уплаты штрафов. В подобных случаях наказания исполняются непосредственно директорами за счет личных денежных средств. Такая ситуация с финансовой составляющей ставит образовательные организации в наиболее уязвимое положение.
Полагаем, что целесообразно будет вернуть в ст. 13.11 КоАП РФ <19> такой вид административного наказания, как предупреждение (существовал до 27 марта 2021 г.), а существующие размеры штрафов по данной статье сохранить в действующей редакции. Компенсацию оператором предполагаемого вреда, причиненного субъектам персональных данных, стоит характеризовать как смягчающее административную ответственность обстоятельство, и учитывать как условие назначения административного наказания в виде предупреждения.
--------------------------------
<19> Незаконная (несовместимая с заявленными целями) обработка персональных данных.
Такая правовая траектория направлена на восстановление или же компенсацию нарушенных прав субъектов персональных данных, что в российском государстве является первостепенным, учитывая положения ст. 2 Конституции РФ о признании человека, его прав и свобод высшей ценностью. Для этого Роскомнадзору необходимо разработать Методические рекомендации по определению размеров таких компенсаций в зависимости от количества и видов попавших в открытый доступ персональных данных субъектов <20>. Также государству со своей стороны необходимо оказывать поддержку операторам по обеспечению информационной безопасности персональных данных, в первую очередь государственным и муниципальным образовательным учреждениям.
--------------------------------
<20> В этом вопросе мы солидарны с позицией Жерновой В.М., но предлагаем авторское видение классификации. Жернова В.М. Указ. соч. С. 150.
Не должна презюмироваться абсолютная ответственность операторов по охране персональных данных со стороны публичной власти. Государству следует выработать политику по ускоренной разработке и внедрению в образовательные учреждения отечественного программного обеспечения с усиленной защитой пользователя (аккаунта) от возможных "утечек" данных. Такие меры одновременно будут направлены и на достижение технологического суверенитета страны <21>.
--------------------------------
<21> В частности, во исполнение принятого 28 декабря 2024 г. Федерального закона от N 523-ФЗ "О технологической политике в Российской Федерации и о внесении изменений в отдельные законодательные акты Российской Федерации", который вступит в законную силу с 27 июня 2025 г. // Официальный интернет-портал правовой информации.
В-четвертых, на практике прослеживается тенденция по сокрытию операторами персональных данных от Роскомнадзора фактов возможных или реальных "утечек" персональных данных. Это связано с возможным привлечением операторов к ответственности, назначении штрафов, невозможности приобретения и осуществления поддержки дорогостоящего софта. Так, в образовательных организациях встречаются случаи, когда из базы данных электронного дневника школьника - унифицированного сервиса, разработанного в рамках федеральной государственной информационной системы "Моя школа" <22>, пропадают данные СНИЛСов родителей (законных представителей) учеников школы. Это приводит к невозможности осуществления входа в электронный дневник ребенка, поскольку доступ предоставляется исключительно законному представителю по номеру его СНИЛСа. Конечно, такая ситуация прямо не свидетельствует о совершении хакерской атаки, повлекшей "утечку" номеров СНИЛСов родителей, но может быть признаком нарушения оператором законодательства в области персональных данных, о которых он умалчивает.
--------------------------------
<22> Постановление Правительства РФ от 13 июля 2022 г. N 1241 (ред. от 22.09.2023) "О федеральной государственной информационной системе "Моя школа" и внесении изменения в подп. "а" п. 2 Положения об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме" // СЗ РФ. 2022. N 29 (ч. III). Ст. 5497.
С учетом изложенного сделаем следующие выводы. На федеральном уровне должно разработать политику по обеспечению информационной безопасности персональных данных, направленную, прежде всего, не на ужесточение ответственности операторов, а на принятие мер по усилению защиты и безопасности персональных данных. Причем в первую очередь тех данных, которые находятся в базах образовательных организаций различного уровня. Тогда можно будет говорить о формировании в России системного подхода к предотвращению правонарушений в сфере персональных данных. Такие меры, как уже упомянуто выше, должны выражаться в осуществлении расходов по ускоренной разработке и внедрению в образовательные учреждения отечественного программного обеспечения с усиленной защитой пользователя от возможных "утечек" данных. Полагаем, что такое государственное участие будет являться реальной помощью и содействием в области защиты персональных данных граждан Российской Федерации.
