К вопросу правового регулирования охраны персональных данных

В соответствии с Конституцией Российской Федерации, персональные данные, относящиеся к тайне личной жизни, являются неприкосновенными. Однако, требования сохранения их конфиденциальности зачастую не выполняются или выполняются не в полном объеме. По данным Федеральной службы по надзору в сфере связи и массовых коммуникаций (Роскомнадзора), который с 2009 года осуществляет мониторинг соблюдения законодательства о персональных данных, в 2022 году было оформлено 220 предписаний о выявленных нарушениях в работе операторов персональных данных.

По подсчетам этого ведомства, в зависимости от активности в Интернете и социальных сетях, сведения о каждом гражданине РФ содержатся как минимум в десяти базах данных. Наибольшее число таких баз данных может превышать сто. По оценке того же регулятора, более восьмидесяти процентов операторов собирают, обрабатывают и хранят персональные данные с нарушением законодательства.

По данным исследования группы компаний InfoWatch, специализирующейся на разработке IT-решений для обеспечения информационной безопасности организаций, защита персональных данных в России остается на достаточно низком уровне, несмотря на усилия законодателей. В этом Россия повторяет общемировой опыт. В обзоре приведена интересная статистика, показывающая, что утечки персональных данных в первом полугодии 2022 года, по сравнению с 2021 годом, в России и в мире были связаны с умышленными действиями внутреннего характера. Но в России тенденция показывает их сокращение, а в мире количество таких правонарушений растет [5, с. 12].

Возможно, эта положительная для России тенденция объясняется последними изменениями в правовом регулировании защиты персональных данных. Хотя сохраняется много вопросов в толковании самого понятия этого правового института и правоприменительной практике по делам, связанным с утечкой таких сведений.

По мнению С.И. Нагорного, В.В. Донцова, А.В. Михайлова, институт персональных данных является комплексным, поскольку нормы его защиты содержатся в ряде специализированных законов [4, с. 48]. Например, статья 857 ГК РФ гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте (банковская тайна). Налоговую тайну, в соответствии со статьей 102 НК РФ, составляют любые полученные налоговым органом, органами внутренних дел, органом государственного внебюджетного фонда и таможенным органом сведения о налогоплательщике.

В качестве примеров можно привести нормы законов «Об адвокатской деятельности и адвокатуре в РФ», «Об основах нотариальной деятельности в Российской Федерации». В них к адвокатской и нотариальной тайне относятся любые сведения, которые стали известны представителям данных профессий в связи с оказанием услуг своим доверителям.

«Основы законодательства РФ об охране здоровья граждан» прямо указывают, что гражданину должна быть подтверждена гарантия конфиденциальности передаваемых их сведений. А информация об оказании врачебной помощи составляет врачебную тайну (ст. 61 указанного выше норамативого акта).

Очевидно, что персональные данные являются частью той информации, которую клиент сообщает о себе в рамках профессионального общения со специалистом. В таком случае, предметы регулирования и охраны перечисленных законов и закона «О персональных данных» частично совпадают. Их отличия состоят в том, что служебная тайна определяет в качестве основного объекта защиты все же ту личную информацию, которая относится к непосредственным задачам профессиональной деятельности адвокатов, врачей и иных специалистов.

Не всегда конфиденциальность персональных данных требует охраны. Интересен в этом отношении пример судебной практики. Гладышева М.А. обратилась в суд с иском к ООО «МедОтзовик» для защиты персональных данных и взыскании компенсации морального вреда. Истец указала суду, что информация о ней, представленная на сайте и отражающая основные этапы ее профессиональной деятельности, текущее место работы и должность, вредит ее деловой репутации, поскольку, отзывы о ее работе, оставляемые посетителями сайта, в основном носят отрицательный характер.

Истец просила суд обязать прекратить обработку персональных данных и удалить из сети «Интернет» ее профиль, поскольку на ее обращение к провайдеру ответа не последовало и он продолжил, незаконную, по мнению Гладышевой, обработку и ис- пользование сведений, относящихся к персональным данным.

Суд решил исковые требования Гладышевой М.А. о возложении обязанности прекратить обработку персональных данных и удалении из сети с сайта ее профиля и взыскании компенсации морального вреда и понесенных расходов оставить без удовлетворения.

Данное решение было мотивировано тем, что данные о медицинских работниках официально публикуются на сайте медицинских организаций и являются общедоступными. Наличие потребности общества в раскрытии персональных данных лиц, занимающихся медицинской деятельностью, обусловлено публичным характером этой деятельности. Поскольку сайт «МедОтзовик» воспроизвел информацию о специалисте, размещенную на официальном сайте лечебного областного учреждения, то он не нарушил ее права и законные интересы.

Специальный федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006, регулирующий правоотношения в сфере сбора, хранения и использования персональных данных, относит к таким сведениям любые данные, относящиеся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Такое определение представляется очень широким, относимым к большому кругу сведений. Однако, такое общее определение ведет в возникновение спорных вопросов в судебной практике. Например, можно ли отнести к персональным данным фотографию человека, размещенную в сети Интернет без его разрешения? Данный институт регламентируется авторским правом, правом человека на изображение. Однако, к персональным данным данный объект также может быть отнесен, поскольку по нему можно идентифицировать индивида.

Второй пример – IP персонального компьютера, который фигурирует как средство определению владельца данного устройства, то есть как идентифицирующий признак. Возникает вопрос, можно ли отнести данный номер к персональным данным, если он непосредственно относится только к техническому устройству, которое мог использовать в своих неправомерных действиях другой человек, имеющий к нему доступ.

Наконец, третий пример такой информации – адрес электронной почты, которую сам человек указал в качестве своего личного почтового ящика. В настоящее время суды склоняются к признанию данной информации персональными данными, поскольку почтовый ящик защищен паролем и его использование посторонними без ведома владельца затруднительно.

Данные обстоятельства привели к разработке российскими исследователями собственных определений этого правового института.

В частности, М.В. Бундин пошел по пути перечисления тех объектов, которые могут относится к персональным данным: это сведения о физическом лице, в том числе его фамилия, имя, отчество, дата и место рождения, адрес проживания, семейное, социальное, имущественное положение, образование, профессия, доходы, а также другая информация. Второй признак, выделяемый Бундиным – представленность в формализованном виде, пригодном для обработки, в первую очередь автоматизированной, полностью или частично [2, с. 128].

И.Л. Бачило, Л.А. Сергиенко, А.Г. Агрешев подчеркивают в данном ими определении персональных данных элемент свободной воли индивида, которые сообщают о себе определенные сведения в соответствии с целями, которые диктует необходимость жизнедеятельности данного индивида или соответствующего государства и государственных структур[1, с. 21].

С.Д. Ковалев обобщил данные признаки. В его определении к персональным данным относятся данные и метаданные, созданные субъектом и о нем, напрямую или косвенно характеризующие субъекта, позволяющие его идентифицировать, формируемые и представляемые субъектом самостоятельно или на основе закона в процессе контакта с иными субъектами, общественными или частными структурами[3, с. 37].

В соответствии с законом, персональные данные могут быть в неограниченном доступе, если субъект этих сведений дал согласие на их распространение. В ином случае, данная информация относится к информации ограниченного доступа и последние изменения в законе о персональных данных ужесточили требования к операторам персональных данных.

Оператор обязан сообщать об утечке персональных данных в Роскомнадзор в течение 24 часов со времени происшествия, а в течение 72 часов проинформировать регулятора о результатах внутреннего расследования. Это сообщение должно включать информацию и причинах, виновниках инцидента и мерах, предпринятых для уменьшения вредных последствий (п.1-2, ч. 3.1 ст. 21 ФЗ 152) [7].

Требования сбора биометрических данных были изъяты из законодательства. Кроме того, расширились функции Роскомнадзора в сфере правотворчества в вопросе правового регулирования защиты персональных данных.

Были сокращены сроки исполнения операторами запросов граждан и органов власти, связанных с незаконной обработкой персональных данных с тридцати до десяти дней (ч. 3 ст. 14 ФЗ 152).

У граждан появилась возможность требовать прекращения обработки персональных данных. Операторы должны сделать это в течение месяца (ч. 4.1 ст. 22 ФЗ 152).

Кроме того, изменились требования к согласию на обработку персональных данных. Кроме конкретности, информированности и сознательности, добавились предметность и однозначность выраженной воли (ч. 1. ст. 9, ФЗ 152).

В суде рассматривалось дело о неправомерной передаче персональных данных работника организации банку ПАО «ВТБ» для оформления зарплатной карты. Работник, уже после увольнения, обратился в суд, уличив оператора в передаче его персональных данных в отсутствие его однозначного письменного согласия на такую передачу. Он требовал компенсации морального вреда. Суд иск отклонил на основании истечения срока исковой давности, то есть фактически отказался исследовать вопрос о правомерности действий оператора персональных данных,сославшись на формальные обстоятельства. Однако, сам случай является прецедентным, показывающим, что невыполнение оператором обязательных процессуальных действий при сборе и передаче персональных данных может привести к судебных искам, штрафам и другим материальным потерям.

Статья 24 Закона № 152 предусматривает все виды ответственности: гражданскую, уголовную, дисциплинарную, административную и иную, за наруше- ние требований закона. Однако, Уголовный кодекс РФ не содержит состава преступления, непосредственно касающегося нарушения безопасности персональных данных. Составы статей 137 (нарушение неприкосновенности частной жизни), 138 (нарушение тайны переписки и иных видов связи), 272 (неправомерный доступ к компьютерной информации) не покрывают всех случаев разглашения или нарушения конфиденциальности персональных данных [6].

Таким образом, вопрос защиты конфиденциальности персональных данных остается актуальной задачей правовой системы государства. Расширение пределов ответственности операторов сбора персональных данных или любых лиц, так или иначе соприкасающихся с частной информацией о лице, затрудняется отсутствием в законодательстве четких критериев отнесения информации к персональным данным, как правовому институту.

На наш взгляд, в качестве персональных данных как объекта охраны уголовного права, может рассматриваться информация ограниченного доступа о лице в своей совокупности, когда сведения настолько полны, что могут быть использованы как обобщенная характеристика лица, однозначно его определяющая, которая может быть использована во вред субъекту персональных данных.