Гражданско-правовая защита персональных данных в условиях формирования информационного общества

СОДЕРЖАНИЕ:
TOC \o "1-2" \u ВВЕДЕНИЕ PAGEREF _Toc75045064 \h 3
Глава 1. Понятие персональных данных, их характеристика в действующем законодательстве РФ PAGEREF _Toc75045065 \h 5
Глава 2. Проблема правовой защиты персональных данных в условиях развития информационных сервисов PAGEREF _Toc75045066 \h 9
Глава 3. Судебная практика гражданско-правовой защиты персональных данных в сети интернет PAGEREF _Toc75045067 \h 21
ЗАКЛЮЧЕНИЕ PAGEREF _Toc75045068 \h 28
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ PAGEREF _Toc75045069 \h 29

ВВЕДЕНИЕАктуальность темы настоящего исследования заключается в следующем.
Институт персональных данных ещё не до конца сформирован в нашей стране, современное трудовое и информационное законодательство подвергается постоянному реформированию. Вопросы защиты и обработки персональных данных касаются каждого человека, ведь они напрямую связаны с обеспечением конституционных прав, гарантирующих неприкосновенность частной жизни, личную и семейную тайну. В наше время возрастает необходимость обеспечить надёжную защиту информации, особенно касающуюся личных (персональных) сведений о гражданине.
Актуальность проблемы сохранения данных от технических неисправностей (сбои в электроснабжении или программном обеспечении) и повреждений субъективного характера (непреднамеренное уничтожение сведений, их изменение, заражение компьютерными вирусами, интернет-шпионаж, некомпетентность работника, несанкционированное, целенаправленное вмешательство в базы данных с целью повредить информацию или воспользоваться ей в личных интересах) не вызывает сомнений.
Функционирование почти любого предприятия, учреждения или организации напрямую связано с подбором персонала. Для этого необходимо проводить получение, обработку, хранение и передачу информации о работниках.
За нарушение законодательства о персональных данных введено четыре вида ответственности: дисциплинарная, материальная, административная и уголовная.
Целью данной курсовой работы является исследование гражданско-правовой защиты персональных данных в условиях формирования информационного общества.
В настоящей курсовой работе необходимо рассмотреть следующие частные задачи:
дать п TOC \o "1-2" \u онятие персональных данных, их характеристику в действующем законодательстве РФ;
выявить проблему правовой защиты персональных данных в условиях развития информационных сервисов;
рассмотреть судебную практику гражданско-правовой защиты персональных данных в сети интернет.
Объектом исследования являются общественные отношения, складывающиеся в процессе исследования гражданско-правовой защиты персональных данных в условиях формирования информационного общества.
Предметом исследования являются нормы законодательства, регулирующие институт персональных данных.
Теоретической основой данной работы являются положения общей теории права, конституционного права, гражданского права и других отраслей действующего законодательства.
Эмпирической основой данной работы являются материалы судебной практики.
Глава 1. Понятие персональных данных, их характеристика в действующем законодательстве РФОтношения по сбору, хранению, обработке и использованию информации регулируются различными нормативными актами, составляющими законодательство о персональных данных. Говоря о законодательстве Российской Федерации о персональных данных, прежде всего, следует назвать международный акт – Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, которую Россия ратифицировала еще до принятия Федерального закона «О персональных данных». Защита персональных данных в нашей стране осуществляется в рамках Федерального закона от 27.07.2006 № 152ФЗ «О персональных данных».
Статья 2 названного Закона прямо устанавливает, что его целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Данной норме Федерального закона «О персональных данных» корреспондирует правило ст. 152.2 Гражданского кодекса РФ об охране частной жизни гражданина. Защите прав граждан служит также и установленная Федеральным законом «О персональных данных» (ч. 5 ст. 18) обязанность оператора, осуществляющего сбор персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, а также обновление, изменение, извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Значение Федерального закона «О персональных данных» состоит в том, что он является основой правового регулирования сбора, обработки и использования персональных данных. Вместе с тем возникающие сегодня проблемы защиты персональных данных обусловлены недостаточной правовой регламентацией данных отношений.
Заметим, что такое широкое понимание персональных данных было закреплено Федеральным законом от 25.07.2011 № 261ФЗ, которым были внесены изменения в Федеральный закон «О персональных данных». До внесения этих изменений пункт 1 ст. 3 Федерального закона «О персональных данных» определял персональные данные как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы, другую информацию. Таким образом, ранее действовавшая редакция Закона определяла неполный перечень информации, относящейся к персональным данным.
Внесение изменений в Федеральный закон «О персональных данных» и закрепление нового понятия персональных данных было вызвано необходимостью приведения Закона в соответствие с Конвенцией 1981 г., согласно ст. 2 (a) которой термин «персональные данные» означает любую информацию об определенном или поддающемся определению физическом лице. Следовательно, приведенная дефиниция понятия «персональные данные» появилась в результате имплементации в российское законодательство положений международного акта. Федеральный закон «О персональных данных» выделяет несколько категорий персональных данных.
Специальные категории персональных данных, к которым относятся расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь (ч. 1 ст. 10). Эти данные имеют особый режим обработки: обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 Закона.
Кроме того, Закон выделяет биометрические персональные данные. К ним относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. Закон установил специальный режим обработки этих данных – они могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением установленных законом случаев (например, в связи с реализацией международных договоров Российской Федерации, в связи с осуществлением правосудия и др.).
Отметим, что в законодательстве отсутствует перечень биометрических персональных данных. Примерный перечень содержат разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Согласно названным Разъяснениям, к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта. Отметим, что названный акт по своей юридической силе не является нормативным. Полагаем, что перечень биометрических персональных данных должен содержаться не в ведомственном акте, а нормативном акте Правительства РФ.
Федеральный закон «О персональных данных» определяет также категорию персональных данных общего характера – это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (ст. 3). Таким образом, Закон содержит основной признак персональных данных – информация относится к прямо или косвенно определенному или определяемому физическому лицу, т.е. возможна идентификация субъекта. Заметим, что действующая редакция ст. 128 ГК РФ не предусматривает в числе объектов гражданских прав информацию, хотя ранее информация относилась к этим объектам.
В литературе справедливо отмечается, что персональные данные общего характера являются самыми сложными и запутанными для понимания и интерпретации. Точная идентификация лица будет иметь место в случае соотнесения информации с фамилией, именем и отчеством (при наличии) лица. Именно данные сведения являются основным идентификатором гражданина в гражданском обороте, поскольку гражданин приобретает и осуществляет права и обязанности под своим именем (п. 1 ст. 19 ГК РФ).
Глава 2. Проблема правовой защиты персональных данных в условиях развития информационных сервисовТаким образом, в законодательстве отсутствует даже примерный перечень персональных данных о лице, а также четкие критерии отнесения конкретных сведений о лице к персональным данным. Это порождает вопросы о возможности отнесения к персональным данным тех или иных сведений о лице, что особенно актуально в условиях использования цифровых технологий. При отсутствии правовой определенности в вопросе отнесения к персональным данным конкретных сведений о лице представляет интерес позиция судов. Примером может служить спор между Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу (далее – заявитель) и ПАО «МГТС» (далее – общество, ответчик).
Управление обратилось в Арбитражный суд г. Москвы с требованием о привлечении ПАО «МГТС» к административной ответственности по ч. 3 ст. 14.1 КоАП РФ на основании протокола об административном правонарушении № 01-1-41-16-16 от 11.01.2016. В соответствии с ч. 3 ст. 14.1 КоАП РФ осуществление предпринимательской деятель ности с нарушением условий, предусмотренных специальным разрешением (лицензией), влечет наложение административного штрафа на юридических лиц в размере от 30 тыс. до 40 тыс. руб. ПАО «МГТС», по мнению заявителя, осуществляло лицензируемый вид деятельности — оказание телематических услуг связи с нарушением лицензионных условий, предусмотренных специальным разрешением (лицензией). По результатам проверки было установлено, что ответчик передает партнерам сведения об абоненте, включающие поисковые запросы абонентов, интернет-адреса веб-страниц, посещаемых абонентами, тематику информации, размещенной на посещаемых абонентами интернет-ресурсах, IPадрес абонента, достаточные для формирования рекламного профиля абонента, необходимого для предоставления ему адресной рекламной информации, что подтвердилось в ходе проверки снятым скриншотом передаваемой информации. Было установлено, что информация, получаемая от оператора связи, позволяет прямо или косвенно идентифицировать пользователя как определенное физическое лицо (субъект персональных данных). Суд посчитал, что данными, позволяющими идентифицировать абонента или его конечное оборудование, являются: фамилия, имя, отчество или псевдоним абонента-гражданина, адрес абонента (адрес установки оконечного оборудования), абонентские номера, другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента. ПАО «МГТС» на основании договора предоставляло другому юридическому лицу (ООО «ОБМР») сведения об абонентах (пользователях): случайный идентификатор (Cookie «UID») в HTTP-запросе пользователя, позволяющий отличить трафик пользователя от трафика других пользователей для получения списка его предпочтений; IPадрес из IPпакета HTTP-запроса пользователя, позволяющий получить географическое положение пользователя с точностью определения до названия населенного пункта; User-Agent HTTP-запроса пользователя, позволяющий получить модель устройства или типа браузера, используемого пользователем; время просмотра веб-страниц (HTTP-запроса пользователя), позволяющее оценить частоту, с которой пользователь проявляет те или иные предпочтения; URL-адрес и заголовок Referrer HTTP-запроса пользователя, позволяющие определить предпочтения пользователя; HashID линии пользователя, позволяющий определить линии, абоненты которых выразили несогласие с обработкой данных. По мнению суда, передаваемая информация является информацией о соединениях и трафике абонента, а, следовательно, представляет собой сведения об абонентах. Заявление было удовлетворено, ПАО «МГТС» привлечено к административной ответственности. Однако ответчик направил апелляционную жалобу об отмене решения суда. В итоге решение Арбитражного суда г. Москвы было оставлено без изменения.
Разберём несколько актуальных вопросов, которые требуют юридического толкования.
1. Допустима ли передача банком по агентскому договору другой организации персональных данных заёмщика-потребителя без его согласия?
Г. обратился в суд с иском о защите прав потребителя, указав, что он допустил просрочки в уплате платежей в погашение кредита, в результате чего возникла задолженность. Соглашения о реструктуризации долга между сторонами кредитного договора достигнуто не было. При этом на телефон истца стали поступать звонки и сообщения от организации, специализирующейся на взыскании долгов, с требованием вернуть задолженность. В результате необоснованного раскрытия сведений о заёмщике третьему лицу истцу причинены нравственные страдания, в связи с чем он просил о компенсации морального вреда.
Судами первой и апелляционной инстанций в удовлетворении исковых требований отказано со ссылкой на то, что действия банка по передаче персональных данных истца другой организации не нарушают прав истца как субъекта персональных данных и не противоречат положениям Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).
Судебная коллегия по гражданским делам Верховного Суда Российской Федерации с таким выводом судов не согласилась и признала, что состоявшиеся по делу судебные акты приняты с нарушением норм действующего законодательства.
По общему правилу обработка персональных данных допускается с согласия субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона о персональных данных).
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путём принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора).
В силу ст. 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
В соответствии с ч. 1 ст. 9 Закона о персональных данных согласие субъекта на обработку его персональных данных должно быть конкретным, информированным и сознательным.
Обязанность доказать наличие такого согласия или обстоятельств, в силу которых такое согласие не требуется, возлагается на оператора (ч. 3 ст. 9 Закона о персональных данных).
Согласие должно содержать перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.
В соответствии со ст. 17 Закона о персональных данных субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
Таким образом, сбор, обработка, передача, распространение персональных данных возможны только с согласия субъекта персональных данных, при этом согласие должно быть конкретным!
Судом установлено, что банк сообщил организации, специализирующейся на взыскании долгов, персональные данные истца, а именно адрес проживания и номер телефона.
Между тем из материалов дела не усматривается, что Г., являясь субъектом персональных данных, выразил согласие на их предоставление третьим лицам.
Из содержания кредитного договора, заключённого между сторонами, также не следует, что имело место согласие истца на обработку его персональных данных.
Ответчик же сослался на п. 5 ч. 1 ст. 6 Закона о персональных данных в редакции, действовавшей на момент заключения кредитного договора между Г. и банком: обработка персональных данных допускается в случае, когда она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Между тем Г. не является стороной по договору, заключённому между банком и организацией, специализирующейся на взыскании долгов, данный договор является агентским и не связан с реализацией оператором права на уступку прав (требований) по кредитному договору.
2. Обработку персональных данных признают законной из-за того, что субъект сделал их общедоступными в силу своей трудовой деятельности?
Адвокат обратился с иском к ОАО "*** банк" об уничтожении персональных данных и взыскании компенсации морального вреда, ссылаясь на то, что после звонка в банк по вопросу задолженности его клиента на принадлежащий ему телефонный номер, который он использует в работе с клиентами и для личного общения, стали поступать звонки и СМС-сообщения без обратного адреса, озаглавленные Forus, носившие унизительный и провокационный характер. Судом иск удовлетворён, в апелляционной жалобе ответчику отказано.
Бремя доказывания наличия согласия на сбор и обработку возлагается на оператора.
Истец, являясь владельцем абонентского номера N, не давал согласия на совершение действий в отношении его персональных данных, доказательств обратного стороной ответчика не представлено.
Суд не принял во внимание довод ответчика о том, что информация с телефонным номером истца размещена в сети "Интернет", что исключает необходимость получения согласия субъекта на обработку его общедоступных персональных данных, поскольку телефонный номер адвоката был размещён в сети "Интернет" в целях оказания юридических услуг, в то время как ответчик воспользовался персональными данными истца с другой целью, а именно с целью доведения до Г.А.В. (должник по договору) через его представителя информации в связи с задолженностью по кредиту.
Положение п. 10 ч. 1 ст. 6 Закона о персональных данных, позволяющее не испрашивать разрешение на обработку персональных данных, в случае если персональные данные стали общедоступными, не свидетельствует о том, что иные лица могут использовать персональные данные без согласия субъекта. В данном случае размещение персональных данных истца было связано с его трудовой деятельностью.
3. Должен ли руководитель организации предоставлять персональные данные работников профсоюзной организации по её требованию?
Первичная профсоюзная организация обратилась к директору филиала организации угольной промышленности с заявлением о предоставлении информации о привлечении работников данного филиала к работе сверхурочно и в выходные дни с указанием работников поименно, даты привлечения к указанным работам, количества часов работы и оплаты за отработанный период времени по каждому подразделению филиала за определённые периоды. Кроме того, просила предоставить обоснование в виде локальных нормативных актов по привлечению работников к работе сверхурочно и в выходные дни.
Администрацией филиала профсоюзному органу в предоставлении запрошенной информации отказано со ссылкой на то, что действующее законодательство ограничивает работодателя в возможности передачи персональных данных работника третьим лицам, в том числе и представителям работников.
В связи с этим первичная профсоюзная организация обратилась в суд с иском к организации о признании незаконным отказа в предоставлении указанной информации, ссылаясь на то, что ответчик нарушает права профсоюзов, и просила признать действия организации, выразившиеся в отказе в предоставлении информации представителям работников в лице профсоюзной организации и её выборных органов, незаконными, нарушающими трудовое законодательство.
Решением районного суда, оставленным без изменения кассационным определением, в иске первичной профсоюзной организации отказано.
Однако Судебная коллегия по гражданским делам Верховного Суда РФ, рассмотрев жалобу первичной профсоюзной организации, отменила вынесенные по делу судебные постановления по следующим основаниям.
Суды нижестоящих инстанций исходили из того, что предоставление запрашиваемой информации возможно лишь в случае нарушения работодателем условий коллективных договоров, соглашений, в то время как доказательств, подтверждающих нарушения, не представлено.
Суд ссылался на ст. 88 ТК РФ, регламентирующую порядок передачи работодателем персональных данных работника, указав, что запрашиваемая информация относится к персональным данным работников и её передача работодателем возможна только при наличии угрозы жизни или здоровью работников либо с их письменного согласия, которое не было получено. Кроме того, не все работники филиала, данные о которых запрашивались, являются членами указанного профсоюза.
Судебная же коллегия указала, что в силу действия ст. 51 ТК РФ контроль за выполнением коллективного договора, соглашения осуществляется сторонами социального партнёрства, их представителями, соответствующими органами по труду. При проведении указанного контроля представители сторон обязаны предоставлять друг другу необходимую для этого информацию не позднее одного месяца со дня соответствующего запроса.
Профсоюзы вправе бесплатно и беспрепятственно получать от работодателя информацию по социально-трудовым вопросам.
Сведения о заработной плате, времени труда и отдыха относятся к вопросам, регулируемым коллективным договором, что, в свою очередь, отнесено к функциям профсоюзов, направленным на осуществление контроля за соблюдением трудового законодательства, коллективных договоров и соглашений. Аналогичные положения содержатся также в Уставе Российского независимого профсоюза работников угольной промышленности и в положениях коллективного договора, подписанного филиалом и истцом.
Согласие субъекта персональных данных не требуется в случае, если обработка персональных данных осуществляется на основании федерального закона, устанавливающего её цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, каковым в силу действия п. 2 ч. 1 ст. 3 указанного Закона выступает первичная профсоюзная организация, осуществляя мероприятия по защите трудовых прав работников.
В данном случае первичная профсоюзная организация, запросив у работодателя информацию и локальные нормативные акты по вышеуказанным вопросам, действовала в целях исполнения условий коллективного договора, что является дополнительным основанием для обработки персональных данных в целях исполнения договора без согласия субъекта персональных данных, являющегося одной из сторон договора.
Таким образом, вывод суда о том, что предоставление информации по исполнению коллективного договора в части привлечения работников указанного филиала к работе сверхурочно и в выходные дни возможно только при наличии угрозы жизни или здоровью работников либо с их письменного согласия, которое не было получено, не соответствует изложенным требованиям законодательства и основан на неправильном толковании норм материального права. Неправомерен и вывод суда о том, что истец вправе был истребовать указанную информацию лишь при наличии доказательств нарушений работодателем условий коллективного договора, поскольку такие нарушения могли быть установлены лишь после получения соответствующей информации.
При таких обстоятельствах отказ работодателя в предоставлении указанной информации не позволяет первичной профсоюзной организации, представляющей интересы работников, осуществлять в полном объёме функции, возложенные на неё в силу закона, а также проверять правомерность привлечения их к работе сверхурочно и в выходные дни в безопасных условиях труда и с соответствующей требованиям законодательства оплатой труда, в результате чего может повлечь за собой массовые нарушения трудовых прав работников.
Ст. 6 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных" предоставляет возможность обработки персональных данных и в случаях, когда их обработка необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных, и когда обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
Судебная коллегия признала ошибочным также вывод суда о том, что запрашиваемая информация, касающаяся работников, не являющихся членами профсоюза, могла быть предоставлена только с их согласия. Поскольку указанная информация связана с защитой коллективных прав и интересов членов трудового коллектива филиала, то в силу коллективного договора работники данного предприятия, как являющиеся членами профессионального союза, так и не являющиеся таковыми, в лице первичной профсоюзной организации являются стороной указанного договора, в связи с чем их согласия не требовалось.
Любое государство заинтересовано в получении максимально полной информации о гражданах, в интересах же граждан обеспечить защиту своих персональных данных. Характер правового регулирования в сфере сбора, обработки и использования персональных данных определяется позицией государства в выборе приоритета интересов. На наш взгляд, необходимо юридически обеспечить «частноправовой» подход при подготовке новых нормативных правовых актов в рассматриваемой сфере. В литературе верно отмечалось, что в нашей стране защита интересов государства осуществляется успешно, в отличие от защиты интересов личности.
В связи с этим возникает вопрос о возможности применения норм Закона РФ «О защите прав потребителей» для обеспечения интересов граждан – субъектов персональных данных. Граждане часто сталкиваются с утечкой их персональных данных и использованием последних различными организациями в своих целях. Это обусловлено практикой заключения с гражданами договоров на оказание услуг (медицинских услуг, на оказание услуг в банковской сфере и др.), в соответствии с которой граждане в обязательном порядке предоставляют согласие на обработку их персональных данных. При этом гражданам, как правило, не разъясняют необходимость получения от них такого согласия, а также возможность отозвать такое согласие.
Закон РФ «О защите прав потребителей» не содержит положений о предоставлении потребителями своих персональных данных при заключении договоров. Однако это, на наш взгляд, не является препятствием для применения норм данного Закона в отношениях по сбору и обработке персональных данных граждан. Этот вывод подтверждается и судебной практикой: при рассмотрении дел об использовании персональных данных граждан суды применяют нормы Закона РФ «О защите прав потребителей».
Примером может служить постановление Арбитражного суда Северо-Западного округа от 18 июля 2016 г. № Ф07-5537/2016 по делу № А44-9647/2015. Страховое акционерное общество ВСК (Нижегородский филиал) обратилось в арбитражный суд с заявлением о признании незаконным предписания Управления Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по Новгородской области. Предписание предусматривало устранение нарушений законодательства о защите прав потребителей: условия типовых форм договоров нарушают положения ст. 16 Закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей». Предписание Управления Роспотребнадзора обязало страховое акционерное общество ВСК изменить условия договоров страхования таким образом, чтобы гражданин обладал возможностью выбора: выразить согласие или отказаться от обработки, распространения, передачи персональных данных страхователя. Представляет интерес мотивировочная часть решения кассационной судебной инстанции. Суд отмечает, что договор страхования относится к договорам присоединения, условия договора разработаны самим страховщиком, а подписание его страхователем не может служить безусловным выражением воли и личного согласия страхователя, данным свободно и в своем интересе. При этом правовая природа договора присоединения лишает страхователя возможности до заключения договора изменить указанное условие, ограничив в той или иной мере распространение персональной информации так, как он сам это считает необходимым.
Таким образом, отсутствие у потребителя права выбора возможности согласия или отказа в согласии на обработку персональных данных ущемляет права потребителей, что в силу ст. 16 Закона № 2300-1 свидетельствует об их недействительности в этой части. Некоторые авторы выделяют и такие проблемы, требующие правового решения, как защита персональных данных и общедоступность данных, защита персональных данных и свобода и нейтральность Интернета, защита персональных данных работников и права работодателя на эти данные и др.
Глава 3. Судебная практика гражданско-правовой защиты персональных данных в сети интернетПризнание судами в качестве сведений об абоненте запросов абонента, интернет-адресов веб-страниц, посещаемых абонентом, IPадресов абонента и др., которые позволяют идентифицировать абонента, имеет важное значение, поскольку оно является судебным толкованием норм закона. Это толкование позволяет восполнить пробел в правовом регулировании в части конкретизации данных, которые относятся к персональным данным общего характера. Использование новых информационных технологий повлияло на развитие законодательства о персональных данных.
Прежде всего, следует назвать Федеральный закон от 13.07.2015 № 264ФЗ «О внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации” и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации». Значение этого Закона состоит в том, что он ввел в российское законодательство «право на забвение». Нормы названного Закона обязывают операторов поисковых систем в Интернете прекращать выдавать ссылки на информацию о пользователях, обратившихся к ним с соответствующим требованием (ст. 10.3 Федерального закона «Об информации, информационных технологиях и о защите информации»).
Оператор поисковой системы, распространяющий в сети Интернет рекламу, направленную на привлечение внимания потребителей, находящихся на территории Российской Федерации, по требованию гражданина обязан прекратить выдачу сведений об указателе страницы сайта в Интернете, позволяющих получить доступ к информации о заявителе. Это относится к информации, распространяемой с нарушением законодательства, являющейся недостоверной, а также неактуальной, утратившей значение для заявителя в силу последующих событий или действий заявителя, за исключением информации о событиях, содержащих признаки уголовно наказуемых деяний, сроки привлечения к уголовной ответственности по которым не истекли, и информации о совершении гражданином преступления, по которому не снята или не погашена судимость.
Другой проблемой является соотношение защиты персональных данных и публичного интереса. По мнению Э. В. Талапиной, этот конфликт можно рассматривать как частный случай проявления общего конфликта публичного и частного права, поскольку публичный интерес предполагает специфическое видение проблемы глазами самого общества.
Многие государства предусматривают специальные правила, регламентирующие хранение персональных данных своих граждан. И в этом контексте все чаще возникает вопрос о праве собственности на персональные данные или, как предусмотрено во французском Законе о цифровой Республике от 7 октября 2016 г., о свободе распоряжения собственными персональными данными. В этом случае частноправовым свободам «противостоят» публично-правовые интересы локализации персональных данных, в том числе интересы национальной безопасности. Весьма актуальным является решение вопроса о правах на персональные данные, которые содержатся в социальных сетях (Facebook, «ВКонтакте», Linkedin). Это сведения о фамилиях пользователей сетей, об их месте работы или учебы, месте проживания и т.п.
Понятно, что эти данные первоначально были предоставлены в сеть при регистрации самими пользователями. Проблема возникает при использовании персональных данных пользователей социальной сети третьими лицами (коммерческими организациями) в своих целях. При этом разрешения на это использование данных коммерческие организации от пользователей и от социальной сети не получают и не платят за пользование данными.
В некоторых случаях инициаторами рассмотрения в суде дел об использовании данных пользователей социальных сетей являются владельцы этих баз данных. Судебная практика по таким делам довольно обширна (например, определение Верховного Суда РФ от 29.01.2018 № 305-КГ17- 21291 по делу № А40-5250/2017, постановление Девятого арбитражного апелляционного суда от 27.07.2017 № 09АП-31744/2017 по делу № А40-5250/17). Согласно позиции судов не являются общедоступными обрабатываемые организациями персональные данные, содержащиеся в открытых источниках (социальных сетях: «ВКонтакте», «Одноклассники», «МойМир», Instragram, Twitter; интернет-порталов «Авито» и «Авто.ру»). Соответственно, необходимо получение согласия граждан на использование их данных. На наш взгляд, законодательное закрепление указанной позиции судов по использованию персональных данных граждан, содержащихся в базах социальных сетей, восполнило бы этот пробел.
Итак, проблемой защиты персональных данных в сети «Интернет» является проблема их непосредственной утечки в эту самую Сеть. Она возникает в силу следующих разноплановых причин.
1. В Российской Федерации положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться. Также в рамках правоприменительной практики существуют разные решения судов по одному и тому же спорному вопросу. В качестве примера такой ситуации можно привести следующую – является ли номер мобильного телефона персональными данными. В соответствии с законодательством номер телефона можно отнести к персональным данным, а по мнению Роскомнадзора - нет, так как телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи и, значит, персональными данными не является. Судебная практика тоже в этом вопросе не однозначна. Приведем два примера. В 2019 году житель города Белгорода обратился в суд с жалобой на размещение его телефонного номера в интернете компанией ООО «Яндекс Справочник». Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с государственным органом в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека, и на сторону жителя Белгорода не встал. Между тем суд в Москве, рассматривая подобный вопрос, вынес другое решение. Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением законодательства о персональных данных. Также в качестве еще одного примера вышеуказанной ситуации можно привести разные трактовки того, являются ли фотографии, которые применяются в системе СКУД, биометрическими персональными данными или нет. Вследствие этого из-за того, что нет четкого понимания законодательных положений, многие юридические лица могут надлежащим образом не охранять номера телефонов или фотографии лиц, так как они не считают их персональными данными, что приводит к их утечке и распространению в сети «Интернет».
2. В Российской Федерации существует достаточно низкий размер административных штрафов для юридических лиц, которые в процессе своей деятельности допускают нарушение законодательства о защите персональных данных. Размер таких штрафов находится в диапазоне от 15 000 до 75 000 рублей. Заплатить такой административный штраф может стать затруднительным лишь для небольшого юридического лица. Крупные юридические лица, которые осуществляют продажу персональных данных, смогут заплатить такой штраф без труда. Для них это «издержки производства».
3. У некоторых юридических лиц утечка персональных данных происходит из-за человеческого фактора. Он может проявляться в разных аспектах: сотрудники слабо понимают требования положений российского законодательства о персональных данных, сотрудники халатно относятся к исполнению своих должностных обязанностей, сотрудники выполняют требования закона «для галочки», а не по факту, сотрудники организаций сами продают персональные данные своих работников или клиентов каким-либо третьим лицам.
Также проблемой защиты персональных данных в сети «Интернет» является проблема того, что российским гражданам, которым был причинен какой-либо ущерб утечкой персональных данных, почти нереально добиться компенсации за это в судебном порядке от частных юридических лиц или государственных органов, допустивших утечку персональных данных. Такое положение вещей объясняется тем, что в случае, если какой-либо из подобных процессов, увенчавшийся успехом, может привести к цепной реакции, когда каждый пользователь, сталкивавшийся с утечкой данных, обратится в суд за компенсацией. Учитывая низкий уровень защиты персональных данных в России, это может обернуться разорением юридических лиц. Следом иски можно вчинить и государственным органам, которые, несмотря на требования закона, весьма халатно относятся к защите персональных данных россиян. Подобные иски могут очень больно ударить по бюджету страны. Вследствие этого в российских судах рассмотрение дел такой категории происходит достаточно долго и нередко заканчивается присуждением минимальной компенсации лицу, чьи персональные данные были использованы неправомерно. Однако эта компенсация не всегда сможет покрыть те убытки, которые были причинены утечкой персональных данных.
Для решения первой проблемы необходимо бороться со всеми причинами, которые порождают утечку персональных данных в сеть «Интернет». Во-первых, нужно привести в порядок законодательство о персональных данных. В Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» необходимо закрепить точный перечень данных, которые относятся к персональным. Для этого можно взять какую-либо классификацию персональных данных, которая была разработана учеными-юристами, и закрепить ее в статье 3 вышеуказанного правового акта. Например, статья 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» может звучать так: «Персональные данные – информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. К персональным данным относится следующая информация: Ф.И.О. человека, место регистрации и жительства, номер мобильного телефона, адрес электронной почты. Такие данные в большинстве своем известны не только их обладателю, но и каким-либо другим гражданам, политические взгляды, религиозная принадлежность, данные о состоянии здоровья, подробности о судимостях человека, а также иная информация, признанная таковой судом, в рамках рассмотрения и разрешения дела». Для устранения причины низких административных штрафов необходимо попытаться увеличить их до таких размеров, чтобы нарушать положение закона было невыгодно. В Кодексе Российской Федерации об административных правонарушениях нужно закрепить дифференцированный подход к административным штрафам, чем выше оборот юридического лица, тем выше размер наказания. Решить третью причину может только сама организация, так как, кого нанимать на работу решает организация, а не государство. Вследствие этого устранение этой причины необходимо возложить на юридические лица, а не на государство. Для решения второй проблемы защиты персональных данных в сети «Интернет» необходимо донести до судов Российской Федерации, что права и свободы человека являются приоритетом в деятельности судов. Суды не должны заботиться об экономическом состоянии юридических лиц или государственных органов, которые допустили нарушение законодательства о персональных данных, которое привело к причинению вреда гражданину. Суд обязан рассмотреть и разрешить дело справедливо и не думать о том, какие последствия будут для «виновника» утечки персональных данных в случае вынесения решения суда не в его пользу. Сделать такое донесение можно посредством издания Верховным Судом Российской Федерации специального пленума, в котором бы были разъяснения, как следует применять положения всего комплекса российского законодательства о защите персональных данных.
ЗАКЛЮЧЕНИЕИтак, мы выполнили все задачи, поставленные в настоящей курсовой работе.
Из всего вышеизложенного необходимо сформулировать соответствующие выводы.
Таким образом, можно сказать о том, что персональные данные – это любые сведения, относящиеся к прямо или косвенно определённому или определяемому физическому лицу, которые предоставляются другому лицу.
Правовое регулирование охраны таких данных осуществляется положениями Конституции Российской Федерации, Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ, а также различными подзаконными актами. Однако, несмотря на такой большой объем правовой защиты, сейчас существуют две проблемы защиты персональных данных в интернете. Первая проблема - это утечка этих данных в Сеть, а вторая - это почти нереальная возможность добиться компенсации за вред, который был причинен такой утечкой. Решение этих двух проблем должно заключаться в устранении причин, которые их вызывают. Вследствие их устранения в Российской Федерации должен резко снизиться процент утечки персональных данных в сеть «Интернет».
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫНормативные правовые акты:
Конституция Российской Федерации (принята всенародным голосованием 12.12.1993 с изменениями, одобренными в ходе общероссийского голосования 01.07.2020) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 № 6-ФКЗ, от 30.12.2008 № 7-ФКЗ, от 05.02.2014 № 2-ФКЗ, от 21.07.2014 № 11-ФКЗ, от 14.03.2020 №1-ФКЗ) // Российская газета. 4 июля 2020 г. № 144.
Федеральный закон от 13.07.2015 N 264-ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации" // "Собрание законодательства РФ", 20.07.2015, N 29 (часть I), ст. 4390.
Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (ред. от 30.12.2020) (с изм. и доп., вступ. в силу с 01.03.2021) // "Собрание законодательства РФ", 31.07.2006, N 31 (1 ч.), ст. 3451.
Федеральный закон от 19.12.2005 N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" // "Собрание законодательства РФ", 26.12.2005, N 52 (1 ч.), ст. 5573.
Судебная практика:
Постановление Арбитражного суда Северо-Западного округа от 18 июля 2016 г. № Ф07-5537/2016 по делу № А44-9647/2015 // СПС Консультант Плюс.
Постановление Девятого арбитражного апелляционного суда от 23.05.2016 № 09АП-17574/2016 // СПС Консультант Плюс.
Научная литература:
Петрыкина Н. И. Правовое регулирование оборота персональных данных. Теория и практика. М.: Статут, 2011. 230 с.
Разъяснения Роскомнадзора "О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки" // "Экономика и жизнь" (Бухгалтерское приложение), N 36, 13.09.2013.
Талапина Э. В. Защита персональных данных в цифровую эпоху. Российское право в европейском контексте // Труды Института государства и права РАН. 2018. Т. 13. № 5. С. 137.
Интернет-ресурсы:
«Утечки неизбежны»: кто ответственен за персональные данные [Электронный ресурс] // Газета. ру [Сайт]. URL: https://www.gazeta.ru/tech/2019/08/09_a_12567469.shtml.
3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах [Электронный ресурс] // Гарант. ру [Сайт]. URL: https://www.garant.ru/ia/opinion/author/belyaeva/1402489/.