Судебная и административная практика по защите персональных данных

2 слайд.
Государство в лице уполномоченных органов осуществляет контроль и
надзор за соблюдением установленных законодательством мер. Согласно ст.
23 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) "О
персональных данных" уполномоченный орган по защите прав субъектов
персональных данных обеспечивает, организует и осуществляет
государственный контроль и надзор за соответствием обработки
персональных данных требованиям ФЗ № 152-ФЗ и принятых в соответствии
с ним нормативных правовых актов. В настоящее время функции контроля за
выполнением операторами установленных требований возложены на
Роскомнадзор.
3 слайд
В своем докладе о правоприменительной практике организации и
проведения федерального государственного контроля (надзора) за
обработкой персональных данных в 2021 году Роскомнадзор акцентирует
внимание на том, что анализ причин и условий, способствовавших
совершению типичных (наиболее часто встречающихся) нарушений,
свидетельствует о том, что основная их часть вызвана непроведением
оператором мероприятий внутреннего контроля соответствия обработки
персональных данных требованиям, установленным законодательством
Российской Федерации, а также неозакомление работников, непосредственно
осуществляющих обработку персональных данных, с положениями
законодательства Российской Федерации о персональных данных, в том
числе требованиями к защите персональных данных, документами,
определяющими политику оператора в отношении обработки персональных
данных, локальными актами по вопросам обработки персональных данных.
Так, В 2021 году территориальными органами в соответствии с
Кодексом Российской Федерации об административных правонарушениях по
результатам контрольных (надзорных) мероприятий составлены протоколы
об административных правонарушениях, в том числе по следующим
составам:
- обработка персональных данных в случаях, не предусмотренных
законодательством Российской Федерации в области персональных данных,
либо обработка персональных данных, несовместимая с целями сбора
персональных данных, за исключением случаев, предусмотренных ч. 2 ст.
13.11 КоАП РФ (ч. 1 ст. 13.11 КоАП РФ);

- обработка персональных данных без согласия в письменной форме
субъекта персональных данных на обработку его персональных данных в
случаях, когда такое согласие должно быть получено в соответствии с
законодательством Российской Федерации в области персональных данных,
если эти действия не содержат уголовно наказуемого деяния, либо обработка
персональных данных с нарушением установленных законодательством
Российской Федерации в области персональных данных требований к
составу сведений, включаемых в согласие в письменной форме субъекта
персональных данных на обработку его персональных данных (ч. 2 ст. 13.11
КоАП РФ);
- невыполнение оператором, предусмотренной законодательством
Российской Федерации в области персональных данных обязанности по
опубликованию или обеспечению иным образом неограниченного доступа к
документу, определяющему политику оператора в отношении обработки
персональных данных, или сведениям о реализуемых требованиях к защите
персональных данных (ч. 3 ст. 13.11 КоАП РФ);
- непредставление или несвоевременное представление сведений
(информации), либо представление таких сведений (информации) в неполном
объеме или в искаженном виде (ст. 19.7 КоАП РФ).
Таким образом, наибольшим количеством выявленных в отчётном
периоде нарушений являются нарушения, связанные с уведомлением
уполномоченного органа об обработке персональных данных
(непредставление и (или) несвоевременное представление уведомления по
обработке персональных данных при осуществлении деятельности по
обработке персональных данных, не попадающей под исключения,
установленные законодательством представление в уполномоченный орган
уведомления об обработке персональных данных, содержащего неполные и
(или) недостоверные сведения, непредставление в уполномоченный орган
сведений о прекращении обработки персональных данных или об изменении
информации, содержащейся в уведомлении об обработке персональных
данных), непринятие оператором мер, необходимых и достаточных для
обеспечения выполнения обязанностей, предусмотренных Федеральным
законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в
соответствии с ним нормативными правовыми актами, отсутствие у
оператора места (мест) хранения персональных данных (материальных
носителей), перечня лиц, осуществляющих обработку персональных данных
либо имеющих к ним доступ, несоблюдение оператором требований по
информированию лиц, осуществляющих обработку персональных данных
без использования средств автоматизации, несоответствие письменной

формы согласия на обработку персональных данных в случаях,
установленных законодательством.
4 слайд
Рассмотрим еще случаи из судебной практики.
В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных
данных допускается:
- для исполнения договора, стороной которого, выгодоприобретателем
или поручителем, по которому является субъект персональных данных;
- для заключения договора по инициативе субъекта персональных
данных или договора, по которому субъект будет являться
выгодоприобретателем или поручителем.
На официальном сайте Роскомнадзора размещена информация о том,
что согласие не требуется, если обработка персональных данных необходима
для исполнения договора.
Отсутствие согласия может быть нарушением в следующих случаях:
- персональные данные избыточны по отношению к цели обработки
или обрабатываются с целью, которая не указана в договоре. В качестве
примера можно привести обработку копий паспортов, не требующихся для
исполнения договора, или рассылку рекламных SMS-сообщений клиентам;
- не указан перечень организаций, в которые передаются персональные
данные;
- требуется согласие на обработку персональных данных в письменной
форме (для специальных категорий данных, биометрических данных,
трансграничной передачи персональных данных и т.п.).
5 слайд.
Рассмотрим два примера с противоположными решениями суда.
1. В пятом арбитражном апелляционном суде Владивостока
рассматривался случай обработки персональных данных собственников
помещения ресурсоснабжающей организацией. Судебная коллегия
определила, что при наличии договора согласие субъекта на обработку
данных не требуется, поскольку она необходима для исполнения договора
(постановление Пятого арбитражного апелляционного суда от 3 апреля 2019
г. № 05АП-367/19 по делу № А51-19080/2018).
2. В другом деле апелляционный суд Воронежа установил, что
подписание договора не может считаться согласием собственника
помещения многоквартирного дома на обработку персональных данных
(постановление Девятнадцатого арбитражного апелляционного суда от 27
декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с

соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием
сроков обработки персональных данных.
В судебной практике есть пример, где наличие договора не является
согласием. Роскомнадзор тоже не требует согласия, если персональные
данные обрабатываются с целью исполнения договора, но проверяет
выполнение условий, приведенных выше.
6 слайд.
Различные нарушения закона о персональных данных, выписанные
предписания Роскомнадзора и протоколы о привлечении к административной
ответственности вынуждают юридических лиц прибегать к защите суда.
Существующая судебная практика неоднородна, но достаточна интересна. У
судов сложилась единая позиция по поводу тех или иных нарушений закона
о защите персональных данных. Споры относятся к разным категориям, и
многие из них основываются на неверном понимании гражданами,
организациями и государственными органами закона о персональных
данных.
У Роскомнадзора есть в арсенале весьма действенный способ борьбы с
правонарушителями - блокирование интернет-ресурса. Самым «громким»
делом, связанным с нарушением требования локализации, безусловно,
является блокировка LinkedIn в ноябре 2016 года (дело № 33- 38783/1622).
Суть спора:
Истец (Роскомнадзор) обратился в Московский городской суд с
требованием признать деятельность интернет-ресурсов (http://
www.linkedin.com, http://linkedin.com) по сбору, использованию и хранению
персональных данных граждан РФ нарушающей требования Закона о
персональных данных и права граждан на неприкосновенность частной
жизни, личную и семейную тайну. По мнению истца, нарушение ответчиком
(LinkedIn Corporation) Закона о персональных данных заключалось в сборе
персональных данных граждан РФ без локализации баз данных, как того
требует Закон о персональных данных. Кроме того, истец через указанные
интернет-ресурсы получал доступ к сведениям третьих лиц, не являющимися
пользователями LinkedIn, посредством синхронизации с электронной почтой
и устройствами пользователей.
Несмотря на то что ответчик зарегистрирован за пределами РФ,
Роскомнадзор в ходе рассмотрения дела указал на то, что интернет-ресурс
направлен на территорию РФ. Об этом, по мнению Роскомнадзора,
свидетельствует наличие русскоязычной версии сайта, а также возможность
использования рекламы на русском языке. Отметим, что подобные выводы

коррелируются с разъяснениями Министерства связи и массовых
коммуникаций РФ «Обработка и хранение персональных данных в РФ.
Исход дела:
Суд полностью удовлетворил требования истца. Указанное выше дело
доказывает серьезность намерений Роскомнадзора обеспечить локализацию
баз данных на территории РФ. Отметим, что LinkedIn Corporation на дату
написания данной статьи не сумела договориться с Роскомнадзором о снятии
блокировки с сайта LinkedIn.
7 слайд.
В соответствии с ч. 2 ст. 5 Закона о персональных данных обработка
персональных данных должна ограничиваться достижением конкретных,
заранее определенных и законных целей. Не допускается обработка
персональных данных, несовместимая с целями сбора персональных данных.
Обработка, несовместимая с целями сбора персональных данных, влечет
административную ответственность по ч. 1 ст. 13.11 Кодекса РФ об
административных правонарушениях.
В этой связи интересным представляется дело № А40-18827/2017,
которое в октябре 2017 года рассмотрено в Арбитражном суде г. Москвы и
широко освещалось в прессе. Истцом по данному делу является социальная
сеть «ВКонтакте».
8 слайд.
Суть спора:
Истец обратился в Арбитражный суд г. Москвы к ООО «Дабл» и АО
«Национальное бюро кредитных историй» о защите исключительных
смежных прав на базу данных. Дело в том, что ответчики, по мнению истца,
использовали открытую информацию пользователей социальной сети
«ВКонтакте» для оценки кредитоспособности пользователей. Кроме того,
ответчики продавали эту информацию банкам.
Требования истца:
Обязать ответчиков прекратить использовать открытые данные
пользователей для оценки кредитоспособности и продажи своих услуг,
взыскать с ответчиков по 1 рублю в качестве символической денежной
компенсации.
Рассмотрение дела:
С одним из ответчиков, НБКИ, истец заключил мировое соглашение.
Как следует из этого документа, НБКИ основывалось на том, что ООО
«Дабл» правомерно использует данные из социальной сети. В течение 30
дней с даты утверждения судом мирового соглашения НБКИ обязуется
пересмотреть свои правоотношения с ООО «Дабл» таким образом, чтобы они

не нарушали права истца, или прекратить их. Кроме того, НБКИ обязуется не
использовать технологию и продукты третьих лиц, а также собственные
технологии и продукты, функционирование которых основано на извлечении
информационных элементов из базы данных истца без соответствующего
разрешения истца. Что касается рассмотрения дела в отношении второго
ответчика (ООО «Дабл»), Арбитражный суд города Москвы 12 октября 2017
года полностью отказал в удовлетворении иска ВКонтакте.
9 слайд.
Суть спора:
Гладышева Т. В. обратилась в суд с иском к ООО «МедРейтинг» для
защиты персональных данных, взыскании компенсации морального вреда.
Указала суду, что на сайте, специализирующимся на предоставлении
инфомации о качестве предоставляемых врачами услуг путем оставления
отзывов о конкретных специалистов, была распространена про нее
информация, которая плохо отражается на ее деловой репутации.
Гладышева Т. В. просила суд обязать прекратить обработку
персональных данных и удалить из сети «Интернет» ее профиль. Указала,
что пользователи, в основном, оставляли негативные отзывы о ее работе.
Гладышева сама обращалась к ответчику с просьбой прекратить
осуществление обработки персональных данных (имя, фамилия, место
работы, должность), но «МедРейтинг» продолжил обработку.
28 ноября 2018 года Центральный районный суд решил исковые
требования Гладышевой Т. В. о возложении обязанности прекратить
обработку персональных данных и удалении из сети с сайта профиль
Гладышевой Т. В., и взыскании компенсации морального вреда в размере 150
т.р. и понесенных расходов - оставить без удовлетворения, поскольку все
данные о медицинских работниках официально публикуются на сайте
медицинских организаций и являются общедоступными. Наличие какой-либо
необходимости или потребности общества в раскрытии персональных
данных лиц, занимающихся медицинской деятельностью, обусловлено
публичной деятельностью, поэтому в рассматриваемом случае публикации
имен, фамилий и места работы истца взаимосвязана с общественным
интересом к качеству оказания медицинских услуг. Учитывая, что ответчик
воспроизвел информацию, размещенную ан официальном сайте лечебного
областного учреждения, в том числе сведения о фамилии, имени, должности
и месте работы Гладышевой Т. В. в силу ее публичной деятельности, то он не
нарушил ее права и законные интересы.

12 ноября 2019 года Верховный суд Российской Федерации отменил
решение суда, а дело направил новое рассмотрение в апелляционную
инстанцию.
Апелляционная инстанция 12 марта 2020 года вынесла апелляционное
определение, которым решение Центрального районного суда г. Воронежа от
28 ноября 2018 г. отменила и обязала ООО «МедРейтинг» прекратить
обработку персональных данных и удалить из сети Интернет с сайта
prodoctorov.ru профиль Гладышевой Т.В., содержащий, в том числе, её
персональные данные врача, поскольку обработка персональных данных,
необходимая для осуществления законной деятельности средства массовой
информации, допускается при условии, что при этом не нарушаются права и
законные интересы субъекта персональных данных. Право свободно
выражать свое мнение сопряжено с определенными ограничениями, которые
предусмотрены законом и необходимы в демократическом обществе для
защиты, в том числе репутации или прав других лиц. Более того, даже
субъективное мнение автора или изложение подтвержденной информации
должно быть выражено в форме, не задевающей охраняемых интересов
граждан. То есть материал не должен содержать, к примеру, оскорбительных
высказываний. Из материалов настоящего дела видно, что первоначально на
сайте ответчика были размещены отзывы пользователей, часть из которых,
как указывалось выше, содержали утверждения о некомпетентности истицы,
и носили оскорбительный и унижающий характер, что является
недопустимым и нарушает права и законные интересы истицы.
10 слайд.
Таким образом, судебная и административная практика, связанная с
нарушением законодательства о персональных данных, весьма неоднородна.
В этой связи особая роль отводится Роскомнадзору. При этом
представляется, что подход Роскомнадзора и судов должен быть
сбалансированным для целей формирования последовательной и однородной
судебной практики.