Страница 17 из 22
3. В отечественной судебной практике встречаются случаи, когда суды некорректно толкуют понятие «обработка персональных данных», стремясь тем самым решить вопрос о применимости к спорным отношениям законодательства о персональных данных.
Так, суды не признают обработкой персональных данных действия по размещению на информационных стендах официальных документов, в которых могут содержаться персональные данные (например, данные о результатах аудита ТСЖ с информацией о фамилии, имени и отчестве истца, замещении им ранее должности председателя ТСЖ и размере получаемого вознаграждения или предписание Ростехнадзора), такие действия не являются обработкой персональных данных лица по смыслу Закона о персональных данных (см. апелляционные определения Верховного суда Республики Коми от 13 марта 2014 г. по делу № 33-1148/2014; Липецкого областного суда от 6 июня 2012 г. по делу № 33-1235/2012).
С приведенным толкованием вряд ли можно согласиться, учитывая максимально широкую формулировку понятия «обработка персональных данных», которое охватывает практически любые действия, совершаемые оператором с персональными данными. В указанных выше случаях более правильно говорить о неприменимости законодательства о персональных данных к спорным отношениям в силу отсутствия факта автоматизированной или квази-автоматизированной обработки, т.е. в силу ст. 1 Закона о персональных данных, а не в силу отсутствия факта обработки как таковой.
Понятие автоматизированной обработки персональных данных
1. Данное определение отсутствует в Директиве 1995 г. и Регламенте 2016 г., оно отсутствовало и в первоначальной редакции Закона о персональных данных, появившись лишь в 2011 г. В немалой степени его закреплению на законодательном уровне способствовали судебные споры, связанные с определением сферы действия Закона о персональных данных, в котором содержание понятия автоматизированной обработки данных играло ключевую роль (см. комментарий к ст. 1 настоящего Закона). В частности, предпринимались попытки определить указанный термин методом «от противного» применительно к существующему пониманию обработки без использования средств автоматизации, содержащемуся в Постановлении Правительства РФ от 15 сентября 2008 г. № 687. Поскольку согласно п. 2 данного документа обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее, делался вывод о том, что «средством автоматизации является не любое техническое средство, а только такое, при применении которого использование, уточнение, распространение, уничтожение персональных данных осуществляется без непосредственного участия человека» (см. также, например, Постановление Четвертого арбитражного апелляционного суда от 17 января 2011 г. по делу № А19-25289/2009). В связи с тем, что такое толкование явно расходилось с общими представлениями об автоматизированной обработке, судам приходилось ссылаться напрямую на текст Конвенции 1981 г. В настоящее время этот пробел восполнен.
2. Под автоматизированной обработкой теперь понимается любая обработка персональных данных, осуществляемая с использованием вычислительных средств. Иными словами, в случае если производится обработка персональных данных, существующих в цифровой форме, то она всегда имеет автоматизированный характер. В этой связи упомянутые ранее положения п. 2 Постановления правительства РФ от 15 сентября 2008 г. № 687 не должны применяться для толкования понятия автоматизированной обработки, но при этом продолжают иметь значение для определения содержания понятия обработки, осуществляемой без использования средств автоматизации59.
Понятие распространения персональных данных
1. В первоначальной редакции Закона о персональных данных понятие распространения персональных данных рассматривалось как обобщающее по отношению к различным видам обработки данных, связанных с их передачей иным лицам: размещением в сети «Интернет», предоставлением доступа, передачей определенному лицу и т.п. В настоящее время в качестве обобщающего понятия выступает термин «передача», который включает в себя распространение, предоставление и доступ, как это следует из понятия обработки персональных данных.
2. Распространение персональных данных означает совершение действий, в результате которых указанные сведения становятся доступными неопределенному кругу лиц. Распространение имеет место, в частности, при публикации таких данных в средствах массовой информации. О распространении можно говорить при размещении персональных данных в сети «Интернет» в отсутствие специального режима доступа к таким данным (например, по паролю). При этом, как представляется, наличие на интернет-сайте регистрации, которую может пройти любой желающий, не означает, что размещаемые данные рассчитаны лишь на определенный круг лиц – зарегистрированных пользователей. Другое дело, если такая регистрация доступна лишь лицам, обладающим определенным статусом (например, бизнес-партнерам компании), и соответствующая информация доступна только таким зарегистрированным пользователям.
Здесь следует провести аналогию с законодательством о рекламе, поскольку одним из существенных признаков рекламы является ее направленность на неопределенный круг лиц. Как отметил суд, толкуя данное понятие применительно к интернет-сайту, «Сайт ООО «Медика» в сети «Интернет» не предполагает какого-либо ограничения в доступе путем введения паролей, кодов для получения возможности его посещения либо прочтения подробных сведений об оказываемых Обществом услугах, в силу чего потенциальным потребителем услуг Клиники является любой пользователь сети «Интернет». Таким образом, информация на сайте интернета направлена неопределенному кругу лиц» (Постановление Девятнадцатого арбитражного апелляционного суда от 5 марта 2011 г. по делу № А14-7904/2010/227/10).
Перепост информации в социальных сетях, равно как и проставление «лайка», который влечет появление данного материала в ленте «друзей» пользователя, также могут быть квалифицированы в качестве распространения такой информации, за исключением случаев, когда настройки приватности ограничивают доступ к информации этого пользователя определенным кругом лиц («друзей»). В последнем случае при совершении перепостов и проставлении «лайков» корректнее говорить о предоставлении персональных данных.
3. Правовой режим распространения персональных данных практически идентичен режиму предоставления данных, поскольку в большинстве специальных норм Закона о персональных данных они обычно упоминаются совместно (см., например, ст. 7, ч. 1, 10, 11 ст. 19, п. 2 и 3 ч. 2 ст. 22). Однако в одном случае речь идет исключительно о распространении – при обработке персональных данных участников религиозной организации без согласия субъекта (см. комментарий к п. 5 ч. 2 ст. 10 Закона).
Понятие предоставления персональных данных
1. Предоставление персональных данных является частным случаем передачи персональных данных и означает действия по раскрытию таких данных определенному лицу или определенному кругу лиц. Частным случаем предоставления персональных данных является их передача по запросу уполномоченного государственного органа. При этом имеет место обработка таких данных, которая может осуществляться без согласия субъекта (п. 2 ч. 1 ст. 6 Закона о персональных данных).
2. В некоторых случаях в качестве синонима понятия «предоставление персональных данных» Закон использует термин «раскрытие третьим лицам» (ст. 7, п. 3 ч. 2 ст. 22 Закона о персональных данных). По-видимому, это следует объяснить недочетами юридической техники закона, в котором фрагментарно сохранились «остатки» прежней терминологии после поправок 2011 г.
3. В отношении персональных данных, которые одновременно выступают объектом иного режима охраняемой законом тайны, правовые акты, регулирующие такие виды тайны, также используют термин «предоставление», правда, без его дефиниции. В частности, согласно ст. 13 Федерального закона от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных ч. 3 и 4 указанной статьи. При этом в ст. 4 данного Закона говорится о «предоставлении сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя». Представляется, что понятие «предоставление», использованное в приведенной норме, должно толковаться в том же значении, что и в Законе о персональных данных, и охватывать только случаи передачи сведений, составляющих врачебную тайну, лишь конкретным лицам, исключая возможность предоставления к ним доступа неопределенному кругу лиц.
59
В литературе высказывается и более радикальное мнение, ‒ что указанное Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, противоречит в части ключевого определения федеральному закону и должно быть пересмотрено. См.: Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С. Комментарий к Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (постатейный) // СПС «КонсультантПлюс». 2013. См. п. 4 комментария к ст. 3.