Читать онлайн
Защита данных: научно-практический комментарий к судебной практике
Ответственные редакторы доктор юридических наук, профессор В.В. Лазарев, доктор юридических наук Х.И. Гаджиев
Одобрено секцией публичного права ученого совета Института законодательства и сравнительного правоведения при Правительстве Российской Федерации
Рецензенты:
А.И. Щукин – старший научный сотрудник отдела международного частного права ИЗиСП, кандидат юридических наук;
С.В. Липень – профессор кафедры теории и истории государства и права МГЮА, доктор юридических наук, профессор.
© Институт законодательства и сравнительного правоведения при Правительстве Российской Федерации, 2019
The Institute of Legislation and Comparative Law under the Government of the Russian Federation
DATA PROTECTION
Scientific and Practical Commentary on Judicial Practice
Executive editors
Doctor of Law, Professor V.V. Lazarev, Doctor of Law H.I. Gadzhiev
Moscow
LAW FIRM CONTRAKT
2020
Approved by the Section of Public Law of the Scientific Council of the Institute of Legislation and Comparative Law under the Government of the Russian Federation
Reviewers:
A.I. Shchukin – Senior Researcher, Department of Private International Law, ILCL, Candidate of Law;
S.V. Lipen – Professor, Department of Theory and History of State and Law, Moscow State Law Academy, Doctor of Law, Professor.
Data protection: scientific and practical commentary on judicial practice / V.V. Lazarev, H.I. Gadzhiev, E.V. Alimov etc; ex. ed. V.V. Lazarev, H.I. Gadzhiev; The Institute of Legislation and Comparative Law under the Government of the Russian Federation. – M.: LAW FIRM CONTRACT, 2020. – 176 p.
The value of information is growing exponentially and business entities are using new forms of its extraction and processing. The classical methods of personal data protection in various legal relations are the subject of constant review, which is why the nearest future probably will be the time of searching a compromise between protecting private life and ensuring the security of state.
This scientific and practical commentary is aimed on identifying trends in the processing of information containing personal data.
The following issues are considered: how much informed should be a consent to the processing of personal data regarding the possibilities of their processing and storage periods; what margins of discretion should law enforcement entities have to insure the balance between private and public interests in case of accessing to personal data without permission; how the expression of will of the subject of personal data to agree on processing of personal data should be expressed; how personal information and personal data contained in electronic documents is qualified by the courts as evidence; what recommendations for the legislator concerning personal data directly or indirectly follows from the practice of the Constitutional Court of the Russian Federation and from the practice of the other courts; what foreign experience of judicial practice on cases of protection of personal exists; what trends might be found in the practice of the European Court of Human Rights concerning processing of personal data.
For lawyers – scientists and practitioners, representatives of the business community and the Internet community, teachers, students and graduate students of law schools and faculties, as well as for a wide range of readers interested in the legitimate use of their personal data.
© The Institute of Legislation and Comparative Law under the Government of the Russian Federation, 2019
АВТОРЫ И СОСТАВИТЕЛИ
Лазарев В.В. – главный научный сотрудник центра фундаментальных правовых исследований ИЗиСП, доктор юридических наук, профессор, заслуженный деятель науки РФ (введение);
Гаджиев Х.И. – заведующий отделом судебной практики и правоприменения ИЗиСП, доктор юридических наук (гл. 10, заключение);
Алимов Э.В. – старший научный сотрудник отдела конституционного права ИЗиСП, кандидат юридических наук (гл. 2);
Алимова Д.Р. – младший научный сотрудник отдела теории права и междисциплинарных исследований законодательства ИЗиСП (гл. 1);
Грачева С.А. – старший научный сотрудник отдела судебной практики и правоприменения ИЗиСП, кандидат юридических наук (гл. 6);
Долова М.О. – старший научный сотрудник отдела гражданского законодательства и процесса ИЗиСП, кандидат юридических наук (гл. 3);
Ибрагимова Ю.Э. – младший научный сотрудник отдела судебной практики и правоприменения ИЗиСП (гл. 5);
Сидоренко А.И. – ведущий научный сотрудник отдела судебной практики и правоприменения ИЗиСП, кандидат юридических наук (гл. 8);
Черемисинова М.Е. – заведующий центром научных изданий ИЗиСП (гл. 4);
Черенкова В.С. – младший научный сотрудник отдела обеспечения деятельности секретариата делегации Российской Федерации в Европейской комиссии за демократию через право (Венецианской комиссии) ИЗиСП (гл. 9);
Щербак С.С. – научный сотрудник отдела гражданского законодательства иностранных государств ИЗиСП (гл. 7).
Введение
Как предсказывается многими учеными, озабоченными глобальными проблемами современности, повсеместное внедрение цифровых технологий подразумевает преобладающее значение информации в общественных отношениях. Ценность информации растет в геометрической прогрессии, в связи с чем хозяйствующие субъекты изобретают все новые формы ее извлечения и обработки. В таких условиях классические методы охраны личных данных в самых разных правоотношениях подлежат постоянному пересмотру с учетом меняющихся реалий. Судебная практика является одним из инструментов выявления отклонения развития правоотношений от целей законодательного регулирования, провозглашенных в Конституции Российской Федерации. Допустимы утверждения, что с онтологической точки зрения формируется новая реальность – киберреальность, в рамках которой существует потребность в соответствующем правовом регулировании. В настоящее время цифровые права уже признаны объектами гражданских прав. При этом многими отмечается, что такие цифровые права по существу представляют собой средства фиксации гражданских прав. В связи с этим значение порядка обработки персональных данных в сети Интернет возрастает колоссально, поскольку достоверность средства фиксации обеспечивается именно привязкой к автору и адресату юридически значимого сообщения. Только благодаря надлежащему порядку обработки персональных данных в сети Интернет можно упорядочить правоотношения, возникающие, существующие и прекращающиеся в названной киберреальности.
Другой важный аспект, на котором следует заострить внимание, – это обеспечение публичного порядка, что является одной из первоочередных задач государства. Современные технологии предоставляют беспрецедентные возможности для заинтересованных государственных структур по сбору и обработке персональных данных граждан, что в перспективе имеет как огромный потенциал для повышения эффективности государственного управления, так и не меньший потенциал злоупотреблений в процессе использования таких данных не по назначению. Предстоящие годы, а может и десятилетия, видятся временем поиска компромисса между охраной частной жизни и обеспечением безопасности государства. Уже сейчас ответом на обозначенный вызов среди представителей гражданского общества является внедрение технологий шифрования, благодаря которым личная переписка, иные сведения будут храниться в системах распределенных реестров, доступ к ним будет только у специально уполномоченного лица. Названные технологии, характеризуемые в качестве панацеи в области противостояния государственному контролю, поднимают множество вопросов, ответы на которые также должны следовать из имеющегося, пускай пока незначительного, опыта судебного рассмотрения подобных дел. Формируемые сегодня судами подходы могут стать базой для приведения к единообразию судебной практики и апробирования планируемых способов законодательного регулирования.
Отдельно следует упомянуть право на свободу слова. Европейский суд по правам человека неоднократно обозначал ориентиры, в рамках которых средства массовой информации могут собирать и распространять открытые для всеобщего доступа данные: сбор и систематизация информации должны поднимать общественно значимые проблемы, а не удовлетворять любопытство. Однако с внедрением технологий обработки больших данных вполне возможно, что данный подход устареет, поскольку многие открытые данные смогут предоставляться в один клик.
Настоящий научно-практический комментарий подготовлен с целью отслеживания тенденций в сфере обработки информации, содержащей личные данные как по гражданским, так и по уголовным делам. Важными являются вопросы: насколько согласие на обработку персональных данных должно быть информированным в части возможностей их обработки и сроков хранения; какие границы усмотрения должны соблюдать правоприменители, в части определения баланса частных и публичных интересов в случае доступа к персональным данным без соответствующего разрешения; каким образом должно быть выражено волеизъявление субъекта персональных данных о согласии на обработку персональных данных, в том числе с учетом возможностей выражения его в электронной форме; как личная информация и персональные данные, содержащиеся в электронных документах, квалифицируются судами в качестве доказательств; какие рекомендации для законодателя вытекают из практики Конституционного Суда Российской Федерации прямо или косвенно, равно как и из практики других судов, которые может воспринять законодатель; каков зарубежный опыт рассмотрения судами дел о защите личных данных, в особенности, на территории Европейского Союза; какие тенденции порядка обработки персональных данных вытекают из практики Европейского суда по правам человека, в особенности по делам о слежке в порядке уголовного преследования за лицами, подозреваемыми или обвиняемыми в совершении преступления.
Ответы на перечисленные, а также на многие другие вопросы постарались дать авторы настоящего комментария, при этом делая акцент на потребности юридической практики.
Глава 1
Согласие на обработку персональных данных: вопросы судебной практики
Современное российское законодательство о защите персональных данных предусматривает, что для их обработки оператору необходимо получить соответствующее согласие от субъекта персональных данных. Одной из основных целей регулирования порядка дачи субъектом согласия на обработку персональных данных является устранение информационной асимметрии в отношениях между оператором и субъектом персональных данных и обеспечение автономии воли последнего[1]. Согласие субъекта персональных данных на их обработку является единственным законным основанием для любого вида обработки персональных данных. Все случаи обработки персональных данных при отсутствии согласия субъекта на их обработку можно отнести к специальным: речь идет либо о специальных целях обработки, либо о специальном субъекте на стороне оператора, либо об обоих указанных случаях в совокупности.
§ 1. Общие требования к согласию на обработку персональных данных
В статье 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных», Закон № 152-ФЗ) к согласию на обработку персональных данных предъявляется ряд общих требований. Указанный закон содержит несколько условий принятия решения о предоставлении согласия на обработку персональных данных: такое решение принимается свободно, своей волей и в своем интересе. Кроме того, согласие должно отвечать следующим требованиям:
– быть точным, определенным и неабстрактным. Факт дачи согласия должен быть следствием действий субъекта персональных данных, а не вытекать из характера отношений между оператором их обработки и субъектом персональных данных. Молчание или бездействие субъекта персональных данных, даже если такое поведение в соответствии с политикой конфиденциальности оператора будет признаваться согласием, не будет удовлетворять указанному требованию. Также и в случае использования интернет-ресурсов с применением настроек конфиденциальности по умолчанию при отсутствии их изменения пользователем согласие на обработку персональных данных не будет считаться данным в надлежащей форме;
– быть информированным, то есть осведомленным о последствиях дачи такого согласия. Это требование означает, что перед дачей согласия субъекту предоставляется вся необходимая и достоверная информация о целях обработки, обрабатываемых данных, операторе и иных лицах, которые будут осуществлять обработку его персональных данных, сроки обработки, иная значимая информация, касающаяся обработки персональных данных. При этом из материалов сложившейся судебной практики следует, что желательно также и разъяснить субъекту персональных данных значение используемых терминов для полного соответствия согласия требованиям закона, поскольку без такого разъяснения информированность данного согласия может быть оспорена. Так, в постановлении Арбитражного суда Северо-Западного округа от 18 июля 2016 г. по делу № А44-9647/2015 указано: «Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным и предполагает, как минимум, письменное разъяснение субъекту персональных данных значения понятия «обработка персональных данных»;
– быть сознательным. Такое условие к даче согласия предполагает осмысленное принятие решения. Вынужденный характер дачи согласия ставит под сомнение его соответствие требованиям закона.
Статья 9 Закона № 152-ФЗ также содержит требования к форме согласия на обработку персональных данных: оно может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом. При этом помимо собственноручной подписи субъекта персональных данных на бумажном носителе признается и согласие в форме электронного документа, подписанного в соответствии с Федеральным законом электронной подписью. Таким образом, закон предусматривает широкую вариативность в вопросе оформления такого согласия.
В настоящее время согласие на обработку персональных данных может быть дано в различных формах.
§ 2. Согласие на обработку персональных данных в виде письменного документа с собственноручной подписью субъекта персональных данных
Получение согласия на обработку персональных данных в письменной форме является обязательным в следующих случаях, прямо предусмотренных Законом № 152-ФЗ:
– если в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных (ст. 8);
– если речь идет об обработке специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10);
– если речь идет о сведениях, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных (ст. 11);
– если в процессе обработки предполагается трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных. При этом, если речь идет о защите жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц, а получение согласия в письменной форме субъекта персональных данных невозможно, то такая передача может быть осуществлена (ст. 12);
– если решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных (ст. 16).
В остальных случаях соблюдение письменной формы не является обязательным.
В Законе № 152-ФЗ предусмотрен также конкретный перечень сведений, которые должны содержаться в согласии в письменной форме:
1) фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);