Прошло почти пять лет с момента принятия поправок в федеральный закон № 152-ФЗ «О персональных данных», повлекших обязанность операторов ПДн обеспечивать обработку личной информации российских граждан на территории Российской Федерации*. Политическая подоплека этой инициативы и жаркие споры вокруг нее давно забылись, осталось главное: исполнение требований закона.

Как один из крупнейших операторов коммерческих дата-центров в России, мы работаем с десятками клиентов, и видим, что далеко не всегда бизнес понимает, что именно необходимо предпринять для исполнения требований Федерального Закона № 152.

Самый распространенный сценарий, который запрашивают клиенты - осуществить перенос данных в облако на территории РФ. Экономическая выгода от использования виртуальных мощностей ЦОД вместо покупки и обслуживания собственных серверов - очевидный факт, но это не все, что требуется от компаний.

Не только перенос данных

Чаще всего компанию Linxdatacenter спрашивают: «Расположен ли ваш ЦОД на территории РФ?». Самые продвинутые заказчики интересуются, есть ли у хостинг-провайдера лицензия ФСТЭК на техническую защиту конфиденциальной информации («ТЗКИ»), зачастую не понимая при этом, зачем может потребоваться такая лицензия и какие дополнительные гарантии клиентам может предоставить ЦОД, обладающий этой лицензией.

Кроме требований 152-ФЗ к хранению данных в России существует множество других требований, стандартов и регламентов, относящихся к техническим и процедурным моментам управления ресурсами дата-центров. Говоря о персональных данных, важно понимать, что один лишь факт наличия лицензий, аттестатов и сертификатов не приближает клиента к обеспечению комплаенса по 152-ФЗ.

Только честно: зачем это нужно

В 2017 году статья 13.11 КоАП, устанавливающая ответственность за нарушение законодательства РФ в области персональных данных, претерпела существенные изменения: были конкретизированы составы нарушения (вместо одного состава появилось семь), существенно увеличены штрафы за нарушение требований работы с персональными данными. Вместе с тем, при действующем подходе регулятора компания штрафуется однократно за совокупность аналогичных нарушений, а не за каждое отдельное нарушение (например, если в компании неправильная форма согласия на обработку ПДн, которую заполнили 100 субъектов ПДн, компания будет оштрафована однократно, а не в стократном размере). Очевидно, что в масштабе бизнеса крупных компаний (а с большими объемами персональных данных работают именно такие - банки, страховщики, ритейлеры, агрегаторы по продаже билетов) эти штрафы не представляют серьезную проблему. Вопрос, скорее, в репутационных издержках, которые в случае возникновения утечек намного выше.

По мере развития цифровой экономики риски в области информационной безопасности только растут. По данным Infowatch , объем скомпрометированных данных по всему миру в 2017 году вырос в несколько раз.

Специалисты по безопасности фиксируют все больше случаев, когда данные утекают из облака на стороне самой компании: технические сотрудники забывают закрыть свободный доступ к хранилищам, компрометируют их из-за неверных настроек при организации совместной работы. Например, также в 2017 году была зафиксирована утечка персональных данных около 14 млн клиентов с облачного репозитория оператора Verizon из-за неверных действий команды администраторов.

Поделить ответственность

Кто несет ответственность за соблюдение требований и за возможные утечки? Аутсорсинг, при котором персональные данные обрабатываются сторонней компанией, разрешен законом (п. 3 ст. 6 152-ФЗ). Сервис-провайдер, принимая на себя обязанности по обработке данных, разделяет и юридическую ответственность бизнеса клиента.

Бизнесу порой кажется, что распределение ответственности с сервис-провайдером за обработку персональных данных - самая масштабная задача. Вместе с тем, клиенты упускают важный момент в вопросе комплаенса по 152-ФЗ. Перемещение одной (двух, трех) информационных систем в защищенную инфраструктуру ЦОД само по себе не обеспечивает соблюдения клиентом законодательства о персональных данных.

Выбор надежного партнера по обработке и хранению персональных данных - важнейший шаг.

Наибольшую значимость при выборе имеет экспертиза компании в работе с конфиденциальными сведениями. Вместе с тем, это лишь один из аспектов соблюдения требований: для обеспечения безопасности и конфиденциальности персональных данных, на которое и рассчитан 152-ФЗ, оператор данных должен предпринимать организационные, технические и правовые меры.

Без проведения комплексного аудита на соответствие требованиям 152-ФЗ не обойтись. Важнейший момент здесь - осознать, что аудит нужен не Роскомнадзору, а самой компании. Анализ принятых в компании бизнес-процессов и соотнесение их с установленными в законе правилами помогает компании выявить узкие места в схеме работы с конфиденциальной информацией. Вот тут и встает вопрос о привлечении лицензиата ФСТЭК.

Следует упомянуть, что на сегодняшний день у регулятора отсутствуют полномочия проверять бизнес на предмет соблюдения законодательства о персональных данных в части принятия необходимых организационных и технических мер**. Такой подход выводит на первый план правовые меры, предусмотренных 152-ФЗ - разработка локальных актов, назначение лица, ответственного за обработку данных и т.д. Вместе с тем, важно осознать, что усилия по обеспечению комплаенса в области обработки данных представляют собой комплексный процесс: правовые меры обеспечения безопасности данных неразрывно связаны с организационными и техническими мерами, и не существуют в отрыве друг от друга.

У бизнеса должна выработаться привычка осуществлять последовательные непрерывные действия, направленны е на недопущение компрометации данных.

Как проходит аудит?

Это довольно трудоемкая процедура, с которой может успешно справиться только опытный сервис-провайдер, обладающий правовой и технической экспертизой. Сам оператор персональных данных как правило не обладает достаточными знаниями и опытом проведения подобных мероприятий, ввиду чего привлечение профессионалов на этапе построения системы защиты персональных данных является крайне желательным.

Аудит включает оценку бизнес-процессов компании, касающихся работы с данными, анализ локальных нормативных актов, договоров с контрагентами и тд.

Перед специалистами сервис-провайдера стоит ряд задач:

выявить все недочеты в бизнес-процессах аудируемого клиента,

определить перечень информационных систем, в которых осуществляется обработка персональных данных (ИСПДн),

смоделировать угрозы, актуальные для каждой ИСПДн клиента,

подготовить технический проект для системы защиты персональных данных клиента (СЗПДн).

После это специалисты разрабатывают комплект организационно-распорядительной документации, который может включать в себя около 40 различных документов, пошагово регламентирующих процессы обработки данных внутри компании. На базе этой документации принимаются необходимые организационные, технические и правовые меры для защиты персональных данных.

По сути, результат такой работы представляет собой индивидуальное проектное решение для конкретного бизнеса, которое сочетает в себе элементы правового и технического консалтинга в области информационной безопасности.

Дорогое бездействие

Гарантия надежной защиты персональных данных и любой ценной для бизнеса информации является такой же мерой качества современных ИТ-сервисов, как и их базовые характеристики.

Отсутствие должного понимания важности качественной защиты информации является глобальной проблемой, и не нужно думать, что Россия в этом отношении как-то выделяется.

Вопросы о размещении на различных сайтах в сети «Интернет» персональных данных пользователей (ПД), появляются на Праворубе с завидной регулярностью, однако, содержание как самих , так и ответов на них, свидетельствует о том, что далеко не все правильно понимают, что же такое персональные данные, каков их юридический статус, кто, и что может делать с персональными данными пользователей web-сайтов.

Поскольку мне, в качестве официального представителя портала Праворуб, регулярно приходится давать ответы на всевозможные запросы и жалобы, я попробую в этой статье разъяснить, что же это за зверь такой, и что делать в той или иной ситуации, касающейся персональных данных и их обработки.

В соответствии с ч. 1 ст. 3 закона РФ «О персональных данных» от 27.07.2006 № 152-ФЗ, персональные данные это:

любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Таким образом, на сегодняшний день, благодаря «бесконечной мудрости» и «прозорливости» наших законодателей, к персональным данным, теоретически, можно отнести почти всё, что гражданин (субъект персональных данных), либо любой государственный «контролёр» посчитает, прямо или косвенно, относящимся к конкретному физическому лицу.

Именно столь бесконечно широкое определение и вводит большинство граждан, в т.ч. и должностных лиц надзирающих и контролирующих органов, в заблуждение относительно ключевого понятия объекта правовой защиты.

Понять, что же всё-таки относится к защищаемым законом персональным данным, проще всего путём исключения из вышеприведённого определения всего того, что к ним (ПД), не относится, а перечень таких исключений прямо перечислен в ч. 2 ст. 1 закона № 152-ФЗ, т.е. личные архивы физических лиц, государственные архивы, и многочисленные государственные информационные системы этим законом не регулируются и персональными данными не являются.

Однако, даже в тех случаях, когда сведения о гражданине относятся к категории персональных данных, далеко не всегда сам субъект персональных данных вправе требовать их изменения или удаления.

Не буду утомлять читателя перечислением всех многочисленных целей и условий сбора, хранения, и обработки персональных данных, а вновь обращу внимание на исключения, то есть те случаи, когда субъект персональных данных фактически утрачивает право и возможность повлиять на сведения (информацию, ПД) о себе любимом, находящуюся у иных лиц - операторов персональных данных.

Субъект персональных данных фактически утрачивает право требования удаления информации (сведений) о себе, когда имеется совокупность обстоятельств, указанных в п. 10 или 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», то есть в тех случаях, когда гражданин сам сделал сведения о себе общедоступными (например - опубликовал в СМИ или сети «Интернет»), либо эти данные подлежат обязательному опубликованию (например - сведения о кандидатах в депутаты или данные реестра адвокатов).

Собственно именно об этом и говорится в преамбуле (ПС) портала «Праворуб», как и большинства других приличных сайтов:

Пользователь безвозмездно и бессрочно передает Владельцу сайта право использования своих произведений, сбор, обработку и опубликование своих персональных данных, в том числе своих изображений, и контактных данных

Здесь стоит напомнить, что на Праворубе, как и абсолютном большинстве web-сайтов, ничего нельзя написать без прохождения процедуры регистрации и прямого подтверждения своего согласия с условиями пользовательского соглашения.

Конечно далеко не все пользователи, даже после регистрации на сайте, удосуживаются прочесть условия пользовательского соглашения, но поставив «галочку» в регистрационной форме сайта, Вы уже совершили полный и безоговорочный акцепт () и заключили договор с владельцем сайта на условиях пользовательского соглашения.

Применительно к порталу «Праворуб», необходимо учитывать так же его особенности, в частности - систему аутентификации пользователей профессиональных категорий, и систему разграничения уровней доступа к различному контенту, и если с профессионалами, подтвердившими свою категорию, всё понятно, то с неаутотентифицированными пользователями (гости и энтузиасты) картина иная.

Если о пользователях профессиональных категорий владельцам портала известно достаточно много, то о «гостях» известно только с какого адреса электронной почты проведена регистрация аккаунта и IP-адреса с которых осуществлялась авторизация пользователя.

Однако, эти данные (E-Mail & IP), даже с большой натяжкой, вряд-ли можно отнести к категории персональных данных, поскольку сами по себе они человека однозначно не идентифицируют.

Точно так же, как не являются персональными данными всевозможные «ники» - псевдонимы, в качестве которых могут использоваться хоть собачьи клички, хоть названия любимых чипсов пользователя, и это (по крайней мере пока) право пользователя, не претендующего на получение профессиональной категории, и желающего сохранить свою анонимность, что коррелирует с отнесением к адвокатской тайне даже самого факта обращения гражданина за юридической помощью.

Тем не менее, «особо одарённые» пользователи, частенько не задумываются о последствиях своего поведения и имеющихся на большинстве сайтов технических ограничениях возможности позднего редактирования своих публикаций и комментариев, и «смело» указывают на своих личных страницах и в собственных «произведениях» массу информации о себе, а потом, опомнившись (порой через несколько лет) требуют удалить всю их писанину.

Естественно, всем таким «опомнившимся» и «прозревшим» администрация отказывает и предлагает обращаться в суд в случае несогласия, одновременно предупреждая о сомнительности этой перспективы, и взыскании судебных издержек в случае проигрыша.

И дело тут вовсе не в самоуверенности владельцев сайта, а в том, что имеются как технические и организационные, так и законодательные препятствия в удовлетворении подобных «хотелок».

С технической и организационной стороны, препятствия состоят в том, что зачастую пользователь не может даже указать точную ссылку на нужную страницу, не говоря уже о том, что обращающийся с «хотелкой» пользователь никак не может соотнести себя с автором той писанины, которую требует удалить, и не желает понимать, что невозможно «выпилить» его комментарий из ветки обсуждения, не нарушив целостность всей цепочки, и не поставив в глупое положение всех тех пользователей, которые ответили на его комментарий.

С юридической же стороны всё ещё сложнее - многие даже не подозревают о существовании ст. 10.1 федерального закона (из «пакета Яровой») от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», которая называется: «Обязанности организатора распространения информации в сети «Интернет», за нарушение требований которой установлена отнюдь не символическая ответственность, предусмотренная .

Не вдаваясь в анализ самих норм этой статьи, и множества подзаконых актов, возлагающих на организаторов распространения информации в сети «Интернет» множество весьма обременительных обязанностей, могу сказать только одно: ни один владелец сайта, представляющего хоть какую-то ценность, не станет рисковать своим сайтом ради чьих-то сомнительных хотелок.

Для тех кто «не в курсе» напомню - портал Праворуб включен в федеральный реестр организаторов распространения информации в сети «Интернет». Реестровый № 17-PP от 27.11.2014 г., о чём официально указано . Просто вдумайтесь: наш сайт включен в реестр организаторов распространения информации семнадцатым, среди тысяч других сайтов, и Вы поймёте, какое пристальное внимание ему уделяют «органы».

Всем добросовестным, но «сильно спешащим» пользователям, хочу процитировать один из стандартных ответов администрации сайта на просьбы об удалении чего бы то ни было с сайта:

Всё, что Вы написали на Праворубе, останется здесь навсегда.

Размещая своё Произведение (публикацию, вопрос, комментарий, документ - любой контент) на сайте, автор (пользователь) признаёт, что оно становится частью Сайта, как сложного составного произведения (), и предоставляет Владельцу сайта неограниченную и бессрочную лицензию (исключительные права) на безвозмездное использование любых своих произведений, добровольно размещённых пользователем на сайте, по усмотрению Владельца сайта, а так же признаёт безусловное авторское право Владельца сайта на это сложное составное произведение. Право на отзыв () к произведениям, размещённым пользователями на сайте, не применяется.

Тем же, кому действительно есть резон убрать из публичного доступа (но не удалить безвозвратно) свои необдуманные «произведения» и спрятать свои «грехи молодости», придётся воспользоваться специальным инструментом, доступным только автору публикации/вопроса, но за маскировку собственной глупости, придётся уже заплатить, хотя лично я считаю это справедливым, и оправданным «предохранителем» от возможного буйства современных «геростратов».

Ну а тем, кто пытается использовать Интернет в целях навредить кому бы то ни было, могу лишь напомнить о существовании как гражданско-правовых, так и административных и уголовных инструментов борьбы с подобными проявлениями.

Всем пользователям интернета нужно помнить, что в интернете ничего не исчезает бесследно, и каждый пользователь сам должен думать, где и что он пишет, и отвечать за последствия своего поведения в Сети.

Защита персональных данных в России стремительно набирает обороты. СМИ и интернет-операторы вынуждены доказывать в судах, что размещенная информация является достоверной и не нарушает права граждан или организаций. В обзоре судебной практики - дела по защите персональных данных бизнесменов и простых граждан.

1. Закон о защите персональных граждан не противоречит Конституции РФ

Конституционный Суд РФ решил, что норма "О персональных данных", согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, не противоречит Конституции РФ .

Суть спора

В Конституционный Суд РФ с жалобой на несоответствие Конституции РФ статьи 7 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, обратилась гражданка. Заявительнице было отказано в предоставлении данных на третьих лиц, которые ранее являлись ее коллегами в образовательном учреждении. Гражданка сочла, что эта норма противоречит части 4 статьи 29 Конституции РФ , поскольку позволяет правоприменительным органам отказывать в предоставлении информации, необходимой для защиты нарушенных прав гражданина.

Решение суда

Конституционный Суд определением от 26 мая 2016 г. N 1158-О отказал гражданке в принятии жалобы к рассмотрению. Судьи отметили, что КС РФ уже неоднократно указывал, что в понятие "частная жизнь" включается только та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если носит непротивоправный характер. Поэтому ограничение на раскрытие и распространение информации, относящейся к персональным данным, направлено на обеспечение разумного баланса конституционно-защищаемых ценностей. В связи с этим оспариваемая заявительницей норма закона не может рассматриваться как нарушающее ее конституционные права в указанном в жалобе аспекте.

2. За распространение материалов, содержащих персональные данные, СМИ может быть закрыто

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может прекратить деятельность средства массовой информации, если были установлены факты распространения материалов, содержащих персональные данные, и другие систематические нарушения требований закона, допущенные редакцией издания. Так решил Верховный суд РФ.

Суть спора

За нарушение требований статьи 4 и опубликование редакцией газеты "Лабинские вести" материалов, которые содержали персональные данные несовершеннолетней гражданки, а именно фамилии, имени, сведений о школе, в которой обучается несовершеннолетняя, без ее согласия и согласия ее законного представителя, а также ряда других статей с персональными данными несовершеннолетних, Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций вынесло письменное предупреждение о недопустимости распространения через средство массовой информации сведений, составляющих специально охраняемую законом тайну, главному редактору СМИ газеты "Лабинские вести". Однако, главный редактор не отреагировала на это предупреждение и продолжала публиковать персональные данные граждан без их согласия. Поэтому Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций обратилось в Краснодарский краевой суд с исковым заявлением о прекращении деятельности газеты "Лабинские вести".

Решение суда

Решением суда первой инстанции исковое заявление Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций было удовлетворено и деятельность газеты прекращена. В качестве апелляционной инстанции в этом процессе Судебная коллегия по административным делам Верховного Суда Российской Федерации. В определении Верховного Суда РФ от 24.06.2015 N 18-АПГ15-7 судьи не нашли оснований для отмены решения суда первой инстанции. Причиной для такого решения послужил тот факт, что в силу статьи 4 не допускается использование средств массовой информации для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну. Новелла статьи 16 данного закона определяет, что основанием для прекращения судом деятельности средства массовой информации являются неоднократные нарушения редакцией требований данного закона. Такие нарушения должны происходить не менее, чем в течение двенадцати месяцев. Как это происходило в спорной ситуации, по поводу чего регистрирующий орган делал письменные предупреждения учредителю и главному редактору. Кроме того, судьи отметили, что по нормам статьи 3 такими данными признается любая информация, которая относится к прямо или косвенно определенному субъекту персональных данных. К этим сведениям, в частности, относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. В соответствии с требованиями закона обработка персональных данных может осуществляться только с письменного согласия в письменной форме субъекта персональных данных. Поэтому, редакция, получившая доступ к персональным данным, должна обеспечить конфиденциальность персональных данных путем их обезличивания. Объективных доказательств того, что у редакции газеты были исключительные обстоятельства для распространения персональных данных в связи с защитой общественных интересов судами получено не было.

3. Требование о предъявлении паспорта на кассе не является нарушением

Нарушение установленного законом порядка сбора, хранения и использования информации о гражданах подлежит административному наказанию. Однако у покупателя в магазине при возврате товара кассир обязан проверить паспорт и заполнить финансовую документацию, в соответствии с требованием законодательства. Верховный суд РФ, что такие действия не являются нарушением закона о защите персональных данных.

Суть спора

В отношении торгующей организации постановлением прокуратуры было возбуждено дело об административном правонарушении, предусмотренном статьей 13.11 КоАП РФ . Данное нарушение выразилось в том, что в магазине организации в ходе проверки на предмет соблюдения законодательства о персональных данных было установлено, что организация осуществляет обработку персональных данных физических лиц путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи. При этом осуществляемая организацией обработка персональных данных покупателей не подпадает под исключения, установленные в статье 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных". Проверка была проведена по заявлению гражданина, который изъявил желание вернуть товар в магазине "Покупочка". При этом ему было предложено заполнить в обязательном порядке заявление, в котором необходимо указывать персональные данные для возврата денежных средств, при наличии чека. В силу статьи 5 Федерального закона "О персональных данных" истребование персональных данных является избыточным. На основании этого организация была привлечена мировым судьей к административной ответственности за совершение административного правонарушения, предусмотренного статьей 13.11 КоАП РФ в виде предупреждения. Однако организация свою вину не признала и обжаловала решение мирового судьи.

Решение суда

Вышестоящие судебные инстанции согласились с выводами мирового судьи о наличии в действиях общества состава данного административного правонарушения. Однако Верховный суд РФ, куда обратилась с жалобой организация, постановлением от 15 июня 2016 г. N 25-АД15-3 отменил все принятые по делу судебные акты и признал организацию невиновной. Судьи отметили, что в соответствии с законом о персональных данных обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных законодательством. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Однако, по нормам покупатель вправе отказаться от исполнения договора купли-продажи и потребовать возврата уплаченной за товар денежной суммы. Постановлением Правительства РФ от 19 января 1998 г. N 55 утверждены Правила продажи отдельных видов товаров, согласно которым которых покупатель вправе возвратить приобретенный товар продавцу и получить уплаченную за него денежную сумму. При этом, продавец обязан соблюдать Положение о порядке ведения кассовых операций с банкнотами и монетой Банка России на территории Российской Федерации, утвержденное Банком России от 12 октября 2011 г. N 373-П (утратило силу с 1 июня 2014 года в связи с изданием Указания Банка России от 11 марта 2014 г. N 3210-У). В соответствии с которым, порядок ведения кассовых операций в целях организации на территории РФ наличного денежного обращения предусматривает выдачу наличных денег кассиром непосредственно получателю, указанному в расходном кассовом ордере, только при предъявлении им паспорта или другого документа, удостоверяющего личность в соответствии с требованиями законодательства Российской Федерации. Исходя из этих норм, ситуация с возвратом денег покупателю из кассы организации на основании его письменного заявления с указанием фамилии, имени, отчества и данных документа, удостоверяющего личность, не противоречит требованиям законодательства. Истребование указанных персональных данных избыточным не является. Поэтому отсутствуют основания для привлечения организации к административной ответственности.

4. Организации обязаны предоставлять ФАС сведения о персональных данных клиентов

Федеральная антимонопольная служба имеет право наказать организацию за отказ предоставить по запросу документы, которые содержат персональные данные физических лиц. Так решил Верховный суд РФ.

Суть спора

Решение суда

5. Журналисты должны получать согласие на использование изображений и персональных данных граждан

Если журналист не получил согласия гражданина на публикацию информации о нем и фотографии в СМИ, то он нарушил закон и должен компенсировать гражданину моральный вред. Так решил Санкт-Петербургский городской суд.

Суть спора

Гражданин обратился в районный суд Санкт-Петербурга с исковым заявлением к ЗАО "Издательский дом "Комсомольская правда" о признании незаконным распространение газетой "Комсомольская правда" персональных данных, а также его личного изображения. Кроме того гражданин просил взыскать с редакции газеты компенсацию морального вреда и опубликовать в ближайшем планируемом выпуске газеты "Комсомольская правда" опровержение. Причиной для такого обращения в суд послужил тот факт, что газета "Комсомольская правда", зарегистрированная как электронное средство массовой информации в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций опубликовала в сети интернет статью. В этой статье содержалось интервью журналиста с гражданином с размещением его личной фотографии. В статье упоминаются сведения о личной жизни гражданина, по большей части не соответствующие действительности, а также его персональные данные. Поскольку, гражданин уверен, что не давал такого интервью, не принимал какого-либо участия в размещении статьи, а также не давал кому-либо разрешения на опубликование своего изображения, в том числе, в данной газете, он обратился в суд.

Решение суда

Суд первой инстанции частично удовлетворил исковые требования гражданина. Суд постановил признать незаконным распространение газетой "Комсомольская правда" персональных данных, а также использование изображения гражданина в оспариваемой статье. Кроме того, судья взыскал с редакции газеты "Комсомольская правда" в пользу истца компенсацию морального вреда. Санкт-Петербургский городской суд с выводами коллег согласился и апелляционным определением от 09.07.2015 N 33-11751/2015 по делу N 2-1510/2014 оставил решение суда первой инстанции без изменения. Основанием для такого решения послужили выводы судей о том, что по нормам статьи 152.1 Гражданского кодекса РФ обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. Кроме того, действиями ответчика допущено нарушение такого нематериального права, как право на неприкосновенность личной жизни, поэтому требование истца о взыскании компенсации морального вреда подлежит удовлетворению. В силу статьи 151 Гражданского кодекса РФ , причинение морального вреда гражданину (физических или нравственных страданий) действиями, нарушающими его личные неимущественные права, либо посягающими на принадлежащие гражданину другие нематериальные блага, предполагает обязанность денежной компенсации такого вреда. Истребовать такую компенсацию пострадавший гражданин может в судебном порядке.

Главная Публикации Статьи 2018–2017 СМИ vs Роскомнадзор

СМИ vs Роскомнадзор

Как сделать журналистский материал и не нарушить закон о персональных данных?

Имена, фамилии, должности, фотографии – неотъемлемые элементы публикаций СМИ. Они же – персональные данные граждан, защищаемые законом. На публикацию каких личных сведений в СМИ обращает внимание Роскомнадзор, какие данные относятся к персональным, в каких случаях журналист может использовать их без разрешения, а в каких нет – рассказывает АНРИ.

Материал подготовлен на основе вебинара , проведенного ведущим юристом , экспертом по медиаправу Михаилом Хохолковым в рамках проекта Альянса независимых региональных издателей (АНРИ) с использованием гранта Президента РФ на развитие гражданского общества, предоставленного Фондом президентских грантов.

1. ​​​Что такое персональные данные?

Персональные данные (ПД) − это любая информация, прямо или косвенно относящаяся к физическому лицу, с помощью которой он может быть идентифицирован. Закрытого перечня таких данных не существует – к ним относят любые сведения, по которым можно идентифицировать человека: ФИО, паспортные данные, ИНН, СНИЛС, место работы и должность, сведения об образовании, имуществе и здоровье, cookie в браузере пользователя, семейное и социальное положение, а также изображение человека вкупе с другими данными. Для определения того, могут ли сведения идентифицировать человека важны, скорее, не сами данные, а их совокупность.

2. При чем тут СМИ?

Редакции СМИ имеют дело с персональными данными, когда (1) распространяют сведения в журналистских материалах; (2) выступают операторами данных и занимаются их обработкой (например, данных своих сотрудников или подписчиков).

Здесь мы рассказываем о первом случае использования персональных данных.

3. Какой закон регулирует защиту персональных данных?

С 2006 года в России действует закон «О персональных данных». В 2017 году внесены поправки в статью 13.11 КоАП РФ, предусматривающую ответственность за нарушение законодательства о персональных данных: выделены семь видов таких нарушений и увеличен размер штрафов до 75 000 рублей по отдельным составам.

Контроль защиты ПД осуществляет Роскомнадзор, который имеет довольно широкие полномочия и может составлять протоколы об административных правонарушениях. Ведомство самостоятельно определяет, являются ли распространяемые сведения персональными данными. В случае выявления нарушения РКН выносит редакции предупреждение. После двух предупреждений в течение года Роскомнадзор имеет право обратиться в суд с иском о прекращении деятельности СМИ.

4. Что такое «обработка персональных данных» применительно к журналистике?

Абсолютно любые действия, совершаемые с персональными данными, называются их обработкой (сбор, хранение, распространение).

Закон закрепляет принципы обработки:

• Законное и справедливое основание обработки ПД.
  Подразумевается, что работать с данными можно либо с согласия субъекта ПД, либо без согласия – в случаях, предусмотренных законом.
• Соответствие цели и объема данных.
  Подразумевается, что содержание и объем публикуемых данных должны соответствовать цели публикации. Например, если журналист готовит материал о пропавшем человеке, не нужно давать о нем избыточную информацию (скажем, об отношениях с родственниками). В расследовании не всегда нужно публиковать сканы документов – часто достаточно упоминания о том, что документ имеется. Публикуемые личные данные должны «работать» на конкретные факты и отвечать общей идее материала.

  Роскомнадзор в своей практике не относит к персональным данным ФИО или фото сами по себе, поэтому их можно публиковать без получения разрешения (при соблюдении требований ст. 152.2. Гражданского кодекса РФ). А вот фото вкупе с именем и/или должностью уже считаются персональными данными.

• Срок хранения данных.
  Требование удалять данные после того, как достигнута «цель обработки», трудно применимо к журналистике. Но иногда применимо: если речь идет, например, о распространении ориентировок о розыске несовершеннолетнего. После того, как ребенок нашелся, онлайн-медиа следует удалить с сайта информацию, содержащую персональные данные.

5. Когда можно публиковать ПД без согласия человека?

Понятно, что получить у героя публикации согласие на публикацию ПД невозможно, если статья носит разоблачительный характер.

В законе есть оговорки, позволяющие публиковать данные без согласия человека:

• При распространении общественно-значимой информации.
• При осуществлении профессиональной деятельности журналиста.
• Если персональные данные общедоступны (картотеки судебных дел, государственные реестры) либо сам субъект ранее сделал их общедоступными. Подпадают ли под это условие сведения из соцсетей – спорный вопрос.
• Если персональные данные содержатся в документах, подлежащих обязательному опубликованию в соответствии с федеральным законом: например, декларации чиновников о доходах.

Однако в законе указано, что перечисленные случаи не должны нарушать «права и свободы субъекта персональных данных». Из-за отсутствия четкого определения, какие права и свободы можно нарушить, Роскомнадзор очень широко трактует данную оговорку.

6. ​Общественно значимые цели публикации

Закон допускает обработку ПД без согласия субъекта ПД для достижения общественно значимых целей (п. 7 ст. 6 152-ФЗ «О персональных данных»). Постановление Пленума Верховного Суда РФ от 15.06.2010 г. №16 «О практике применения судами закона «О СМИ» относит к общественным интересам не любой интерес, а потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде.

Роскомнадзор самостоятельно не определяет наличие или отсутствие в публикации общественно значимых целей, поэтому журналисту стоит позаботиться о собственном обосновании общественного интереса и корреляции с этим интересом публикуемых личных данных, взятых, например, из Instagram конкретного чиновника.

7. Как должно выглядеть согласие героя публикации на распространение его персональных данных?

Согласие на обработку ПД может быть получено в письменной либо иной форме, позволяющей подтвердить факт его получения. Такие формы согласия, как электронные письма, переписка в мессенджере, видео, аудиозапись, допустимы, но ненадежны.

Закон «О персональных данных» устанавливает случаи, когда письменное согласие является обязательным:

• создание общедоступных источников информации (справочников, адресных книг и т.д.);
• использование специальных категорий данных (раса, национальность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь);
• использование биометрических данных (фото- и видеоизображения, отпечатки пальцев, ДНК);
• трансграничная передача ПД в некоторые страны (те, которые не обеспечивают «адекватную» защиту персональных данных, по мнению Роскомнадзора);
• если обработка данных порождает юридические последствия.

Требования к письменной форме согласия установлены законом. Она обязательно должна содержать (ч. 4 ст. 9 ФЗ «О персональных данных): ФИО, адрес субъекта или его представителя, данные паспорта; наименование или ФИО и адрес оператора, получающего согласие субъекта ПД; цель обработки ПД; перечень ПД, на обработку которых соглашается человек; наименование или ФИО, адрес третьего лица, которому передают ПД; перечень действий с ПД, на совершение которых дается согласие; срок, в течение которого действует согласие, а также способ его отзыва; подпись субъекта ПД.

8. ​​​Являются ли фотографии персональными данными?

Среди персональных данных выделяют «чувствительные» категории – специальные данные и биометрические данные. Для них предусмотрен еще более строгий порядок обработки.

Специальные ПД – это указание на расу, национальность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимную жизнь, судимость. Обработка таких сведений допускается только при наличии письменного согласия человека – кроме случаев, когда «чувствительные» данные общедоступны, и случаев, предусмотренных трудовым, пенсионным или страховым законодательством.

Биометрические ПД – это сведения, характеризующие физиологические и биологические особенности человека, с помощью которых можно установить его личность. Роскомнадзор к таким данным относит отпечатки пальцев, радужную оболочку глаза, анализы ДНК, рост, вес, а также фото и видеоизображение человека.

Фотография сама по себе не является ПД, однако если рядом с ней есть указание на имя и фамилию и/или должность и вкупе эти сведения позволяют идентифицировать человека, то фото в данном случае будет «биометрическим ПД».

Кроме того, публикуя портретное фото, журналисту нужно помнить о праве на изображение.

9. ​Существуют ли ограничения при работе с открытыми реестрами данных?

Журналисты много работают с государственными общедоступными реестрами: картотеками судебных решений, ЕГРЮЛ, декларациями чиновников и т.п., часто совмещая в одной публикации сведения из разных источников.

Тут нужно помнить о возможных рисках – пока, к счастью, теоретических. В п. 3 ст. 5 ФЗ «О персональных данных» говорится, что «не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой». Непонятно, насколько такая позиция может быть применима к профессиональной деятельности журналиста, чья прямая обязанность – использовать разные источники при поиске информации на общественно значимую тему.

10. ​​​Относятся ли сведения из соцсетей к общедоступной информации?

Юристы расходятся во мнениях, являются ли соцсети общедоступными источниками информации.

Во-первых, трудно сказать, относятся ли соцсети к общедоступным источникам персональных данных по смыслу статьи 8 152-ФЗ «О персональных данных», в которой говорится: «В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги)». Вряд ли соцсети можно отнести по аналогии к справочникам.

Во-вторых, в законе ничего не говорится о том, можно ли свободно обрабатывать данные, которые человек сам опубликовал в соцсетях. По этому поводу нет ни разъяснений Роскомнадзора, ни судебной практики.

В то же время медиаюрист Светлана Кузеванова придерживается иной точки зрения: публикация данных человеком о самом себе в социальных сетях или блоге делает их доступными для неограниченного круга лиц. Соответственно, журналисты вправе их распространять без письменного согласия субъекта на основании п. 10 ст. 6 152-ФЗ.

11. ​​​Что можно, а чего нельзя писать о детях?

При публикации информации о детях, их фотографий всегда необходимо письменное согласие родителей (опекуна).

Писать о детях-жертвах преступлений нужно особенно осторожно. Согласно ст. 4 закона «О СМИ», запрещается публиковать в СМИ и Интернете информацию о несовершеннолетнем, пострадавшем в результате противоправных действий (бездействия), включая ФИО, фото- и видеоизображения такого несовершеннолетнего, его родителей и иных законных представителей, дату рождения, аудиозапись голоса, место жительства или место временного пребывания, место учебы или работы, иную информацию, позволяющую прямо или косвенно установить личность несовершеннолетнего.

Исключения составляют случаи, когда распространение такой информации происходит в целях защиты прав и интересов несовершеннолетнего. Условия использования ПД в такой ситуации указаны в ст. 41 закона «О СМИ» – их можно распространять только с письменного согласия родителя (опекуна) ребенка. Если несовершеннолетнему исполнилось 14 лет, нужно получить два согласия: подростка и его родителей (опекуна). Если получить согласие невозможно, либо если законный представитель является подозреваемым или обвиняемым в совершении противоправных действий, допустимо использовать данные без согласия.

Те же условия действуют в ситуации, когда речь идет о несовершеннолетнем, совершившим преступление (административное правонарушение или антиобщественное действие) либо подозреваемым в его совершении.

Публикации о детях-жертвах сексуальных преступлений допускаются только в целях расследования преступления, установления лиц, причастных к совершению преступления, розыска пропавших несовершеннолетних. И только в объеме, необходимом для достижения указанных целей (ст. 41 закона «О СМИ»).

12. ​​Как публиковать объявления о розыске ребенка?

Публиковать такую информацию нужно в том объеме, в каком ее предоставляют правоохранительные органы. Не нужно публиковать избыточную информацию, например, писать о жизни ребенка с родителями или отношениях с одноклассниками. Кроме того, распространять эту информацию можно лишь в период проведения оперативно-розыскных мероприятий. Как только ребенок найден, следует ограничиться информацией, что «пропавший мальчик нашелся», и удалить информацию о розыске с сайта и из соцсетей.

Постарайтесь сохранять скриншоты ориентировок и писем правоохранительных органов – они страхуют СМИ от возможных претензий.

13. ​​​Как публиковать информацию об обвиняемом в преступлении?

СМИ могут публиковать данные о подозреваемом или обвиняемом в преступлении (имя, фамилия, возраст, место преступления) в том объеме, в котором ее предоставляют официальные источники – следственные органы, прокуратура или МВД. Не забывайте про скриншоты пресс-релизов, поскольку правоохранительные органы часто меняют или удаляют ранее распространенную информацию.

Редакция СМИ не несет ответственности за распространение ПД из официальных сообщений госорганов, информационных агентств, официальных ответах на журналистский запрос, материалах пресс-служб, правоохранительных органов и других организаций, интервью и публичных выступлений должностных лиц, а также если сведения являются дословным воспроизведением информации из другого СМИ.

Однако всегда следует проводить «тест на избыточность» распространяемых персональных данных и соответствие их целям публикации.

14. ​​​Как же сделать журналистский материал и не нарушить закон о персональных данных? Резюме.

Журналисту необходимо заручиться согласием субъекта данных либо соблюсти одно из четырех условий свободного использования ПД:

• распространение общественно-значимой информации,
• осуществление законной профессиональной деятельности журналиста,
• использование общедоступных данных,
• использование данных, обязательных к раскрытию.

Причем эти условия не должны нарушать «права и свободы субъекта персональных данных». Каждую публикацию нужно проверять на «избыточность», то есть следить, чтобы содержание и объем персональных данных соответствовали цели материала.

27 июля в Роскомнадзоре прошел день открытых дверей. В ситуационном центре представители ведомства рассказали о правовых новшествах в законе о персональных данных, а также ответили на вопросы общественности.

Основную часть присутствующих составляли журналисты и члены бизнес-сообщества. На мероприятии побывал и корреспондент Федерального агентства новостей .

Новые подходы для новых времен

Роскомнадзор рассказал о принятых поправках в закон о персональных данных. По словам заместителя руководителя Роскомнадзора Алексея Панкова , тема защиты персональных данных граждан в последние годы стала весьма актуальной и приобрела особое динамичное развитие.

Панков полагает, что это связано с широким распространением различных мобильных устройств, развитием интернет-технологий, а также с аккумулированием значительного объема сведений о гражданах в электронных базах.

«Все эти процессы постепенно приводят к тому, что прежние взгляды на роль и место обработки персональных данных в информационном обществе требуют модернизации, - добавил Панков. - Это побуждает регулятора, общественные организации и объединения искать новые подходы к созданию надежных механизмов защиты информации о гражданах».

Защитить россиян

Заместитель начальника управления по защите прав субъектов персональных данных Роскомнадзора Альфия Гафурова рассказала о правовых нововведениях в законе о персональных данных.

В частности, изменения коснулись статьи 13.11 КоАП РФ. В административный кодекс вносится 7 новых составов административных правонарушений в области персональных данных. Кроме того, с 1 июля 2017 года Роскомнадзор наделяется полномочиями по возбуждению дел, предусмотренных этими новыми составами.

В частности, административное наказание последует за отсутствие письменного согласия на обработку персональных данных, нарушение сроков по уточнению, блокированию или уничтожению персональных данных, за невыполнение обязанностей по обезличиванию персональных данных и другие нарушения. Законодательством предусматриваются предупреждения и штрафы от 6 до 75 тысяч рублей.

По словам сотрудников ведомства, принятые новеллы помогут защитить персональные данные россиян от недобросовестного использования.

По голосу – в банк!

После презентации правовых новшеств сотрудники Роскомнадзора несколько часов отвечали на вопросы присутствующих. Чиновников спрашивали и о конкретной правоприменительной практике, и о перспективах защиты персональных данных в целом. В основном, вопросы исходили от представителей бизнеса.

В частности, на вопрос о необходимости изменения политики персональных данных после введения биометрической верификации в банках ведомство ответило: безусловно, необходимо получение письменного согласия на использование биометрических данных клиента.

Множество вопросов задавали компании, которые подавали уведомления об использовании персональных данных в Роскомнадзор, но затем не обнаружили себя в списке. Представитель ведомства, старший государственный инспектор Анастасия Клочкова подчеркивает: в таком случае необходимо подать уведомление повторно. Дело в том, что зачастую уведомления компаний не соответствуют требованиям законодательства и нуждаются в изменении.

Хорошее подспорье

Свой вопрос задал и корреспондент ФАН. Нас интересовало, как закон о персональных данных соотносится с деятельностью СМИ. Является ли интервью с известным лицом разглашением его персональных данных? И будет ли персональными данными указание ФИО и фотографии в статье? Нужно ли просить у каждого героя статьи согласие на публикацию?

Начальник управления Роскомнадзора по защите прав субъектов персональных данных Юрий Контемиров начал с того, что само определение персональных данных достаточно широко.

«Если отталкиваться от определения, в законе четко прописано: это любая информация, прямо или косвенно относящаяся к физическому лицу и позволяющая его идентифицировать, - поясняет Контемиров. - Идентификация субъекта не является основным критерием отнесения информации к персональным данным».