Административный контроль за соблюдением законодательства о защите персональных данных

07 мая 2014 Автор: Белов С.А. Категория: Административное регулирование

Прежде всего обращает на себя внимание то, что органы, осуществляющие надзор за соблюдением персональных данных, часто исходят из формального (а иногда - формалистского) понимания требований, выполнение которых становится предметом административного надзора.


Формализм проявляется в первую очередь в том, что административная ответственность за нарушение правил обработки персональных данных наступает за сам факт непринятия необходимых действий по предотвращению распространения персональных данных, независимо от того, были ли персональные данные действительно разглашены или даже была ли создана реальная угроза их разглашения. С одной стороны, в немалой степени на такой подход провоцирует правоприменителей формулировка состава административного правонарушения ст. 13.11 КоАП РФ («нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»). С другой стороны, само по себе нарушение порядка сбора, хранения, использования и распространения персональных данных суды не оценивают как правонарушение, если речь не идет о применении административной ответственности, по-разному воспринимая такое условие наказуемости деяния, как его противоправность с точки зрения регулятивных норм. Например, при попытке оспорить положение заключенного с банком договора, в части условия о возможности обработки банком персональных данных клиента в течение 10 лет (что явно выходило за пределы оправданного целями обработки персональных данных, а значит представляло собой нарушение закона) суд не обнаружил противоречий действующему законодательству, отказав в признании этого положения договора нарушающим закон. Рассматривая иски о компенсации вреда, причиненного незаконной обработкой персональных данных, суд включает в предмет исследования только вопрос о причинении вреда, считая, что в случае отсутствия вреда сама обработка без передачи третьим лицам незаконной не является. Наконец, само по себе несовершение действий по обеспечению условий защиты персональных данных далеко не всегда есть основания считать нарушением установленного законом порядка обработки персональных данных, поскольку таким порядком не определяются конкретные действия, которые должны быть совершены. Оператор персональных данных в соответствии с законом несет ответственность за обеспечение результата – защиты персональных данных, – а не за формальное выполнение требований несуществующего «порядка обработки». В законе подчеркивается, что «оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей» (ст. 181 Федерального закона «О персональных данных»), а перечень подобных мер, приведенный в ч. 1 указанной статьи, очевидно, носит примерный и рекомендательный характер. В то же время на практике именно подобные меры расцениваются как установленный законом порядок обработки персональных данных. Например, суды по требованию прокуроров признают незаконным отсутствие локальных актов о порядке обработки персональных данных в администрации муниципального образования - неутверждение в форме локального акта администрацией сельского поселения (органом местного самоуправления) положения о порядке обработки персональных данных. Отсутствие локальных актов, регламентирующих обработку персональных данных, признается нарушением и в отношении других субъектов – например, совхоза в организационно-правовой форме унитарного предприятия. В некоторых случаях вся незаконность, служащая основанием для публично-правовой ответственности, состоит лишь в отсутствии в локальных актах перечня конкретных действий с персональными данными, описания целей обработки, установлении обязанности самого субъекта персональных данных обеспечить их конфиденциальность.
Однако даже этим формализм в толковании положений закона не ограничивается. На сайте Роскомнадзора можно увидеть новости о выявлении таких правонарушений, как «отсутствие в поручении лицу, которому оператором поручается обработка персональных данных, обязанности соблюдения конфиденциальности персональных данных и обеспечения их безопасности, а также требований к защите обрабатываемых персональных данных».
Субъектом правонарушения по ст.13.11 выступает «лицо, на которое законом или договором возложена обязанность получить согласие субъекта персональных данных на их обработку» и кто, не выполнив этого требования, фактически обрабатывает персональные данные. Любопытно, что речь уже идет не о непосредственном возложении такой обязанности законом, а возможности ее распределения в рамках договорных отношений оператора персональных данных с другими лицами, следовательно, отсутствует четкое указание на адресата публично-правовой обязанности, неисполнение которой должно влечь административную ответственность.
Другим очевидным проявлением формального толкования закона можно считать вменение в вину гражданам и юридическим лицам обработку (хранение) специальных категорий персональных данных, например, сведений о национальной принадлежности граждан. В одном из проанализированных дел в Астраханской области было признано нарушением закона хранение работодателем копий свидетельств о рождении, представленных для получения налогового вычета (несмотря на то, что данные о национальной принадлежности, указанные в этих документах, специально не систематизировались и отдельной обработке не подвергались). Судом был сделан вывод об обработке персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных, и о неправомерной обработке специальных категорий персональных данных. Каким образом оператор должен был устанавливать раздельный порядок обработки разных данных, содержащихся в одном документе, в решении суда не объяснялось, то есть в чем непосредственно проявилось совершение правонарушения, сформулировано не было. Суд также указал, что оператором велась обработка данных, полученных от третьих лиц (не конкретизировав, каких лиц и в связи с какими обстоятельствами) без уведомления субъектов персональных данных. И одновременно оператору было вменено в вину, что у него отсутствует перечень мер, необходимых для соблюдения условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ при хранении. Локальными актами специально не были определены места хранения персональных данных, не установлен перечень лиц, осуществляющих обработку данных, либо имеющих к ним доступ. Документы, содержащие персональные данные, после их использования не уничтожались. Неуничтожение материалов, содержащих персональные данные, после их использования оценивалось как нарушение предусмотренного законом порядка обработки персональных данных и в других делах. Применение ответственности за обработку специальных категорий персональных данных встречается и в других делах об обработке сведений о национальной принадлежности. В анкете государственного учреждения «Центр занятости населения» Республики Башкортостан, утвержденной в 1992 году, содержалась графа национальность. Следовательно, имелась возможность собирать информацию о национальной принадлежности лиц, обеспечиваемых работой. Несмотря на то, что анкету заполнял сам субъект персональных данных и ставил об этом свою подпись, отсутствие специального согласия на обработку именно этих персональных данных было признано незаконным, хотя ввиду малозначительности ответственность не наступила. В данном случае законодательный запрет имел целью предупредить возможные случаи дискриминации по национальному или другому подобному признаку, что в значительной мере оправдывает необходимость подобных ограничений. Фактически законодательство требует отличать ситуации, когда информация, относящаяся к особо охраняемым данным, не может быть отделена от другой информации, и вследствие чего собирается, хотя и не подвергается специально обработке (ситуация в Астраханской области), и ситуации, когда отделение такой информации от других данных возможно (ситуация в Республике Башкортостан). В последнем случае обработка особо охраняемых данных действительно не может считаться правомерной без специальных целей обработки и специального согласия субъекта персональных данных, однако суды такие различия не всегда проводят достаточно эффективно.
Неоправданный формализм и строгость толкования условий обработки персональных данных проявляется и в тех требованиях, которые предъявляются к передаче персональных данных.
К ответственности по заявлению прокуроров рядом судов Липецкой области и республики Татарстан управляющие компании были привлечены к ответственности за доставку платежных документов для оплаты коммунальных услуг в открытом виде, без конвертов. Подобное требование, не вытекающее явно из закона как обязанность управляющих компаний и других организаций, если и можно считать желательным, то уж никак не следует рассматривать как основание для привлечения к ответственности. При этом возложение ответственности за надлежащую доставку платежных документов гражданам на конкретное должностное лицо – директора организации – было сочтено необоснованным.
Другим примером необоснованного предъявления требований о специальной форме передачи персональных данных можно считать решение о необходимости наличия специальной лицензии на использование зашифрованных каналов передачи данных при выполнении функций налогового представителя передача данных налоговой декларации с использованием ЭЦП.
Требования о соблюдении специальной процедуры – уведомления уполномоченного органа об обработке персональных данных – предъявляются к операторам персональных данных в том числе и в тех случаях, когда такие требования не очевидно вытекают из закона и представляют результат его строго «карательного» толкования.
В частности, к ответственности за непредоставление уведомления об обработке персональных данных привлекаются лица, чья деятельность явно не требует такого уведомления исходя из смысла ч. 2 ст. 22 Федерального закона о персональных данных, например с случаях обработки персональных данных без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. В частности, неправомерным признается неуведомление об обработке персональных данных со стороны органов местного самоуправления (администрации сельсовета ) или образовательного учреждения – школы. Неопределенность в этом вопросе проявляется в том числе и в том, что в одних субъектах в реестры операторов персональных данных вносятся тысячи государственных и муниципальных органов, тогда как в других даже органы, непосредственно связанные с обработкой персональных данных – органы паспортного учета (УФМС) в качестве операторов персональных данных не рассматриваются. Также и государственные организации – например, компании-перевозчики, обрабатывающие сведения о своих пассажирах и о своих работниках, могут быть не признаны операторами персональных данных.
Неуведомление Роскомнадзора об обработке персональных данных может быть признано незаконным и послужить основанием для привлечения к ответственности независимо от законности самой обработки персональных данных.
Возникают в судебной практике и споры относительно возможности освобождения от обязанности сообщать в уполномоченный орган по его запросу информацию, необходимую для осуществления деятельности указанного органа тех организаций, которые вправе осуществлять обработку персональных данных без уведомления уполномоченного органа. В одних случаях суды считают такую обязанность существующей независимо от обязанности подать уведомление об обработке персональных данных, в других случаях – как обязанность исключительно оператора персональных данных.
Крайним случаем формализма может считаться решение Киселевского районного суда Кемеровской области, который удовлетворил требование надзорного органа о привлечении организации к ответственности за предоставление неполного по форме уведомления об обработке персональных данных. Это решение было отменено судом второй инстанции, однако практика привлечения к ответственности за аналогичные правонарушения обнаруживается в других субъектах РФ.
Строго карательное толкование условий обработки персональных данных проявляется также в привлечении к ответственности за неполучение согласия субъекта персональных данных в тех случаях, когда обработка осуществляется в целях исполнения обязательств и по смыслу закона не требует специального согласия, однако за неполучение такого согласия лицо может быть привлечено к ответственности либо его действия могут признаны незаконными. К примеру, индивидуальный предприниматель, который оказывал услуги по ведению бухгалтерского учета, получая на основании договора со своими заказчиками все необходимые данные, был привлечен к ответственности за отсутствие письменного согласия на обработку персональных данных при оформлении документов для предоставления налогового вычета по НДФЛ.
Многочисленная и разнообразная практика по разным субъектам РФ содержит случаи привлечения к ответственности рассчетно-кассовых центров, осуществляющих обработку данных жильцов без их согласия для подготовки квитанций на уплату коммунальных платежей. В случае уклонения субъекта персональных данных от заключения договора с управляющей организацией, выбранной собранием собственников дома, суд также признал обработку в целях направления счетов за оплату коммунальных платежей неправомерным ввиду отсутствия согласия субъекта на обработку персональных данных. Положение об опекунском совете местной администрации (органе опеки и попечительства) было признано незаконным, поскольку в нем не указывалось, что персональные данные обрабатываются с согласия субъекта персональных данных.
При этом в других делах суды считают, что обработка персональных данных управляющей компанией и даже другим организациям правомерна в силу заключенного договора об оказании коммунальных услуг. В одном из проанализированных дел суд даже признал презюмируемое в силу договора об оказании услуг сотовой связи согласие субъекта персональных данных на передачу этих сведений другим лицам для распространения рекламы или организации лотереи. В целях исполнения договора суд может признать обоснованным требование предоставить справку о регистрации по месту жительства лиц, проживающих совместно с лицом, обратившимся в УФМС. В других случаях суды признают возможной обработку персональных данных в целях управления домохозяйством без согласия жильца. Признав отсутствие необходимого согласия субъекта персональных данных, суд может отказать в признании действий государственного органа по обработке персональных данных незаконными, если обработка персональных данных была направлена на реализацию прав субъекта персональных данных, а сами данные не были использованы в ущерб интересам заявителя и членов его семьи.
Также, как и в случаях с формами уведомлениями Роскомнадзора об обработке персональных данных, административные органы и прокуратура предъявляют жесткие требования к форме согласия на обработку персональных данных.
Например, прокурор требует привлечь к ответственности в отсутствие письменного согласия на обработку, даже если нет оснований сомневаться в получении такого согласия устно или на основании того, что письменное согласие по форме не соответствует требованиям закона. При этом в случае получения данных по запросу суда и их приобщении к делу надлежащей формой согласия было признано невыражение несогласия субъекта персональных данных, а при заключении договора связи – простое сообщение данных в квитанции об оплате услуг связи.
В некоторых решениях конкретизируются недостатки письменного согласия на обработку персональных данных: не содержат номер основного документа, удостоверяющего его личность субъекта, сведения о дате выдачи указанного документа и выдавшем его органе, не содержат адрес оператора, получающего согласие субъекта персональных данных, в согласиях субъектов не указан перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных, срок в течение которого действует согласие на обработку и т.д. Часто ставится в вину неуведомление субъекта персональных данных об обработке персональных данных, полученных от третьих лиц.
Исходя из того, что согласие на обработку персональных данных дается своей волей и в своем интересе, суды признают обязанность уничтожить уже полученные персональные данные (медицинскую карту) в случае отзыва согласия субъекта персональных данных на обработку персональных данных.
Таким образом, требования, предъявляемые к операторам персональных данных, сильно отличаются в разных случаях, оставляя значительную свободу усмотрения органов административного надзора, а для самих операторов – неопределенность в отношении содержания их обязанностей. Такая ситуация далека от необходимой в правовом государстве системы эффективной защиты прав субъектов экономической деятельности от произвола со стороны административных органов.

Прочитано 1624 раз
Авторизуйтесь, чтобы получить возможность оставлять комментарии
Вы здесь: Главная Юриспруденция Административное регулирование Административный контроль за соблюдением законодательства о защите персональных данных