Принятый в 2006 году Федеральный закон «О персональных данных» регулирует все вопросы обработки сведений о гражданах (именуемых субъектами персональных данных), даже если они зафиксированы во внутреннем документе компании. Сложнее обстоит дело, когда данные передают третьим лицам или публикуют. Любое нарушение грозит проверкой (причем при участии прокуратуры) и административными санкциями.
Мифы и реальность
Вокруг законодательства о персональных данных (ПД) сложилось немало мифов. Постараемся их развеять.
Первый. ПД - это любые сведения о гражданине.
В законе приведен открытый перечень информации (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и так далее), но главным условием признания их персональными данными является прямая или косвенная принадлежность определенному или определяемому физическому лицу. Проще говоря – сообщение «петербурженка Катя Иванова» нельзя считать ПД, ибо таких Катерин в Северной столице пруд пруди. В приведенном случае не страшно даже уточнить профессию или возраст дамы – до тех пор, пока по совокупности таких сведений нельзя будет идентифицировать одну-единственную и неповторимую Катю.
Механизма определения количества похожих имен законодательство не предусматривает. В судебной практике есть случаи, когда истцы, доказывающие нарушение своих прав на защиту ПД, предъявляли справку из органов Федеральной миграционной службы (ФМС) об уникальности их фамилии и имени. Но даже такой документ можно обойти, не указывая, например, место жительство такого субъекта (то есть писать просто о гражданине Иване Пупкине) – справка, как правило, выдается территориальным управлением ФМС, а потому не исключает наличия однофамильцев/тезок в других регионах.
Более простой вариант – «пробить» информацию по нелегальным базам данных или в социальных сетях. Результаты не гарантируют достоверность, но позволяют, скажем так, ориентироваться в ситуации.
Второй. Обработка ПД допускается только с согласия гражданина.
На самом деле согласно действующему закону такое согласие напоминает Константинопольского патриарха – оно «первое среди равных». Всего же в пункте 1 статьи 6 закона прописано аж десять альтернативных оснований для обработки ПД без санкции или даже ведома самого лица.
Разрешающий договор
В коммерческих целях чаще всего использует основание, предусмотренное п. 5 указанной нормы – «обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем».
Сия норма позволяет без каких-либо дополнительных согласований совершать любые действия (собирать, хранить, обрабатывать и даже публиковать или передавать третьим лицам) с данными подписавших договор клиентов. Но нельзя забывать о ключевом условии – такая обработка должна быть необходима для исполнения такого договора. Так, турфирма должна собирать сведения об отправляющемся в поездку клиенте и иных путешественниках (выгодоприобретателях), передавать их туроператору, в авиакомпанию, консульство, визовые службы, в некоторых случаях – в миграционное ведомство и так далее. Но не вправе размещать данные о туристах на сайте, использовать их в коммерческих или не связанных с договором информационных целях (в том числе в рассылках). Равно как нельзя без особого согласия публиковать отзывы клиентов (как положительные, так и отрицательные).
Важно отметить, что обработка ПД для заключения контракта допускается только по инициативе самого гражданина (субъекта). То рассылка писем (SMS или прочие) под предлогом того, что их получатели будут клиентами, является неправомерной (вряд ли суд примет излюбленный аргумент спамеров, что, мол, все адресаты тысяч писем мечтают получить наиважнейшую информацию и тому подобное). Более того, закон прямо предусматривает необходимость получения согласия адресата (субъекта ПД) на использование его данных «в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи». Причем отсутствие такого согласия презюмируется (доказывание его наличия возлагается на отправителя). Кроме того, в отличие от законодательства о рекламе, закон о ПД запрещает не только электронную, но и любую иную рассылку (в том числе почтовую).
Если же закон не допускает обработку персональных данных без санкции гражданина (субъекта), то нужно помнить, что такое согласие должно быть добровольным. В первую очередь это касается сферы розничной торговли и сервиса (в том числе интернет-магазинов, клиник, учебных заведений и прочего). По закону они обязаны продавать товар или оказывать услуги всем обратившимся, а потому договор придется заключить даже с отказавшимся дать санкцию на обработку ПД гражданином. Причем само по себе желание компании получить согласие уже косвенно свидетельствует о намерении использовать сведения не только в необходимых для исполнения договора целях. Например, Арбитражный суд Санкт-Петербурга и Ленинградской области счел незаконным действия ООО «Единый медицинский центр», которое требовало от пациентов согласие на обработку их ПД (включая сведения о семейном и имущественном положении, образовании, доходах, а также «другой информации») в неопределенных целях (дело № А56-56137/2013).
Формальное начало
Никто не мешает компаниям с помощью сайта собирать и обрабатывать заказы, отправлять клиентам информацию об их исполнении и так далее. Главное – делать это добросовестно. Аналогичные требования распространяются и на данные сотрудников, которых в рамках закона о ПД можно рассматривать, как контрагентов по договорам. Хотя очень редко компании публикуют список рядовых работников, а сами по себе контактные реквизиты менеджеров (должность с телефонами и адресами корпоративной почты) ПД не являются.
Но соблюдение этих ограничений не освобождает компанию от выполнения ряда других требований законодательства, причем сугубо формальных. В частности, во внутренних документах необходимо регламентировать правила обработки ПД – кто из сотрудников, к какой информации, когда, как и в каких целях имеет доступ, какие принимаются меры по технической защите (антивирусные системы и прочие) и так далее.
Многие компании также должны предварительно зарегистрироваться в Роскомнадзоре в качестве оператора персональных данных. Направить специальное уведомление необходимо, если ПД тех же клиентов передаются третьим лицам, в том числе в целях исполнения договора (например – от турфирмы в авиакомпанию и тому подобное). Заполнить специальное заявление можно непосредственно
С другой стороны, законодательству о ПД свойственна популярная характеристика всего российского права – его жесткость компенсируется необязательностью исполнения. Ведь ответственность за нарушения ограничена суммой в 10 тысяч рублей для юридических лиц и тысячу рублей для их руководителей.
Кроме того, проводить проверки надзорный орган (Роскомнадзор) может только по поручению прокуратуры, которой также делегировано право составлять протоколы о таких административных правонарушениях. А выносить постановление вправе исключительно суд, причем это нужно сделать в течение трех месяцев со дня совершения проступка. То есть если компания незаконно разместит на сайте список клиентов, то один из них вправе обратиться в прокуратуру, та перешлет его жалобу с поручением в органы Роскомнадзора, они проведут проверку, акт о выявленном правонарушении передадут обратно в прокуратуру, которая составит протокол и направит дело в суд. Уложиться в трехмесячный срок крайне сложно.
Хотя нужно помнить, что кроме акта и небольшого штрафа компания может получить от Роскомнадзора предписание об устранении нарушения - удалении незаконно размещенных сведений, составлении внутренних документов, принятии мер по защите информации и прочего. На решение всех этих вопросов, порой, отводятся всего три рабочих дня, а через некоторое время может назначаться проверка исполнения ранее выданного предписания. Санкции прокуратуры на нее уже не требуется.
Стоит отметить, что большинство нарушений законодательства о ПД в настоящее время выявляют в жилищно-коммунальной сфере: руководство ТСЖ беспечно вывешивает списки неплательщиков, рассылает квитанции в открытом виде и так далее. Были случаи, когда такие данные публиковали на сайте управляющей компаний.
Вступление в силу могут ускорить
Принятые в июле поправки существенно ужесточают требования к защите ПД. В частности, Роскомнадзору делегируется право проверять операторов, в том числе по жалобам граждан, не дожидаясь поручения прокурора.
Но главная новация - возложение на операторов обязанности хранить персональные данные «с использованием баз данных, находящихся на территории Российской Федерации». Эта норма остается крайне противоречивой. Во-первых, формально она распространяется на любые ПД, в том числе собираемые и хранящиеся исключительно на бумажных носителях (то есть предприятиям придется принудительно переносить сведения в электронный вид). Во-вторых, закон не определяет ни круг операторов (касается ли новация только российских или всех работающих в мире компаний), ни круг граждан, ПД которых должны размещаться на компьютерах в нашей стране (только ли россияне или и иностранцы тоже?)
С другой стороны, такая норма не затронет российские компании, в том числе использующие свои сайты для сбора заказов и других функций. Кроме того, в законе нет условия о том, что такие ПД должны храниться исключительно в находящихся на территории России базах данных, – никто не запрещает использовать для обработки и западные серверы.
Стоит отметить, что подписанные 21 июля поправки вступят в силу с 1 сентября 2016 года. К этому времени спорные нормы, возможно, уточнят. А пока группа депутатов предлагает перенести введение в действие нового порядка на 1 января 2015 года.