судебная практика по защите информации
3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах
Консультант Центра информационной безопасности компании «Инфосистемы Джет»
специально для ГАРАНТ.РУ
Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.
При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.
В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.
Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.
Что говорит законодательство?
Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст. 11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.
Что говорит Роскомнадзор?
На сайте службы опубликованы разъяснения 1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.
На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:
сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);
отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).
При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.
Что говорит судебная практика?
Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.
Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.
Что говорит законодательство?
Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Что говорит Роскомнадзор?
На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.
По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.
Что говорит судебная практика?
Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник». Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.
Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.
Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).
Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.
Что говорит законодательство?
В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:
для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.
Что говорит Роскомнадзор?
На официальном сайте Роскомнадзора 2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.
По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:
персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;
не указан перечень организаций, в которые передаются персональные данные;
требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).
Что говорит судебная практика?
Рассмотрим два примера с противоположными решениями суда.
В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).
В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.
В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.
Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора. Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.
Развитие права в сфере информационной безопасности
Корпоративный юрист ООО «Проспектаси»
специально для ГАРАНТ.РУ
Информация была и есть частью жизни общества, как и информационная безопасность. Вопрос защиты информации всегда был актуален, будь то шифрование писем в прошлых столетиях или криптографические средства защиты сейчас – цель всегда будет преследоваться одна. В условиях информационного общества этот вопрос стоит особенно остро, так как современные реалии развития информационных отношений подразумевают широкое использование и высокую ценность информации, а значит огромный поток передаваемой информации всегда будет подвергаться недобросовестной деятельности. В современной России уже сформированы частично методы защиты информации на государственном уровне, а также продолжается гонка за далеко убегающими технологиями и новыми способами защиты права. В сфере права ситуация так же не стоит на месте. Для детального рассмотрения того, как менялась информационная безопасность на законодательном уровне стоит определиться, что затрагивает данное понятие именно в праве и именно в России.
1) Так, если мы откроем Указ Президента РФ от 5 декабря 2016 г. № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации» то увидим, что информационная безопасность – это состояние защищенности общества и государства, отдельного гражданина от информационно-технического воздействия на информационную инфраструктуру. То есть это состояние защищенности общества от недобросовестной информации либо от ее разглашения.
2) Согласно ч. 4 ст. 6 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон № 149-ФЗ) владелец информации обязан принимать меры по ее защите, из чего следует, что защита информации (как информационная безопасность) – совокупность обязательных действий владельца информации не только по ее защите (защита от уничтожения, распространения, копирования и т.д. (ч. 1 ст. 16 Закон № 149-ФЗ)), но и реализации права на доступ к ней.
3) Также под защитой информации понимается защита интеллектуальной собственности, ограничение доступа к ней и ее законное распространении (касается, например, ноу-хау).
Для рассмотрения основных изменений в российском законодательстве за последнее время стоит понимать, что «информационная безопасность» имеет, скажем так, различную направленность, что мы и видим согласно представленным выше определениям. Соответственно, мы разделим на 3 этапа основные изменения в сфере информационной безопасности.
Этап 1. Основные права и обязанности
1) Данный этап можно назвать формированием правовой защиты информации. А значит, стоит начать с Конституции РФ, которая является основным источником права в области обеспечения информационной безопасности в России:
2) К этому же этапу можно отнести первые редакции Федерального закона от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации», который, как острог и каркас имел лишь основные понятия: устанавливал обязанности государства в сфере защиты информации, создал пока еще только понятие об информационных ресурсах государства, отнес информационные ресурсы к общероссийскому национальному достоянию (2003 год).
3) Правовой режим государственной тайны установлен первым в истории российского государства Законом «О государственной тайне», который вступил в действие 21 сентября 1993 года (новая редакция Закона Российской Федерации «О государственной тайне» была принята в 1997 году).
4) Указом от 6 марта 1997 года № 188 был закреплен перечень сведений конфиденциального характера, таких как персональные данные, тайна судопроизводства, коммерческая тайна и т.д.
Данный этап подразумевал под собой формирование основных сводов и правил для дальнейшего формирования защищенности интересов в информационной сфере. Основной уровень прав – гарант правового общества, соответственно эти меры были просто необходимы и отражали основные принципы государства. Практическая ценность данных прав – нормальное функционирование судебной системы в России.
Этап 2. Формирование основных направлений и их реализация
Данный этап и перечень всех изменений проще всего будет рассмотреть на примере двух Доктрин информационной безопасности Российской Федерации 2000 и 2015 года. Хоть они и не отражают всех изменений, внесенных за этот период с 2000 по 2016 год, но вполне отражают общую тенденцию выходящих тогда паровых актах и изменениях в праве. Данный анализ основан на статье: Информационная политика России в обеспечении информационной безопасности личности: история и современность (Чеботарева А.А.) («История государства и права», 2015, № 24)
1) Доктрина информационной безопасности личности Российской Федерации 2000 года (утверждена Президентом РФ 9 сентября 2000 г. № Пр-1895) ставит перед собой основную задачу – это защита личности в информационной сфере. При этом интересы личности в информационной сфере заключаются как в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, так и в защите информации, обеспечивающей личную безопасность.
2) В Стратегии развития информационного общества в Российской Федерации (утв. Президентом РФ 7 февраля 2008 г. № Пр-212) один из принципов, на которых базируется развитие информационного общества в России, – это обеспечение национальной безопасности в информационной сфере. В качестве одного из направлений реализации Стратегией названо обеспечение неприкосновенности частной жизни, личной и семейной тайны, соблюдение требований к обеспечению безопасности информации ограниченного доступа, что и подтвердила Доктрина 2016 года. Разработка новой Доктрины продиктована изменившимися реалиями, связанными с угрозами информационной безопасности, изменением в стратегическом планировании в сфере обеспечения национальной безопасности.
Из чего можно сделать вывод, что данный этап формирует две основные направленности: внутреннюю (2000 год) и внешнюю (2016 год). Право в сфере информационной безопасности формируется именно по этим двум направления, составляя тандем из состояния защищенности каждой отдельной личности, общества и государства. На деле – направление развития права в сфере информационной безопасности дало точек к конкретизации различных паровых случаев и возможность следовать тенденциям глобальной информатизации. Вопрос же в реализации данных направлений отразился в Этапе 3.
Этап 3. Гонка с технологиями
С формированием информационного общества поток информации в мире непрерывно растет. Это в первую очередь обеспечено технологиями, которые постоянно совершенствуются и дорабатываются, а также внедрением новых возможностей в систему взаимодействия общества. Право во всем мире постоянно старается залатать дыры, образованные новыми возможностями. Защита прав личности, корпоративной тайны, государственной тайны сейчас скорее вопрос не только права, но и физики, математики. А значит, недостаточно выпустить НПА и тем самым закрыть брешь, но и необходимо создать технологическую почву для его реализации. Этим и обусловлены все новые НПА, выходящие приблизительно с 2016 года. Будь то еще не уступивший в силу Федеральный закон от 31 июля 2020 г. № 259-ФЗ «О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации», который направлен на регулирование криптовалют, а значит защиту пользователей криптовалют. Или новая редакция Закона. № 149-ФЗ, о нововведениях которой хотелось бы упомянуть, что бы картинка развития права в сфере информационной безопасности в России была целостной. Итак, на что направлены новые изменения в Закон № 149-ФЗ? На борьбу с «пиратством». Предыдущий опыт показал неэффективность борьбы с пиратством в России. Поэтому, это закономерное изменение. Так, правообладатель теперь сможет блокировать через Роскомнадзор не только ресурс, на котором опубликован материал, но и ограничить доступ также к программам, которые обеспечивают работу «пиратских» сайтов в Интернете. А у провайдеров появятся новые обязательства. В соответствии с новой ч. 3.1 ст. 15.2 Закона № 149-ФЗ владелец информационного ресурса, на котором находится программное приложение, обеспечивающее использование «пиратского» сайта, обязан проинформировать об этом владельца программного приложения и уведомить его о необходимости незамедлительно ограничить доступ к произведениям или иной интеллектуальной собственности, которые распространяются без разрешения правообладателя. То же самое касается и разработчиков программ, на которых публикуются незаконно произведения интеллектуальной собственности.
Рассмотрев поэтапно историю развития информационной безопасности в России, напрашивается ряд вопросов, которые могут задать себе предприниматели. Однако, данная хронография законодательных актов – не более чем направление деятельности государства в сфере защиты информации. Ее непосредственное применение в судах или досудебном порядке неприменимо. Но! Знания и понимание процессов – сила, которая не даст растеряться на практике. Так, понимая, что деятельность законодателей направлена сейчас на ужесточение мер по защите авторских прав, а так же появление новых возможностей кредитования – можно взять кредит под залог интеллектуальной собственности, как это было сделано впервые в России в октябре 2020 года. Так же, например, понимая, что хоть и основные меры по защите предпринимательства и бизнеса идут с 2016 года – многие моменты, связанные с техническим обеспечением являются незащищенными. Поэтому стоит трижды рассмотреть новые капиталовложения, связанные с передачей данных по интернету, но и бояться нового – стагнация для бизнеса. Описать каждый новый элемент технологических достижений невозможно как в нормативно-правовых актах, так и в этой статье. Тем не менее, можно дать простое понимание общей картины. Поэтому ниже будут приведены вопросы. Которые задает каждый предприниматель века информационных технологий.
1) Как предприниматель может защитить свои данные на просторах Интернета?
С развитием технологий способы утечки корпоративной, личной информации, имеющие материальную ценность, являются важным ресурсом для любого бизнеса по всему миру. Минимизация возможности утечки таких данных путем ужесточения мер идентификации и аутентификации – единственный надежный вариант на сегодняшнее время. Если Ваши персональные данные уже находятся в Интернете – изъять их будет куда сложнее, чем постоянно проводить профилактику и соблюдать меры предосторожности. Для этого есть два основных направления: ужесточение мер безопасности на внутреннем уровне или передача на аутсорсинг. Внутреннее ужесточение имеет потолок в виде вашего IT-отдела. Аутсорсинг же пестрит выбором и необходимо тщательно выбирать партнера для передачи ценной информации. Если же ситуация уже вышла из-под контроля, стоит учитывать, что судебная практика имеет смешанные решения по вопросам утечки персональных данных, но шансы получить компенсацию и пресечь утечку данных куда проще при передаче оператору персональных данных на аутсорсинг. Так, после внесения изменений в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» появились компании на аутсорсинге, которые предлагают услугу облачного хранилища, то есть хранение всего объема данных от первичных документов до счетов в защищенном облаке данных на серверах компании, предоставившей услугу. Но все равно по итогу никто не застрахован от утечки данных, вопрос лишь в процентном шансе заиметь проблемы с данными, так как находятся все новые и новые способы украсть персональные данные. Из чего следует вывод, что каждый предприниматель должен быть готов столкнуться с чем-то новым. Как в положительном, так и в отрицательном ключе.
2) И вытекающий вопрос из предыдущего – а что делается для предотвращения таких случаев на законодательном уровне? Как в России решают проблему технологического отставная в защите персональных данных?
Хоть и отставание от технологий чрезмерно велико, процесс все же есть. Помимо упомянутой выше новой редакции Закона № 149-ФЗ, направленной на защиту в Госдуму было внесено порядка 10 проектов, касающихся непосредственно мер по защите персональных данных. Ввели уточнения обязанностей организатора распространения информации в сети, уточнения порядка обработки персональных данных по поручению оператора, а также уточнения требований по обеспечению безопасности обрабатываемых персональных данных, уточнения сведений, передаваемых оператором связи и других данных. В техническом плане постоянно совершенствуются способы шифрования криптографии (например, разрабатываются новые системы токенов для обеспечения информационной безопасности пользователя). Тем не менее, конкретизация в праве и новые методы шифрования в техническом плане рождают новые методы обхода всех средств защиты и эта гонка будет продолжаться бесконечно.
Судебная практика по защите информации
Судебная практика за 2020 год
Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за декабрь (DOCX, 186.88 Kb)
Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за ноябрь (DOCX, 182.49 Kb)
Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за октябрь (DOCX, 192.06 Kb)
Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за сентябрь (DOCX, 178.10 Kb)
Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за август (DOCX, 130.41 Kb)
Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за июль (DOCX, 188.72 Kb)
Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за июнь (DOC, 832.50 Kb)
Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за май (DOC, 543.00 Kb)
Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за апрель (DOC, 553.50 Kb)
Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за март (DOCX, 153.21 Kb)
Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за февраль (DOCX, 136.00 Kb)
Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за январь (DOCX, 97.84 Kb)
Оцените содержание раздела:
Низкое Ниже среднего Среднее Выше среднего Высокое Оценить
Время публикации: 12.02.2020 17:06
Последнее изменение: 11.02.2021 17:19