#7 Персональные данные с Ольгой Шаповаловой
Мы обсудили с юристом Ольгой Шаповаловой вопросы, связанные с персональными данными: как они защищаются в России и какие бывают заблуждения по поводу работы с ними.
Подкаст доступен на платформах:

Google Podcasts
Яндекс Музыка
Apple Podcasts
VK
Spreaker
Summary

Что такое персональные данные?

В законе дается довольно интересное определение, которое обычно никому ничего не объясняет: персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, то есть персональными данными считается информация о человеке как о физическом лице, как об индивидууме.

Есть какие-то вещи, которые, как мы интуитивно понимаем, представляют собой персональные данные, например паспортные данные. Итак, суть определения вроде бы понятна, а границы его размываются. Эти границы определяет практика.

Для субъекта персональных данных (то есть для того лица, которое описывается персональными данными) персональные данные — это не только паспортные данные. Правоприменительная практика относит к персональным данным практически любую информацию, например IP-адрес, то есть любые данные, которые могут быть информацией, описывающей человека. Вся информация, которую человек предоставил о себе, по умолчанию является персональными данными.


Чем грозит бездумное согласие на обработку персональных данных?

Если сайт собирает информацию о вас, то делает это независимо от юридической квалификации таких действий. Владелец сайта делает это не потому, что ему разрешено, а потому что он может и хочет собирать. Соответственно, щелкаете вы по кнопке «Я согласен на обработку моих персональных данных» или не щелкаете, на практике нет разницы. Есть разница, оставил ли человек персональные данные на сайте или нет, зашел на сайт или нет. Юридическая сторона вопроса интересна в случае конфликта.


Какой закон нарушают рекламные колл-центры?

В случае звонка всегда можно сказать: «Вы получили мои данные незаконно, и я подам на вас в суд!» — но обычно это не производит никакого впечатления, потому что сотрудник колл-центра действует в соответствии со скриптом.

Обзвоны абонентов нарушают не только законодательство о персональных данных. Вам могут сказать: «Мы сгенерировали ваш номер». Поскольку данные не были предоставлены вами, а компания их как бы их составила, в этом случае информация уже не является персональными данными.

Соответственно, угрожать лучше Федеральной антимонопольной службой и заявлением о нарушении Федерального закона «О рекламе». Если на том конце провода юридическое лицо, то для него штраф за такого рода деятельность доходит до полумиллиона рублей, нарушение обходится «дороже», чем нарушение Федерального закона «О персональных данных». Зная практику по ФАС, можно сказать, чтоне так просто поймать нарушителя. При обращении в ФАС нужно предоставить достаточный объем информации и показать, что ваше обращение не беспочвенно, то есть обычная практика — предъявить СМС, потому что СМС проще предоставить, либо должна быть запись звонка, доказательство того, что этот номер принадлежит конкретному юрлицу. Люди, которые сознательно нарушают закон ради бизнеса, хорошо подготовлены, и их трудно поймать. Самый простой способ всех «обломать» — это поставить номер в черный список.


Как защитить свои персональные данные в социальных сетях?


Если вы хотите, чтобы социальные сети или любой сайт не собирали никакой информации, относящейся к вам, не пользуйтесь ими. Это дает гарантий больше, чем любые ссылки на законодательство.

С точки зрения российского законодательства, когда вы пользуетесь любой социальной сетью и вообще практически любым сайтом в интернете, то вы вступаете в договорные отношения с ним. Это называется договором присоединения. В нем есть сторона, которая придумала договор и прописала все условия, и если вы действуете в соответствии с этим договором, то есть пользуетесь услугами сайта, это означает, что вы приняли все условия без изъятия. Если социальная сеть изменила пользовательское соглашение, тогда единственная наша реакция, юридически имеющая смысл, — это либо продолжить пользоваться (значит, вы согласны с этим изменением), либо, если вы не согласны, удалиться из соцсети.


Нормативные документы о персональных данных

Общую рамку задает Федеральный закон «О персональных данных», дополняет его Федеральный закон «Об информации, информационных технологиях и о защите информации», потому что персональные данные — это тоже информация, важное положение о биометрических персональных данных содержит именно второй закон. Дальше идут Постановления Правительства РФ, достаточно много приказов Роскомнадзора и несколько документов от Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности, которые касаются уже технических аспектов. В российском законодательстве около 1500 нормативных актов, где есть слова«персональные данные», в большинстве случаев это отраслевые акты.

В отношении персональных данных сказывается особенность российской правовой системы — исключительный формализм. Мы больше ориентируемся на формулу, чем на суть, то есть в некоторых случаях у нас важнее наличие политики обработки персональных данных на сайте, чем то, насколько она грамотно написана.

Несколько вредных советов, как проще всего нарушить закон «О персональных данных» в цифровой среде

  • Самый простой способ получить штраф — просто не разместить на сайте политику обработки персональных данных. Оператор персональных данных — лицо, которое самостоятельно либо с другими лицами организует и осуществляет обработку персональных данных, тот, кто отвечает за конкретно обработку целиком. Обязанностей оператора достаточно много, за невыполнение некоторых не штрафуют, за невыполнение других положен штраф (КоАП, ст. 1311).
  • Еще можно обрабатывать персональные данные при отсутствии оснований. Допустим, у вас на сайте, например, нет ни согласия пользователя, ни пользовательского соглашения — вообще никакой информации, но при этом вы собираете огромное количество персональных данных. Один из принципов обработки персональных данных: объем собираемых данных должен соответствовать задачам этой обработки и заявленным целям.
  • Хороший способ —не отвечать субъекту персональных данных на его запрос вовремя. Субъект персональных данных имеет право получить некий перечень информации об обработке персональных данных: кто оператор, кому передаются данные, зачем эти данные обрабатываются (Федеральный закон «О персональных данных», ст. 14). Если вы получили такого рода запрос и не ответили или ответили неполно, то вот вам состав по КОАП.


Кто может собирать и использовать персональные данные?

Самым слабым звеном в любой цепочке информационной защиты является физическое лицо, которое стоит в конце цепочки. Если вы взяли персональные данные из источника общедоступного, точнее персональные данные, которые были сделаны общедоступными самим субъектом, только суд решит, насколько это правомерно.

Персональные данные защищены не только законом «О персональных данных», одну и ту же информацию можно рассматривать с точки зрения Гражданского кодекса. Например, изображение, как нематериальное благо, может быть использовано с учетом требований Гражданского кодекса, можно рассматривать обработку персональных данных как некое вмешательство в частную жизнь, защищенную Конституцией, как распространение информации о частной жизни лица, или с точки зрения законодательства о деятельности СМИ, если информация публикуется в статьях.


На заметку государственным и муниципальным служащим

Если у вас есть подозрение, что вы работаете с персональными данными других людей, особенно если вы бизнесмен, государственный или муниципальный служащий и пока делаете это, не опираясь ни на какие нормативные акты, не всегда точно понимаете, персональные это данные или нет, нужно почитать законодательство, постараться разобраться. Если возникнут какие-то подозрения, что что-то пошло не так, то есть смысл проконсультироваться с экспертом по вопросу, чтобы он учел все нюансы.

Роскомнадзор недавно устраивал день открытых дверей для государственных и муниципальных служащих. На мероприятии можно было задать вопросы представителям ведомства и узнать актуальную позицию органа, который контролирует, надзирает и дает разъяснения. Там была представлена информация о жалобах граждан. Самое интересное, что жалуются чаще всего на бизнес, на банки, на страховые компании, но если судить по тому, насколько эти жалобы обоснованны, то на страховщиков и банки оказывается меньше всего жалоб. Это связано с тем, что те и другие работают с персональными данными давно, для них это основная часть бизнеса, проблемой они озаботились давно и нашли для себя выход. На государственных и муниципальных операторов жалуются относительно нечасто, зато по подтвержденным жалобам они занимают второе место. То есть жалуются на них редко, но если жалуются, то обоснованно. Это значит, что качество работы с персональными данными остается на низком уровне.
Дополнительные материалы:

— Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» от 28.01.1981
— Федеральный закон «О персональных данных» от 27.07.2006 №152-ФЗ
— Федеральный закон «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ
— Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»
— Методические рекомендации по применению Приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (утв. Роскомнадзором 13.12.2013)