Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
Шрифт:
8. Информация, которая относится к нескольким прямо или косвенно определенным или определяемым физическим лицам (например, фотография с изображением нескольких лиц на ней или электронное письмо, в котором есть данные отправителя и получателя), является персональными данными в отношении каждого из таких субъектов. Каждое из этих лиц обладает в отношении указанной информации всей полнотой прав, предоставляемых Законом о персональных данных их субъекту. Закон не предусматривает каких-либо положений, регламентирующих множественность лиц на стороне субъекта персональных данных, а равно не содержит каких-либо положений на случай возможных коллизий между волеизъявлениями отдельных субъектов в отношении «совместных» персональных данных. Представляется, что в случае наличия у одних и тех же персональных данных сразу нескольких субъектов целесообразно руководствоваться следующим подходом. В отношении той части персональных данных, которая
В качестве определенного обоснования указанного довода можно привести следующие рассуждения. В тех случаях, когда один из субъектов настаивает на прекращении обработки таких данных, а другой субъект, напротив, выражает волю на их дальнейшую обработку, по общему правилу приоритет должен отдаваться требованию первого субъекта. Это следует из основной цели Закона о персональных данных – защищать неприкосновенность частной жизни, личной и семейной тайны, а также обусловлено отсутствием в этом Законе специальных положений, допускающих обработку персональных данных без согласия одного из таких субъектов, и общей парадигмы Закона, исходящей из принципа «запрещено все, что прямо не разрешено». При этом немаловажен и тот факт, что интересы второго субъекта все же могут быть реализованы после удаления из спорной информации сведений, касающихся первого лица, в то время как интересы первого субъекта будут нарушены бесповоротно, в случае если приоритет будет отдан именно волеизъявлению того субъекта, который настаивает на продолжении обработки персональных данных. При этом не следует путать решение указанного вопроса с точки зрения законодательства о персональных данных с регулированием, установленным в ст. 152.1 ГК РФ. В последнем случае по общему правилу, если изображенные на коллективном фотоснимке граждане очевидно выразили свое согласие на фотосъемку и при этом не запретили обнародование и использование фотоснимка, один из этих граждан вправе обнародовать и использовать такое изображение без получения дополнительного согласия на это от иных изображенных на фотоснимке лиц, за исключением случаев, если такое изображение содержит информацию о частной жизни указанных лиц (п. 45 Постановления Пленума ВС РФ от 23 июня 2015 г. № 25 «О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации»).
Понятие оператора персональных данных
1. Понятие оператора персональных данных является одним из краеугольных камней всего правового режима законодательства о персональных данных, поскольку оно определяет круг лиц, ответственных за соблюдение предусмотренных в нем обязанностей, в том числе по реализации прав субъектов персональных данных.
Дефиниция оператора персональных данных состоит из трех основных частей:
1) конкретизации статуса лица, которое может выступать в качестве оператора («государственный орган, муниципальный орган, юридическое или физическое лицо»). Фактически это любое лицо, обладающее правосубъектностью, безотносительно к его национальной принадлежности;
2) указания на возможность выступления множественности лиц на стороне оператора («самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку»);
3) указания на основной критерий, отграничивающий оператора от иных участников отношений, связанных с персональными данными («определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными»).
Данная дефиниция фактически является заимствованием положений Директивы 1995 г. Она отличается от дефиниции, содержащейся в Конвенции 1981 г., которая оперирует понятием «контроллер файла» (controller of the file), определяемым как «физическое или юридическое лицо, орган государственной власти, учреждение или любой другой орган, компетентный в соответствии с внутренним законодательством решать, какова должна быть цель автоматизированного файла данных, какие категории персональных данных подлежат хранению или какие операции должны производиться с ними». Это связано с тем, что дефиниция Конвенции 1981 г. является устаревшей; оперируя понятием «файл», она слишком сужала круг возможных способов обработки персональных данных. Кроме того, дефиниция Конвенции не предусматривала возможность нескольких лиц одновременно выступать оператором 54 .
54
Opinion 1/2010 On the concepts of «controller» and «processor». Article 29 Data Protection Working Party. 16 February. P. 3.
Ключевым отличием дефиниции, содержащейся в Законе о персональных данных, от той, которая содержится в Директиве 1995 г. и Регламенте 2016 г., является использование в Законе о персональных данных словосочетания «состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» вместо обобщенного понятия «средства обработки» (means of the processing of personal data). Однако это не меняет существа используемого критерия, поскольку понятие «средства обработки» в европейском праве охватывает и состав обрабатываемых данных, и действия, которые осуществляются с ними 55 . В этой связи можно говорить о том, что понятие «оператор персональных данных» в российском и европейском праве является по существу идентичным.
55
Opinion 1/2010 On the concepts of «controller» and «processor». Article 29 Data Protection Working Party. 16 February. P. 14.
2. Для решения вопроса о том, является ли конкретное лицо оператором персональных данных, необходимо принимать во внимание все обстоятельства, поскольку данный вопрос является вопросом факта. Простого указания в тексте договора на то, что определенная сторона выступает в качестве оператора персональных данных, недостаточно. Как правило, в качестве оператора будет выступать любое лицо, которое решило осуществлять обработку персональных данных в своих интересах и имеет правовую и (или) фактическую возможность определять существенные условия такой обработки. При этом осуществлять непосредственные действия по обработке персональных данных такому лицу для признания его оператором не требуется, на что указывает использование предлогов «и (или)» в выражении «организующие и (или) осуществляющие обработку персональных данных».
Представляется, что именно определение цели обработки является основным квалифицирующим признаком оператора персональных данных. Определение состава персональных данных и конкретных способов их обработки, включая используемые программно-аппаратные средства, нередко требует наличия специальной квалификации, в связи с чем данные элементы могут по факту определяться привлеченными оператором лицами. Однако предоставление оператору информации о них, а также последующее продолжение его взаимоотношений с таким привлеченным лицом могут рассматриваться как согласие с указанными действиями и проявление контрольных функций в отношении таких действий. Таким образом, в указанных случаях лицо будет признаваться оператором персональных данных даже несмотря на то, что отдельные аспекты обработки данных были определены иным лицом.
3. Типичными примерами операторов персональных данных являются организации, которые осуществляют обработку данных своих работников (и) или клиентов - физических лиц; лица, которые осуществляют сбор и анализ общедоступных данных в сети «Интернет»; государственные органы и учреждения, которые обрабатывают персональные данные граждан в процессе предоставления государственных услуг; онлайн-сервисы, которые предусматривают регистрацию пользователей и (или) собирают данные о них в процессе использования такого сервиса.
4. В случае если цели обработки, состав персональных данных и способы обработки определяются работником организации, например, лицом, специально назначенным в качестве ответственного за обработку данных, оператором будет признаваться сама организация, а не такое физическое лицо. При этом если такое физическое лицо будет использовать персональные данные в своих целях без ведома организации, то его можно будет признать оператором с возложением всех соответствующих обязанностей и ответственности, однако сама организация также будет нести ответственность за действия такого работника на основании п. 1 ст. 1068 ГК РФ. В данном случае можно говорить о вине организации, выразившейся в том, что она не смогла принять необходимые меры безопасности, направленные на предотвращение несанкционированного доступа и обработки персональных данных своими работниками.
5. На стороне оператора персональных данных может выступать множественность лиц, на что указывает формулировка о возможности организации и (или) осуществления обработки персональных данных, а также определения ее целей и иных существенных аспектов обработки «самостоятельно или с другими лицами». Такая множественность может иметь место, к примеру, при совместной обработке в общих целях персональных данных клиентов или работников несколькими операторами, действующими в рамках одной группы компаний.