Что такое общедоступные персональные данные
Статья 8. Общедоступные источники персональных данных
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
Что такое общедоступные персональные данные
style=»max-height: 50vh;»>
Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
Материал представляет собой постатейный научно-практический комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных». В нем рассматриваются правоотношения, складывающиеся в процессе получения, хранения и обработки персональных данных на территории Российской Федерации.
style=»max-height: 50vh;»>
Статья 8. Общедоступные источники персональных данных
Комментарий к статье 8
1. Комментируемая статья посвящена так называемым общедоступным источникам персональных данных, которые доступны неопределенному кругу лиц. К таким источникам относятся, в частности, справочники (например, лиц, проживающих в многоквартирном доме; работников оператора и т.п.) или адресные книги. При этом нормы этой статьи распространяются лишь на те общедоступные источники, которые создаются по инициативе оператора, а не в рамках исполнения им требований законодательства о раскрытии или опубликовании определенной информации (п. 11 ч. 1 ст. 6 Закона о персональных данных). Таким образом, она не касается сведений, содержащихся в ЕГРЮЛ, а также в иных реестрах, формируемых в соответствии с законодательством РФ (Постановление Президиума Нижегородского областного суда от 6 июля 2016 г. по делу N 44г-49/2016; Апелляционное определение Тамбовского областного суда от 15 февраля 2016 г. по делу N 33-500/2016). Режим использования и изменения информации, содержащейся в этих сведениях, определяется требованиями законодательства и основан на принципе открытости и достоверности данных, хранящихся в государственных информационных системах. Так, в соответствии с ч. 9 ст. 14 Закона об информации государственные органы обязаны обеспечить достоверность и актуальность информации, содержащейся в государственной информационной системе, доступ к указанной информации в случаях и в порядке, которые предусмотрены законодательством, а также защиту указанной информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
2. Положения, содержащиеся в комментируемой статье, следует отличать от норм п. 10 ч. 1 ст. 6 и п. 2 ч. 2 ст. 10 Закона о персональных данных, устанавливающих основания для обработки персональных данных в отсутствие согласия субъекта. В первом случае речь идет об условиях правомерности первичного распространения оператором персональных данных и придания им статуса общедоступных, во втором случае — об обработке заинтересованными лицами персональных данных, которые уже являются общедоступными, в том числе пользователями таких общедоступных источников.
3. Формат и состав данных, включаемых в общедоступные источники персональных данных, определяются оператором. При этом такие персональные данные, как фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, могут включаться в общедоступные источники исходя из имеющихся у оператора данных, а источником иных видов персональных данных может выступать лишь сам субъект, на что недвусмысленно указывает слово «сообщаемые».
4. Главным условием создания и использования оператором общедоступного источника персональных данных является получение согласия на это от каждого субъекта, персональные данные которого в такой источник включаются. При этом Закон не делает никаких исключений из указанных положений, в связи с чем включение оператором персональных данных, которые уже были сделаны общедоступными с согласия их субъекта ранее, в создаваемый таким оператором источник общедоступных данных все равно требует согласия субъекта. Во многом это связано с тем, что создание баз данных, содержащих персональные данные, уже само по себе несет определенные риски для их субъектов, в связи с чем должно быть ими санкционировано. Такое согласие должно отвечать требованиям, установленным в ст. 9 Закона о персональных данных.
5. В соответствии с ч. 2 комментируемой статьи оператор общедоступного источника персональных данных обязан исключить сведения о субъекте на основании заявления такого субъекта, решения суда или требования уполномоченного органа (например, прокуратуры или Роскомнадзора). Рассматриваемая норма не устанавливает срок, в течение которого оператор должен удалить сведения, представляющие собой персональные данные, в связи с чем думается, что здесь применимы положения ч. 1 ст. 21 Закона о персональных данных, в силу которых оператор должен заблокировать доступ к таким данным с момента обращения их субъекта, т.е. незамедлительно. В результате указанных действий данные перестают быть доступными третьим лицам и утрачивают статус общедоступных данных, в том числе для целей применения положения п. 10 ч. 1 ст. 6 Закона о персональных данных о допустимости обработки таких данных без согласия субъекта. Отказ оператора в удовлетворении требований субъекта персональных данных об исключении его данных из общедоступного источника в порядке ч. 2 ст. 8 Закона о персональных данных дает право субъекту обжаловать данный отказ или бездействие оператора в Роскомнадзор или в судебном порядке (см. комментарий к ст. 17 настоящего Закона).
6. Европейское законодательство содержит положения, регламентирующие справочники абонентов (directories of subscribers). В соответствии со ст. 12 Директивы 2002/58/EC о защите частной жизни в сфере телекоммуникаций устанавливаются следующие требования:
— субъекты персональных данных должны быть бесплатно извещены о планируемом включении их данных в такого рода справочники с описанием механизма поиска в этих справочниках;
— субъектам персональных данных должна быть предоставлена возможность внесения исправлений в сведения о них, содержащиеся в таких справочниках;
— в случае использования таких справочников для целей, отличных от поиска обычной контактной информации, необходимо получение согласия субъекта персональных данных.
Национальные законодательства могут устанавливать более жесткие требования, предъявляемые к операторам при создании такого рода справочников.
Обработка персональных данных: как не нарушить закон
Какие принципы и условия обработки персональных данных нужно соблюсти, чтобы не пришлось платить штрафы? И как законно включить сведения в общедоступные источники персональных данных?
Законодательство о персональных данных развивается динамично. И вектор его развития направлен на ужесточение ответственности операторов за неправомерную обработку таких данных. Например, 27 марта 2021 г. появились три новых состава административных правонарушений в области защиты и обработки персональных данных – ч. 1.1, 2.1, 5.1 ст. 13.11 КоАП РФ. При этом штрафы выросли вдвое (Федеральный закон от 24 февраля 2021 г. № 19-ФЗ).
Какие сведения считаются персональными данными? И как их законно включать в общедоступные источники?
Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такое лаконичное определение дано в п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Иными словами, к персональным данным относятся любые сведения, которые позволяют идентифицировать человека. В законодательстве нет примеров того, какая информация может относиться к персональным данным. Потому решение этого вопроса – прерогатива правоприменителя.
Рассмотрим пример. Редакция «АГ» получила письмо: «На нашем сайте представлен справочник юрлиц. Хотим указать в нем номера телефонов больницы, специализацию врачей и часы приема. Должны ли мы получить согласие на обработку персональных данных?»
Номера телефонов организации не относятся к персональным данным. Например, в Письме Минкомсвязи России от 7 июля 2017 г. № П11-15054-ОГ разъяснено, что абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных.
Если же на сайте указать одновременно фамилию, имя, отчество и специализацию врача, служебный телефон и часы приема, то такие сведения в совокупности будут относиться к конкретному физическому лицу и позволят его идентифицировать, поэтому могут быть признаны персональными данными. В случае размещения подобных сведений на сайте рекомендуется получить согласие субъекта на обработку его персональных данных во избежание привлечения к административной ответственности.
Отметим, что в законодательстве используется термин «общедоступные источники персональных данных». Такими источниками могут быть, например, справочники и адресные книги, которые создаются в целях информационного обеспечения (ч. 1 ст. 8 Закона № 152-ФЗ). Общедоступные источники персональных данных могут включать такие сведения, как фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, и иную информацию, сообщаемую субъектом персональных данных. Включение этих сведений в общедоступные источники допустимо только с письменного согласия субъекта персональных данных.
Как обрабатывать персональные данные, чтобы не оштрафовали?
Обработкой персональных данных признается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ).
Принципы обработки персональных данных
Обработка персональных данных не может осуществляться произвольно. Статья 5 Закона № 152-ФЗ предусматривает принципы такой обработки. Рассмотрим каждый из них подробнее.
1. Законная и справедливая основа: при обработке персональных данных необходимо соблюдать требования законодательства.
2. Достижение конкретных, заранее определенных и законных целей обработки персональных данных; недопустимость обработки данных, несовместимой с целями их сбора. Иными словами, до начала обработки персональных данных должны быть определены ее цели, которым и обязан следовать оператор при обработке данных физических лиц.
3. Недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях.
4. Соответствие персональных данных, в том числе их содержания и объема, заявленным целям обработки. То есть недопустима избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
5. Обеспечение точности, достаточности и при необходимости актуальности персональных данных по отношению к целям их обработки. На оператора возлагается обязанность принимать меры по удалению или уточнению неполных и неточных персональных данных либо обеспечивать принятие таких мер.
6. Установление срока хранения персональных данных в законе или договоре. В случае отсутствия такового хранение персональных данных в форме, которая позволяет определить субъекта данных, возможно не дольше, чем этого требуют цели обработки персональных данных. При достижении целей обработки или утрате необходимости в достижении этих целей данные подлежат уничтожению или обезличиванию.
Условия обработки персональных данных
Помимо принципов обработки персональных данных законодатель предусматривает условия их обработки (ст. 6 Закона № 152-ФЗ). По общему правилу такая обработка правомерна, если она:
- осуществляется с согласия субъекта персональных данных;
- необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
- осуществляется в связи с участием лица в судопроизводстве;
- необходима для исполнения акта в соответствии с законодательством РФ об исполнительном производстве;
- необходима для исполнения полномочий при предоставлении государственных и муниципальных услуг, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг или региональном портале государственных и муниципальных услуг;
- необходима для исполнения договора, стороной которого или выгодоприобретателем (поручителем) по которому является субъект персональных данных, а также для заключения договора по его инициативе или договора, по которому он будет являться выгодоприобретателем (поручителем);
- необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных (если получение его согласия невозможно);
- необходима для осуществления прав и законных интересов оператора или третьих лиц или для достижения общественно значимых целей при условии, что при этом не нарушаются права субъекта персональных данных;
- необходима для осуществления профессиональной деятельности журналиста и законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных. Исключение составляет их обработка в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации – в этом случае необходимо получить согласие субъекта персональных данных (ст. 15 Закона № 152-ФЗ);
- осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, указанных в Федеральном законе от 24 апреля 2020 г. № 123-ФЗ и Федеральном законе от 31 июля 2020 г. № 258-ФЗ (законодательство в сфере технологий искусственного интеллекта и цифровых инноваций), в порядке и на условиях, которые предусмотрены упомянутыми законами (применимо только к случаям обработки персональных данных, полученных в результате их обезличивания);
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Согласие на обработку персональных данных
Из положений ст. 6 Закона № 152-ФЗ следует, что значительная часть условий, при которых обработка персональных данных будет являться правомерной, связана со специфичным применением (например, судопроизводство или исполнение судебного акта) и не охватывает бизнес-сферу, а равно экономические отношения. Чтобы защититься от привлечения к административной ответственности за неправомерную обработку персональных данных, оператору необходимо получить согласие физического лица на такую обработку. Подробнее о требованиях к содержанию этого согласия читайте в статье «Согласие клиентов на обработку персональных данных: как составить, чтобы не оштрафовали?».
Общедоступные и открытые источники персональных данных
В настоящее время правоприменительная и судебная практики претерпевают существенную трансформацию в отношении понимания видов и юридического статуса источников персональных данных (далее – ПДн ), доступ к которым предоставлен неопределенному (неограниченному) кругу лиц. Действия по созданию и поддержанию функционирования подобных источников квалифицируются п.5 ст.3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) как действия, направленные на раскрытие ПДн неопределенному кругу лиц – распространение ПДн .
С точки зрения действующего законодательства ПДн могут быть сделаны общедоступными двумя основными способами, сравнительная характеристика которых представлена в таблице ниже:
| Распространение ПДн оператором | Распространение ПДн субъектом |
|---|---|
| Объективная сторона | |
| Предоставление доступа неограниченного круга лиц к ПДн осуществляется путем включения ПДн в общедоступный источник соответствующим оператором (ч.1 ст.8 152-ФЗ) или иным лицом, действующим по поручению оператора (ч.3 ст.6 152-ФЗ). Оператор самостоятельно или совместно с другими лицами осуществляет целенаправленную деятельность по обработке ПДн , в рамках которой распространение ПДн является одним из элементов общего процесса обработки ПДн . Одним из признаков целенаправленности деятельности является заблаговременно определенный круг (перечень) субъектов, ПДн которых предназначаются для включения в общедоступный источник ПДн . Отдельным случаем является распространение ПДн , подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом (п.11 ч.1 ст.6 152-ФЗ). | Предоставление доступа неограниченного круга лиц к ПДн осуществляется целенаправленными действиями самого субъекта ПДн либо по его просьбе (п.10 ч.1 ст.6 152-ФЗ и абз.2 ч.1 ст.152.2 ГК РФ ). Субъект ПДн является самостоятельным в целеполагании своих действий и выборе способа реализации своего субъективного права на предоставление общего доступа к своим ПДн . |
| Форма реализации | |
| Организация предоставления общего доступа к таким информационным ресурсам как «справочники, адресные книги». При этом, исходя из буквального толкования норм ч.1 ст.8 152-ФЗ, данный перечень источников не является исчерпывающим и может быть дополнен. Кроме того, ведение публичных реестров, содержащих ПДн (Единый государственный реестр юридических лиц и индивидуальных предпринимателей, Единый государственный реестр прав на недвижимое имущество и сделок с ним, Реестр уведомлений о залоге движимого имущества, Реестр операторов, осуществляющих обработку ПДн и т.п.), осуществляется в рамках п.11 ч.1 ст.6 152-ФЗ. | Использование таких общедоступных информационных ресурсов как корпоративные и профильные сайты в сети «Интернет», Интернет-сервисы (социальные сети, блоги, форумы, видеохостинги и иные сервисы по обмену информацией в сети «Интернет»), печатные издания и информационные стенды с объявлениями различного характера от физических лиц, и т.п. Следует отметить, что для субъекта ПДн существует альтернатива как воспользоваться информационными ресурсами, представляемыми на различном основании другими лицами, так и создать собственный общедоступный информационный ресурс. |
| Цель | |
| Целью является «информационное обеспечение». К сожалению, законодатель не раскрывает всех аспектов такой цели – в чем состоит ее существо и какие лица (оператор, субъекты ПДн или иные лица) являются бенефициарами от реализации такой цели. Кроме того, применительно к публичным реестрам, в качестве цели можно выделить удовлетворение общественного (публичного) интереса, которые может быть сформулирован в отдельных взятых нормативных правовых актах. | Цель в законодательстве явно не определена, но можно разумно предположить, что такой целью является удовлетворение личных и (или) семейных нужд субъектов ПДн , т.е. действия для удовлетворения сугубо частного (приватного) интереса. |
| Правовое основание | |
| Получение у субъекта ПДн письменного согласия, соответствующего требованиям ч.4 ст.9 152-ФЗ. Согласно ч.2 ст.8 152-ФЗ, сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов. При этом под вопросом остается определение юридического статуса в качестве общедоступных источников ПДн таких информационных ресурсов как упомянутые ранее публичные реестры – ведь включение в них ПДн осуществляется на основании норм применимого законодательства (федеральных законов – п.11 ч.1 ст.6 152-ФЗ), а не письменного согласия субъекта ПДн . | 1. Конклюдентные действия субъекта ПДн по предоставлению доступа к своим ПДн для неограниченного круга лиц. 2. Действия иных лиц, совершаемые на основании волеизъявления субъекта ПДн , выраженного в любой объективной форме. 3. Исполнения договора (например, пользовательского соглашения), стороной которого является субъект ПДн . |
| Правовой режим для третьих лиц | |
| Третьим лицам: 1. можно осуществлять сбор и последующую обработку ПДн только для достижения той цели, которая была определена оператором при формировании источника, а обработка ПДн для иных целей возможна только при наличии одного из предусмотренных ч.1 ст.6 152-ФЗ условий; 2. можно осуществлять сбор и последующую обработку специальных категорий ПДн только для достижения той цели, которая была определена оператором при формировании источника, а обработка ПДн для иных целей возможна только при наличии одного из предусмотренных ч.2 ст.10 152-ФЗ условий; 3. можно не информировать субъекта ПДн до начала сбора и дальнейшей обработки его ПДн (п.3 ч.4 ст.18 152-ФЗ). |
Третьим лицам: 1. можно осуществлять сбор и последующую обработку ПДн для достижения собственных целей (п.10 ч.1 ст.6 152-ФЗ), которые не должны противоречить изначальной цели или контексту распространения ПДн субъектом; 2. можно осуществлять сбор и последующую обработку специальных категорий ПДн для достижения собственных целей (п.2 ч.2 ст.10 152-ФЗ), которые не должны противоречить изначальной цели или контексту распространения ПДн субъектом; 3. можно не информировать субъекта ПДн до начала сбора и дальнейшей обработки его ПДн (п.3 ч.4 ст.18 152-ФЗ). |
Дистанционный характер взаимодействия между субъектами ПДн и подавляющим большинством используемых субъектами ПДн информационными ресурсами, а также организация размещения ПДн на таких ресурсах, порождают обоснованные сомнения в возможности установления достоверной принадлежности ПДн , предоставляемых пользователем информационного ресурса, и субъектом таких данных. Иначе говоря, неприменение оператором общедоступного информационного ресурса юридически значимых процедур (таких как получение соответствующего письменного согласия субъекта ПДн ) по определению тождества между пользователем ресурса и субъектом ПДн препятствует юридической квалификации информационного ресурса (например, социальная сеть, форум, видеохостинг) в качестве общедоступного источника ПДн . Следовательно, сведения о субъектах ПДн , содержащиеся в таких информационных ресурсах, не могут быть отнесены к ПДн , сделанным субъектом общедоступными.
Таким образом, возникает очевидный вопрос: каким юридическим статусом обладают общедоступные информационные ресурсы, операторы которых не имеют возможности подтвердить тождество между пользователем ресурса, предоставляющим ПДн для общего доступа, и субъектом таких ПДн ? Ответ на поставленный вопрос может быть обнаружен в постановлении Арбитражного суда Московского округа от 09.11.2017 по делу № А40-5250/2017, в котором вышеуказанные информационные ресурсы с ПДн прямо определены в качестве не общедоступных, а открытых источников ПДн . Данный судебный акт содержит следующую позицию: не являются общедоступными ПДн , содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру), и размещение ПДн в указанных открытых источниках, исходя из положений 152-ФЗ, не делает их автоматически общедоступными, так как субъект ПДн не давал письменного согласия (ч.1 ст.8 152-ФЗ) на включение своих ПДн в общедоступный источник. В то же время, действующее законодательство Российской Федерации не содержит норм права, позволяющих явно определить «открытые» источники ПДн и юридически обособить их от иных источников ПДн .
Следует отметить, что в мотивировочной части решения 1) суда первой инстанции по данному делу присутствует ссылка на ч.4 ст.7 Федерального закона от 27.07.2006 № 149-ФЗ ФЗ «Об информации, информационных технологиях и о защите информации», согласно которой общедоступной является информация, размещаемая ее обладателями в сети «Интернет» в формате, допускающем автоматизированную обработку без ее предварительного изменения человеком в целях повторного ее использования. Судом было отдельно отмечено, что данное условие не соблюдается в рамках предоставления неограниченного доступа к ПДн в социальных сетях и иных подобных Интернет-сервисах. При этом данная аргументация отсутствует в решениях судов второй 2) и третьей 3) инстанций. Такое упущение представляется логичным, так как указанная норма не содержит определения общедоступной информации и прямо не регулирует правой статус и порядок функционирования общедоступных источников информации (включая ПДн ), а касается размещения в общем доступе информации в форме открытых данных 4) .
Кроме того, иная позиция относительно презумпции наличия статуса общедоступного источника ПДн у различных сайтов в сети «Интернет» заявлена в решении Ингодинского районного суда г. Читы № 12-49/2017 от 22 марта 2017 г. по делу № 12-49/2017: «Как следует из материалов дела, 13 декабря 2016 года Тарасов А.П. обратился в Управление Роскомнадзора с заявлением о неправомерной обработке его персональных данных, а именно: размещением без его согласия фамилии, имени, изображения и занимаемой должности 11 декабря 2016 года на сайте «kommenti.ru». По итогам проверки Управление Роскомнадзора 27 января 2017 года ответило заявителю об отсутствии нарушения указанного закона администратором сайта Фроловым С.В., использующего упомянутые персональные данные в творческой деятельности при отсутствии нарушений прав и законных интересов субъекта персональных данных, получившим их из общедоступных источников — сайтов пяти наименований, в том числе информационного агентства «Чита.ру», официального портала Забайкальского края и справочников Гугл (Google)… При наличии перечисленных персональных сведений в общедоступных источниках, невозможно с очевидность утверждать о их размещении без согласия Тарасова А.П.».