Текст книги "Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»"

5. Немногочисленные разъяснения представителей Роскомнадзора, которые являются доступными публично, также позволяют сделать вывод о том, что отдельные представители данного ведомства поддерживают «узкий» подход к понятию персональных данных. Так, на интернет-сайте Управления Роскомнадзора по Центральному федеральному округу в разделе «Часто задаваемые вопросы» указано, что «pазмещение на страницах сайтов в сети «Интернет» фотографии без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица»4747
  https://77.rkn.gov.ru/p3852/p13239/


[Закрыть]. Также на данном сайте отмечено, что «pазмещение на страницах сайтов в сети «Интернет» фамилии, имени и отчества без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица»4848
  Там же.


[Закрыть].

Существуют и более путаные комментарии территориальных подразделений Роскомнадзора, которые не позволяют однозначно определить, являются ли данные о фамилии и инициалах гражданина персональными данными или нет. Например, такие: «Фамилия и инициалы гражданина − это, несомненно, персональные данные субъекта. Однако, без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно… Характер сведений, опубликованных в статье, не позволяет определить пол человека, его имя и отчество. Фамилия гражданки С. не является уникальной и довольно распространена»4949
  См. п. 1 Обзора обращений граждан за II квартал 2012 года / Управление Роскомнадзора по Республике Карелия. URL: http://10.rkn.gov.ru/queries/lookup/ people_2kv_2012/p1/


[Закрыть].

Оценивая приведенные разъяснения представителей Роскомнадзора по существу, помимо ранее высказанных аргументов против «узкого» подхода к понятию персональных данных хотелось бы отметить, что фамилия, имя и отчество лица прямо отнесены Законом о персональных данных к числу персональных данных. Так, в соответствии с п. 6 ч. 2 ст. 22 данного Закона оператор вправе осуществлять без уведомления Роскомнадзора «обработку персональных данных… включающих только фамилии, имена и отчества (курсив мой. – А.С.) субъектов персональных данных». Из данного положения вполне можно сделать вывод о том, что только фамилия, имя и отчество лица безотносительно к степени их распространенности признаются персональными данными, это подтверждается и судебной практикой5050
  См., например: Апелляционное определение Московского городского суда от 6 сентября 2012 г. по делу № 11-17136. Даже английское право, на которое нередко ссылаются как на более определенное с точки зрения понятия персональных данных, рассматривает имя лица, взятое само по себе, в качестве персональных данных. См.: Edem v. IC & Financial Services Authority [2014] EWCA Civ. 92.


[Закрыть]. Кроме того, приведенные ранее материалы судебной практики о признании информации о посещаемых пользователем страницах в сети «Интернет» персональными данными, так как по ней можно косвенно идентифицировать физическое лицо, была сформирована при непосредственном участии Роскомнадзора, который привлекал операторов связи к административной ответственности за несоблюдение лицензионных условий (ч. 3 ст. 14.1 КоАП РФ). Да и выводы представителей Роскомнадзора об отнесении IP-адресов пользователей к категории персональных данных, сделанные в отдельных ситуациях5151
  См.: Как проходит проверка персональных данных – глазами Superjob и Роскомнадзора. 23 июня 2016 г. URL: https://m.roem.ru/23-06-2016/227249/kak-prohodit-proverka-personalnyh-dannyh-glazami-superjob-i-roskomnadzora/


[Закрыть], также свидетельствуют о неоднозначности позиции ведомства по вопросу толкования данного понятия. Таким образом, можно заключить, что позиция Роскомнадзора относительно толкования понятия «персональные данные» может быть весьма гибкой в зависимости от стоящих перед ним целей.

6. Принимая во внимание многообразие отношений, связанных с обработкой персональных данных, а также их высокую динамику, характеризующуюся появлением новых субъектов и технологий обработки персональных данных, невозможно дать исчерпывающий перечень данных, которые могут признаваться персональными. В силу самого существа этой категории она предполагает контекстный и индивидуальный подход. Как справедливо отмечается в литературе, «понимание бесперспективности законодательно установленного «перечневого» подхода к определению понятия «персональные данные», взаимосвязи и взаимодополняемости разных данных, относящихся к частной жизни и участию индивида в социальной жизни… обусловило преимущественное развитие международного и национальных законодательств в направлении обобщающего института персональных данных»5252
  Бачило И.Л. и др. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск, 2006. С. 19.


[Закрыть]. В этой связи вряд ли имеют перспективу попытки разработки неких обобщающих таблиц или «матриц» персональных данных, которые позволили бы четко ответить на вопрос: является ли тот или иной набор данных персональными данными или нет?

7. Квалификация информации, позволяющей косвенно определить физическое лицо, в качестве персональных данных дает возможность решить вопрос о так называемых пользовательских данных, которые обрабатываются посредством инструментов аналитики «больших данных». Если абстрагироваться от не соответствующего легальной дефиниции и европейской практике «узкого» подхода к толкованию понятия «персональные данные», то такие пользовательские данные подпадают под действие режима персональных данных и создания какого-либо специального правового механизма sui generis для их регулирования не требуется. Если определенные данные по результатам обработки представляют собой персональные данные, то исходя из существующей дефиниции этого явления исходные данные также относятся к персональным. Это не означает, однако, что существует необходимость разработки специальных норм в отношении обработки тех массивов данных, на основе которых могут быть созданы персональные данные. В этой связи целесообразно упомянуть высказанное в литературе замечание о проблеме возможной коллизии прав субъектов персональных данных и прав интернет-компаний на большой объем данных как базу данных, которая может получить отдельную правовую защиту5353
  См.: Архипов В.В. Интернет-право: Учебник и практикум для бакалавриата и магистратуры. М., 2016. С. 120−121.


[Закрыть].

Признавая наличие указанной проблемы, хотелось бы отметить, что подобного рода коллизии различных правовых режимов информации ограниченного доступа существуют и сейчас (например, режимов коммерческой тайны и персональных данных, банковской тайны и персональных данных и т.п.; см. подробнее комментарий к ст. 7 Закона о персональных данных), поэтому и проблематика «больших данных» не добавляет здесь ничего нового. Однако создание в отношении их особого правового режима, отличного от режима персональных данных, лишь усилит остроту данной проблемы, поскольку к обозначенным коллизиям правовых режимов добавится еще один правовой «слой» и коллизионный вопрос обострится в еще большей степени. Поэтому, как представляется, без выявленных реальной правоприменительной практикой неэффективности и неадекватности применения к «большим данным», содержащим пользовательские данные, общего правового режима «персональных данных» с определенными специальными нормами, которые вполне допустимы, разрабатывать «с нуля» специальный правовой режим в отношении их крайне нежелательно. Помимо дополнительных издержек для операторов это будет чревато стагнацией развития данных технологий и их «оффшоризацией», т.е. выведением соответствующих операций в более благоприятные с регуляторной точки зрения юрисдикции.

8. Информация, которая относится к нескольким прямо или косвенно определенным или определяемым физическим лицам (например, фотография с изображением нескольких лиц на ней или электронное письмо, в котором есть данные отправителя и получателя), является персональными данными в отношении каждого из таких субъектов. Каждое из этих лиц обладает в отношении указанной информации всей полнотой прав, предоставляемых Законом о персональных данных их субъекту. Закон не предусматривает каких-либо положений, регламентирующих множественность лиц на стороне субъекта персональных данных, а равно не содержит каких-либо положений на случай возможных коллизий между волеизъявлениями отдельных субъектов в отношении «совместных» персональных данных. Представляется, что в случае наличия у одних и тех же персональных данных сразу нескольких субъектов целесообразно руководствоваться следующим подходом. В отношении той части персональных данных, которая относится непосредственно к соответствующему лицу, оно выступает субъектом персональных данных со всеми вытекающими правами, в то время как в отношении той части персональных данных, которая относится к другим лицам, оно будет выступать оператором. Как следствие, для размещения таких персональных данных в сети «Интернет» или осуществления иной их обработки субъекту необходимо иметь одно из законных оснований для обработки персональных данных других лиц из числа указанных в ст. 6 или 10 Закона о персональных данных. Разумеется, положения об исключении обработки, осуществляемой исключительно для личных нужд, из сферы действия указанного Закона (см. комментарий к ст. 1) также применимы. Например, в случае с фотографией, на которой изображены несколько лиц, лицо, которое выкладывает ее в сеть «Интернет», должно получить согласие от других лиц либо воспользоваться иным основанием для обработки, например, для осуществления прав и законных интересов оператора (п. 7 ч. 2 ст. 6 Закона о персональных данных).

В качестве определенного обоснования указанного довода можно привести следующие рассуждения. В тех случаях, когда один из субъектов настаивает на прекращении обработки таких данных, а другой субъект, напротив, выражает волю на их дальнейшую обработку, по общему правилу приоритет должен отдаваться требованию первого субъекта. Это следует из основной цели Закона о персональных данных – защищать неприкосновенность частной жизни, личной и семейной тайны, а также обусловлено отсутствием в этом Законе специальных положений, допускающих обработку персональных данных без согласия одного из таких субъектов, и общей парадигмы Закона, исходящей из принципа «запрещено все, что прямо не разрешено». При этом немаловажен и тот факт, что интересы второго субъекта все же могут быть реализованы после удаления из спорной информации сведений, касающихся первого лица, в то время как интересы первого субъекта будут нарушены бесповоротно, в случае если приоритет будет отдан именно волеизъявлению того субъекта, который настаивает на продолжении обработки персональных данных. При этом не следует путать решение указанного вопроса с точки зрения законодательства о персональных данных с регулированием, установленным в ст. 152.1 ГК РФ. В последнем случае по общему правилу, если изображенные на коллективном фотоснимке граждане очевидно выразили свое согласие на фотосъемку и при этом не запретили обнародование и использование фотоснимка, один из этих граждан вправе обнародовать и использовать такое изображение без получения дополнительного согласия на это от иных изображенных на фотоснимке лиц, за исключением случаев, если такое изображение содержит информацию о частной жизни указанных лиц (п. 45 Постановления Пленума ВС РФ от 23 июня 2015 г. № 25 «О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации»).

Понятие оператора персональных данных

1. Понятие оператора персональных данных является одним из краеугольных камней всего правового режима законодательства о персональных данных, поскольку оно определяет круг лиц, ответственных за соблюдение предусмотренных в нем обязанностей, в том числе по реализации прав субъектов персональных данных.

Дефиниция оператора персональных данных состоит из трех основных частей:

1) конкретизации статуса лица, которое может выступать в качестве оператора («государственный орган, муниципальный орган, юридическое или физическое лицо»). Фактически это любое лицо, обладающее правосубъектностью, безотносительно к его национальной принадлежности;

2) указания на возможность выступления множественности лиц на стороне оператора («самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку»);

3) указания на основной критерий, отграничивающий оператора от иных участников отношений, связанных с персональными данными («определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными»).

Данная дефиниция фактически является заимствованием положений Директивы 1995 г. Она отличается от дефиниции, содержащейся в Конвенции 1981 г., которая оперирует понятием «контроллер файла» (controller of the file), определяемым как «физическое или юридическое лицо, орган государственной власти, учреждение или любой другой орган, компетентный в соответствии с внутренним законодательством решать, какова должна быть цель автоматизированного файла данных, какие категории персональных данных подлежат хранению или какие операции должны производиться с ними». Это связано с тем, что дефиниция Конвенции 1981 г. является устаревшей; оперируя понятием «файл», она слишком сужала круг возможных способов обработки персональных данных. Кроме того, дефиниция Конвенции не предусматривала возможность нескольких лиц одновременно выступать оператором5454
  Opinion 1/2010 On the concepts of «controller» and «processor». Article 29 Data Protection Working Party. 16 February. P. 3.


[Закрыть].

Ключевым отличием дефиниции, содержащейся в Законе о персональных данных, от той, которая содержится в Директиве 1995 г. и Регламенте 2016 г., является использование в Законе о персональных данных словосочетания «состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» вместо обобщенного понятия «средства обработки» (means of the processing of personal data). Однако это не меняет существа используемого критерия, поскольку понятие «средства обработки» в европейском праве охватывает и состав обрабатываемых данных, и действия, которые осуществляются с ними5555
  Opinion 1/2010 On the concepts of «controller» and «processor». Article 29 Data Protection Working Party. 16 February. P. 14.


[Закрыть]. В этой связи можно говорить о том, что понятие «оператор персональных данных» в российском и европейском праве является по существу идентичным.

2. Для решения вопроса о том, является ли конкретное лицо оператором персональных данных, необходимо принимать во внимание все обстоятельства, поскольку данный вопрос является вопросом факта. Простого указания в тексте договора на то, что определенная сторона выступает в качестве оператора персональных данных, недостаточно. Как правило, в качестве оператора будет выступать любое лицо, которое решило осуществлять обработку персональных данных в своих интересах и имеет правовую и (или) фактическую возможность определять существенные условия такой обработки. При этом осуществлять непосредственные действия по обработке персональных данных такому лицу для признания его оператором не требуется, на что указывает использование предлогов «и (или)» в выражении «организующие и (или) осуществляющие обработку персональных данных».

Представляется, что именно определение цели обработки является основным квалифицирующим признаком оператора персональных данных. Определение состава персональных данных и конкретных способов их обработки, включая используемые программно-аппаратные средства, нередко требует наличия специальной квалификации, в связи с чем данные элементы могут по факту определяться привлеченными оператором лицами. Однако предоставление оператору информации о них, а также последующее продолжение его взаимоотношений с таким привлеченным лицом могут рассматриваться как согласие с указанными действиями и проявление контрольных функций в отношении таких действий. Таким образом, в указанных случаях лицо будет признаваться оператором персональных данных даже несмотря на то, что отдельные аспекты обработки данных были определены иным лицом.

3. Типичными примерами операторов персональных данных являются организации, которые осуществляют обработку данных своих работников (и) или клиентов − физических лиц; лица, которые осуществляют сбор и анализ общедоступных данных в сети «Интернет»; государственные органы и учреждения, которые обрабатывают персональные данные граждан в процессе предоставления государственных услуг; онлайн-сервисы, которые предусматривают регистрацию пользователей и (или) собирают данные о них в процессе использования такого сервиса.

4. В случае если цели обработки, состав персональных данных и способы обработки определяются работником организации, например, лицом, специально назначенным в качестве ответственного за обработку данных, оператором будет признаваться сама организация, а не такое физическое лицо. При этом если такое физическое лицо будет использовать персональные данные в своих целях без ведома организации, то его можно будет признать оператором с возложением всех соответствующих обязанностей и ответственности, однако сама организация также будет нести ответственность за действия такого работника на основании п. 1 ст. 1068 ГК РФ. В данном случае можно говорить о вине организации, выразившейся в том, что она не смогла принять необходимые меры безопасности, направленные на предотвращение несанкционированного доступа и обработки персональных данных своими работниками.

5. На стороне оператора персональных данных может выступать множественность лиц, на что указывает формулировка о возможности организации и (или) осуществления обработки персональных данных, а также определения ее целей и иных существенных аспектов обработки «самостоятельно или с другими лицами». Такая множественность может иметь место, к примеру, при совместной обработке в общих целях персональных данных клиентов или работников несколькими операторами, действующими в рамках одной группы компаний.

Кроме того, множественность лиц на стороне оператора может иметь место при создании несколькими лицами (к примеру, туристическим агентством, сетью отелей и авиакомпанией) единого интернет-портала, где клиент может централизованно заказать услуги каждого из указанных лиц. При этом такие лица определяют объем собираемых данных, порядок размещения заказа, кто из них и в каком объеме может иметь доступ к собранным персональным данным. В этом случае все указанные лица будут совместно выступать в качестве оператора («со-операторы») по отношению к таким персональным данным, что не исключает квалификации каждого из них в качестве самостоятельного оператора по отношению к иным обрабатываемым персональным данным (например, своих работников). Однако если совместного определения целей или иных элементов обработки персональных данных нет, например, в случае, когда туристическое агентство само отправляет персональные данные своих клиентов в отель для подтверждения брони, то нет и множественности лиц на стороне оператора. Каждое из указанных лиц является самостоятельным оператором, обрабатывающим персональные данные для собственных нужд.

Множественность лиц на стороне оператора проявляется и в случае размещения пользователями персональных данных в социальной сети: поскольку социальная сеть устанавливает общие цели обработки данных, состав персональных данных и способы обработки, а пользователь – конкретный состав размещаемых персональных данных, также он может выбирать способы обработки из состава сделанных доступными провайдером сервиса социальной сети, оба указанных лица совместно могут признаваться оператором (в единственном числе) в отношении обрабатываемых персональных данных третьих лиц. Конечно, при условии, что в данном случае в отношении пользователя не будет действовать исключение из правил об обработке персональных данных только для личных и семейных нужд (п. 1 ч. 2 ст. 1 Закона о персональных данных, см. также комментарий к ней).

6. Наличие на стороне оператора множественности лиц вызывает вопрос о распределении ответственности между ними. Тот факт, что Закон о персональных данных говорит об операторе в единственном числе, может быть интерпретирован как несение обязанностей и ответственности каждым со-оператором в полном объеме. С гражданско-правовой точки зрения такой вид ответственности именуется солидарной обязанностью (ст. 323 ГК РФ устанавливает, что «при солидарной обязанности должников кредитор вправе требовать исполнения как от всех должников совместно, так и от любого из них в отдельности, притом как полностью, так и в части долга»). И хотя Закон о персональных данных не оперирует данным термином и не предполагает возможности субсидиарного применения положений гражданского законодательства, принципы солидарной ответственности вполне могут быть применимы и к распределению ответственности между со-операторами. Европейская практика также исходит из принципа солидарной ответственности со-операторов (jointly and severally liable)5656
  Opinion 1/2010 On the concepts of «controller» and «processor». Article 29 Data Protection Working Party. 16 February 2010. P. 24.


[Закрыть].

При этом вопросы распределения ответственности и предъявления регрессных требований вполне могут быть решены со-операторами в соглашении между собой.

7. От оператора персональных данных следует отличать лицо, которое осуществляет обработку данных по его поручению. В европейском законодательстве в этой связи наряду с термином «оператор» (data controller) используется термин «обработчик» (data processor). В российском законодательстве такой термин специально не выделен, однако в ч. 3 ст. 6 Закона о персональных данных упоминается «лицо, осуществляющее обработку персональных данных по поручению оператора». Ключевыми характеристиками такого лица являются: 1) наличие самостоятельной правосубъектности, т.е. это лицо должно быть юридически самостоятельным по отношению к оператору, что позволяет исключить из сферы его работников оператора и обособленные подразделения организации; 2) обработка данных осуществляется таким лицом в интересах оператора.

В качестве лиц, осуществляющих обработку персональных данных по поручению оператора, обычно выступают различного рода аутсорсинговые организации (например, по ведению бухгалтерии или расчету зарплат), а также провайдеры «облачных» сервисов, которые предоставляют оператору вычислительные мощности для обработки персональных данных5757
  Подробнее об «облачных» сервисах см.: Савельев А.И. Правовая природа «облачных» сервисов: свобода договора, авторское право и высокие технологии // Вестник гражданского права. 2015. № 5. С. 62−99.


[Закрыть]. Однако если такие провайдеры осуществляют обработку персональных данных своих клиентов для собственных нужд, то они будут выступать в качестве операторов таких данных5858
  Opinion 05/2012 on Cloud Computing. Article 29 Data Protection Working Party. 1 July 2012.


[Закрыть].

Главным отличием оператора от «лица, осуществляющего обработку персональных данных по поручению оператора», является распределение ответственности между ними. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на их обработку. Оператор несет ответственность перед субъектом персональных данных за действия указанного лица, а оно, в свою очередь, − перед оператором (ч. 4 и 5 ст. 6 Закона о персональных данных). Подробнее о правовом статусе лица, осуществляющего обработку персональных данных по поручению оператора, см. в комментарии к ч. 3 ст. 6 настоящего Закона.

Понятие обработки персональных данных

1. Приведенная в Законе о персональных данных дефиниция воспроизводит аналогичное положение Директивы 1995 г. Данное определение отличается от понятия автоматизированной обработки, которое содержится в Конвенции 1981 г. и охватывает «следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение». Во многом это связано с тем, что сфера действия Директивы 1995 г. и Закона о персональных данных не ограничивается исключительно автоматизированной обработкой данных. Кроме того, развитие технологий привело к появлению новых способов обработки данных, что сделало нецелесообразным ограничение их видов каким-либо закрытым перечнем.

2. Первоначально в Законе о персональных данных обработка персональных данных понималась несколько иначе, а именно как «действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных». Последующие изменения в дефиницию конкретизировали ее посредством (1) прямого указания на то, что обработка представляет собой любое действие (в данном случае делается акцент на действии человека) или операцию (акцент на автоматизированной обработке) с персональными данными, и (2) пополнения перечня возможных способов обработки записью, извлечением, передачей данных в различных формах (распространение, предоставление, доступ).

В настоящее время под обработкой персональных данных понимается любое действие (операция), совершаемое с персональными данными, как с использованием средств автоматизации, так и без них. К таковым относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В принципе, невозможно придумать ни одного действия или операции с персональными данными, которые бы не могли быть охвачены понятием «обработка». Аналогичный и столь же широкий подход к данному понятию используется в Директиве 1995 г. и Регламенте 2016 г.

Таким образом, к обработке персональных данных в полной мере можно отнести любое действие, носящее волевой характер и сопряженное с воздействием на данные в период их жизненного цикла: обычное хранение персональных данных на жестком диске компьютерного устройства; использование компьютерных алгоритмов по глубинному анализу данных (data mining).

3. В отечественной судебной практике встречаются случаи, когда суды некорректно толкуют понятие «обработка персональных данных», стремясь тем самым решить вопрос о применимости к спорным отношениям законодательства о персональных данных.

Так, суды не признают обработкой персональных данных действия по размещению на информационных стендах официальных документов, в которых могут содержаться персональные данные (например, данные о результатах аудита ТСЖ с информацией о фамилии, имени и отчестве истца, замещении им ранее должности председателя ТСЖ и размере получаемого вознаграждения или предписание Ростехнадзора), такие действия не являются обработкой персональных данных лица по смыслу Закона о персональных данных (см. апелляционные определения Верховного суда Республики Коми от 13 марта 2014 г. по делу № 33-1148/2014; Липецкого областного суда от 6 июня 2012 г. по делу № 33-1235/2012).

С приведенным толкованием вряд ли можно согласиться, учитывая максимально широкую формулировку понятия «обработка персональных данных», которое охватывает практически любые действия, совершаемые оператором с персональными данными. В указанных выше случаях более правильно говорить о неприменимости законодательства о персональных данных к спорным отношениям в силу отсутствия факта автоматизированной или квази-автоматизированной обработки, т.е. в силу ст. 1 Закона о персональных данных, а не в силу отсутствия факта обработки как таковой.

Понятие автоматизированной обработки персональных данных

1. Данное определение отсутствует в Директиве 1995 г. и Регламенте 2016 г., оно отсутствовало и в первоначальной редакции Закона о персональных данных, появившись лишь в 2011 г. В немалой степени его закреплению на законодательном уровне способствовали судебные споры, связанные с определением сферы действия Закона о персональных данных, в котором содержание понятия автоматизированной обработки данных играло ключевую роль (см. комментарий к ст. 1 настоящего Закона). В частности, предпринимались попытки определить указанный термин методом «от противного» применительно к существующему пониманию обработки без использования средств автоматизации, содержащемуся в Постановлении Правительства РФ от 15 сентября 2008 г. № 687. Поскольку согласно п. 2 данного документа обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее, делался вывод о том, что «средством автоматизации является не любое техническое средство, а только такое, при применении которого использование, уточнение, распространение, уничтожение персональных данных осуществляется без непосредственного участия человека» (см. также, например, Постановление Четвертого арбитражного апелляционного суда от 17 января 2011 г. по делу № А19-25289/2009). В связи с тем, что такое толкование явно расходилось с общими представлениями об автоматизированной обработке, судам приходилось ссылаться напрямую на текст Конвенции 1981 г. В настоящее время этот пробел восполнен.

2. Под автоматизированной обработкой теперь понимается любая обработка персональных данных, осуществляемая с использованием вычислительных средств. Иными словами, в случае если производится обработка персональных данных, существующих в цифровой форме, то она всегда имеет автоматизированный характер. В этой связи упомянутые ранее положения п. 2 Постановления правительства РФ от 15 сентября 2008 г. № 687 не должны применяться для толкования понятия автоматизированной обработки, но при этом продолжают иметь значение для определения содержания понятия обработки, осуществляемой без использования средств автоматизации5959
  В литературе высказывается и более радикальное мнение, ‒ что указанное Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, противоречит в части ключевого определения федеральному закону и должно быть пересмотрено. См.: Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С. Комментарий к Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (постатейный) // СПС «КонсультантПлюс». 2013. См. п. 4 комментария к ст. 3.


[Закрыть].

Понятие распространения персональных данных

1. В первоначальной редакции Закона о персональных данных понятие распространения персональных данных рассматривалось как обобщающее по отношению к различным видам обработки данных, связанных с их передачей иным лицам: размещением в сети «Интернет», предоставлением доступа, передачей определенному лицу и т.п. В настоящее время в качестве обобщающего понятия выступает термин «передача», который включает в себя распространение, предоставление и доступ, как это следует из понятия обработки персональных данных.

2. Распространение персональных данных означает совершение действий, в результате которых указанные сведения становятся доступными неопределенному кругу лиц. Распространение имеет место, в частности, при публикации таких данных в средствах массовой информации. О распространении можно говорить при размещении персональных данных в сети «Интернет» в отсутствие специального режима доступа к таким данным (например, по паролю). При этом, как представляется, наличие на интернет-сайте регистрации, которую может пройти любой желающий, не означает, что размещаемые данные рассчитаны лишь на определенный круг лиц – зарегистрированных пользователей. Другое дело, если такая регистрация доступна лишь лицам, обладающим определенным статусом (например, бизнес-партнерам компании), и соответствующая информация доступна только таким зарегистрированным пользователям.

Здесь следует провести аналогию с законодательством о рекламе, поскольку одним из существенных признаков рекламы является ее направленность на неопределенный круг лиц. Как отметил суд, толкуя данное понятие применительно к интернет-сайту, «Сайт ООО «Медика» в сети «Интернет» не предполагает какого-либо ограничения в доступе путем введения паролей, кодов для получения возможности его посещения либо прочтения подробных сведений об оказываемых Обществом услугах, в силу чего потенциальным потребителем услуг Клиники является любой пользователь сети «Интернет». Таким образом, информация на сайте интернета направлена неопределенному кругу лиц» (Постановление Девятнадцатого арбитражного апелляционного суда от 5 марта 2011 г. по делу № А14-7904/2010/227/10).