Текст книги "Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»"

Глава 2. Принципы и условия обработки персональных данных

Статья 5. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

1. Приведенные в данной статье принципы происходят из Руководящих принципов ОЭСР и в той или иной мере отражены практически во всех международных документах (ст. 5 Конвенции 1981 г., ст. 6 Директивы 1995 г., ст. 5 Регламента 2016 г.), что свидетельствует об их устоявшемся и стабильном характере, о возможности их квалификации как «ядра» законодательства о персональных данных. Эти принципы адресованы операторам, носят универсальный характер и в равной мере применимы к любым персональным данным и их категориям, способам обработки и субъектам персональных данных.

2. Принципы, перечисленные в комментируемой статье, являются непосредственно действующими, их несоблюдение может рассматриваться в качестве нарушения законодательства о персональных данных, даже если какие-либо специальные, конкретизирующие их положения при этом не нарушены. Кроме того, принципы обработки персональных данных имеют важное значение, выступая в качестве основных ориентиров как при разрешении спорных ситуаций, которые прямо не предусмотрены в законодательстве, так и при разработке новых норм.

3. Принцип осуществления обработки на законной и справедливой основе, указанный в ч. 1 комментируемой статьи, является первоочередным. Все остальные принципы представляют собой его развитие. Законность обработки персональных данных означает главным образом, что должно иметь место одно из оснований для обработки таких данных, указанных в законе, поскольку по общему правилу обработка персональных данных запрещена в отсутствие легитимирующего основания. Таким образом, обработка персональных данных в каждый конкретный момент времени должна иметь как минимум одно правовое основание. «Справедливость» обработки персональных данных означает необходимость принятия во внимание интересов субъектов таких данных и их разумных ожиданий, не злоупотребляя предоставленными оператору возможностями. Если законность основания предполагает соблюдение «буквы» закона, то справедливость – его «духа». В качестве примера возможного нарушения принципа справедливости обработки персональных данных можно привести ситуацию, в которой определенный онлайн-сервис на начальных этапах формулирует достаточно сбалансированную политику обработки персональных данных, а впоследствии, по мере роста пользовательской базы и их «привыкания» к сервису, начинает в одностороннем порядке постепенно изменять ее в сторону существенного расширения своих прав по дальнейшему использованию персональных данных пользователей (например, по продаже таких данных третьим лицам для целей агрессивного маркетинга или составления профайлов и т.п.). Если бы пользователи знали о них на момент начала использования сервиса, их решение могло бы быть иным. В данном случае можно говорить о нарушении разумных ожиданий пользователей, имевших место на момент принятия ими решения о начале использования сервиса, и о нарушении требований «справедливости» обработки персональных данных, а также принципа ограничения цели.

Регламент 2016 г. дополняет принцип обеспечения законности и справедливости обработки персональных данных также требованием обеспечения ее прозрачности (ст. 5 (1)(а)). Представляется, что данный критерий вполне «укладывается» в рамки требования справедливости, хотя лишней подобная конкретизация явно не будет, учитывая неопределенный характер понятия «справедливость».

4. Применение принципа ограничения обработки конкретной целью (purpose limitation) направлено на обеспечение прозрачности и предсказуемости процессов обработки персональных данных для их субъекта, возможности реализации им своих прав по управлению данными. Существо данного принципа можно условно разбить на три составляющие:

1) цели сбора персональных данных должны быть конкретно определены и доведены до сведения субъекта персональных данных на момент сбора, иными словами, достаточно абстрактно сформулированные цели (вроде «улучшения качества сервиса», «достижения маркетинговых целей») не «укладываются» в рамки требования данного принципа, равно как и предоставления информации post factum;

2) указанные цели должны быть законными;

3) последующие действия по обработке персональных данных не должны быть несовместимыми с целью обработки, заявленной на момент сбора.

В последнем случае речь идет не о любом формальном или текстуальном различии между первоначальной обработкой с заявленной целью («первичной» обработкой) и последующей обработкой для иной цели («вторичной» обработкой), а именно об их несовместимости по существу, наличие которой должно определяться в каждом конкретном случае отдельно. В качестве ориентира можно использовать критерии, выработанные в европейской практике: а) характер взаимосвязи между целями первичной и вторичной обработки; б) контекст ситуации, в которой был осуществлен сбор, и разумные ожидания субъекта в связи с возможным последующим использованием таких данных; в) характер персональных данных и возможные негативные последствия от их последующей обработки (чем «чувствительнее» данные, тем меньше возможностей для их вторичного использования); г) принятые оператором меры предосторожности, направленные на предотвращение возможных негативных последствий от вторичной обработки (например, обезличивание, шифрование данных, предоставление доступа к данным в режиме «только чтение» и т.п.)7979
  Opinion 03/2013 on Рurpose Limitation. Article 29 Data Protection Working Party. 2 April 2013.


[Закрыть]. Указанные критерии нашли свое отражение в положениях Регламента 2016 г. (п. 50 Преамбулы, ст. 6 (4)).

Например, если заявленной целью видеонаблюдения является обеспечение безопасности, а впоследствии запись видеонаблюдения используется для привлечения работника к ответственности за длительное отсутствие на рабочем месте, то налицо несовместимость целей обработки. Аналогичным образом использование сведений из базы данных оператора связи, собранных для биллинга с целью оказания содействия правообладателям в преследовании нарушителей интеллектуальных прав из числа клиентов данного оператора связи, сопряжено с обработкой данных с несовместимыми целями8080
  Данная позиция поддерживается и в европейской практике. См. § 60 of Opinion of Advocate General Jääskinen in Bonnier Audio AB and Others v Perfect Communication Sweden AB, ECJ, C‐461/10. 19 April 2012.


[Закрыть]. Или другой пример. Пользователи социальной сети предоставляют свои данные для обработки с целью общения с другими пользователями данной сети, их разумным ожиданиям будет противоречить сбор таких данных третьими лицами для целей формирования профайлов граждан и последующего предоставления платного доступа к ним заинтересованным лицам8181
  Здесь также можно говорить о нарушении принципа осуществления обработки персональных данных на «справедливой основе».


[Закрыть]. Уже начали возникать судебные споры, связанные с использованием данных социальных сетей для целей их агрегации и предоставления на их базе услуг третьим лицам. Так, социальная сеть «ВКонтакте» подала в арбитражный суд г. Москвы иск к ООО «Дабл» и Национальному бюро кредитных историй с требованием обязать их прекратить использовать открытые данные пользователей для продажи услуг по оценке платежеспособности потенциальных клиентов (дело № А40-18827/2017). На момент подготовки настоящего комментария данный судебный спор был в процессе рассмотрения, в связи с чем прокомментировать позицию суда по возникшим вопросам не представляется возможным.

Принцип ограничения обработки конкретной целью вступает в существенные противоречия с идеологией, лежащей в основе использования технологий «больших данных». В ней главный акцент делается на повторном использовании данных, поскольку все без исключения данные приобретают потенциальную ценность. При этом такое повторное использование зачастую предполагает постановку новой цели, отличной от цели первоначального сбора персональных данных8282
  См. подробнее: Савельев А.И. Проблемы применения законодательства о персональных данных в эпоху «больших данных» (Big Data) // Право. Журнал Высшей школы экономики. 2015. № 1. С. 43‒67. URL: https://publications.hse.ru/articles/150345962


[Закрыть]. И если применительно к использованию технологий «больших данных» для научно-исследовательских и статистических целей можно в ряде случаев полагаться на специальное основание для обработки персональных данных в отсутствие согласия субъекта (п. 9 ч. 1 ст. 6 Закона о персональных данных), то для применения их в коммерческих целях (для адресной рекламы, индивидуализации сервиса, анализа платежеспособности и др.) необходимо получение явно выраженного согласия субъекта.

5. Принцип недопустимости объединения баз данных для совместной обработки персональных данных, собранных с несовместимыми целями, является конкретизацией принципа ограничения такой обработки конкретной целью. Данное положение, так же как и в случае с предыдущим принципом, накладывает существенные ограничения на осуществление легитимной деятельности посредством инструментария «больших данных», результаты которой могут влиять на экономическое, социальное или юридическое положение индивидов. В литературе о «больших данных» подчеркивается, что «истинная ценность данных – как айсберг в океане. На первый взгляд видна лишь незначительная их часть, в то время как все остальное сокрыто под водой. Такая скрытая ценность может быть зачастую получена путем объединения одного набора данных с другим, на первый взгляд, совершенно с ним не связанным, поскольку при анализе «больших данных» совокупность важнее отдельных частей, а при перекомпоновке совокупностей нескольких наборов данных получается еще более удачная совокупность»8383
  Майер-Шенбергер В., Кукьер К. Большие данные. Революция, которая изменит то, как мы живем, работаем и мыслим. М., 2014. С. 111.


[Закрыть] (см. подробнее комментарий к ст. 16 Закона о персональных данных).

Но и помимо «больших данных» существуют проблемные области регулирования, находящегося в противоречии с указанным принципом. В качестве примера можно привести так называемую универсальную электронную карту, выпуск которой предусмотрен положениями Федерального закона от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг». Такая карта включает идентификационные данные, данные обязательного медицинского страхования, пенсионные данные, а также имеет область для размещения других сведений8484
  Постановление Правительства РФ от 24 марта 2011 г. № 208 «О технических требованиях к универсальной электронной карте и федеральным электронным приложениям».


[Закрыть]. Данная карта может использоваться для получения государственных и муниципальных услуг, осуществления банковских платежей и в иных целях. Однако, как справедливо отмечает Л.К. Терещенко, аккумулирование такого количества персональных данных в одном месте очень опасно как с позиций создания условий для нарушения прав субъектов персональных данных, так и в случае утраты данной карты8585
  Терещенко Л.К. Модернизация информационных отношений и информационного законодательства: Монография. М.: Институт законодательства и сравнительного правоведения при Правительстве РФ; ИНФРА-М, 2013. С. 132.


[Закрыть].

6. Принципы, приведенные в ч. 4 и 5 комментируемой статьи, можно обобщенно обозначить как принцип минимизации данных (data minimization). Данный принцип предполагает, что сбор и обработка данных должны быть ограничены лишь теми данными, которые минимально необходимы и достаточны для достижения заявленных целей обработки. При этом обработка персональных данных, которая не отвечает целям такой обработки, запрещена. Этот принцип основан на идее о том, что чем меньше информации будет иметь оператор для реализации своих целей, тем меньше риски для субъекта персональных данных в случае утечки его данных или иных неправомерных действий с ними.

Примером нарушения указанного принципа может служить дело, в котором «суд… сделал правильный вывод о том, что для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность, в котором содержатся все необходимые сведения. Хранение копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребенка на рабочем месте превышает объем обрабатываемых персональных данных работника, нарушает права и свободы гражданина, снижает уровень прав и гарантий работника, противоречит федеральному законодательству. При проведении проверки управление сделало правильный вывод о том, что банк производит обработку избыточных персональных данных, по сравнению с теми, которые определены к заявленным целям их обработки, что является нарушением части 5 статьи 5 Закона № 152-ФЗ» (Постановление ФАС Северо-Кавказского округа от 21 апреля 2014 г. по делу № А53-13327/2013). В другом деле суд признал нарушение указанного принципа со стороны компании «Ростелеком», предъявлявшей требование о предоставлении паспортных данных и адреса регистрации при получении активационного кода для Единого портала государственных и муниципальных услуг, поскольку «общество не сослалось на соответствующие нормы права, обязывающие его при выдаче кода активации не только устанавливать личность лиц, обратившихся за кодом активации, но и обрабатывать их персональные данные, такие как паспортные данные (серия, номер, кем выдан, дата выдачи) и адрес регистрации (адрес места жительства)» (Постановление Четырнадцатого арбитражного апелляционного суда от 25 апреля 2013 г. по делу № А44-7781/2012).

Представляется, что не будет соответствовать данному принципу интернет-сервис или мобильное приложение, которые запрашивают или фактически получают доступ к большому количеству данных, хранимых на устройстве пользователя, если это не является безусловно необходимым для его нормального функционирования.

Напротив, если какие-либо правовые акты прямо предусматривают необходимость получения оператором определенных сведений о субъекте, то их сбор и последующая обработка не могут считаться избыточными. Так, согласно позиции Верховного Суда РФ, поскольку требованиями Центрального Банка РФ предусмотрено, что возврат денег покупателю из кассы организации на основании письменного заявления покупателя осуществляется при условии указания в расходном кассовом ордере фамилии, имени, отчества и данных документа, удостоверяющего личность, истребование указанных персональных данных продавцом от покупателя избыточным не является и не противоречит требованиям законодательства (Постановление Верховного Суда РФ от 15 июня 2015 г. № 25-АД15-3).

Субъект персональных данных, который обнаружил, что оператор осуществляет обработку избыточных персональных данных, вправе требовать блокирования или уничтожения таких данных, а также реализовывать иные средства защиты (см. комментарий к ст. 14 Закона о персональных данных).

7. Согласно ч. 6 комментируемой статьи обрабатываемые персональные данные должны быть точными, достаточными, а в необходимых случаях – актуальными. Требование точности предполагает, что собранные и обрабатываемые данные должны соответствовать действительности и не должны вводить в заблуждение. Требование достаточности, указанное в комментируемой норме, выглядит несколько странно, поскольку пересекается с принципом «минимизации данных». Представляется, что термин «достаточный» является следствием неудачной попытки перевода слова «неполный» (incomplete), используемого в схожем принципе, закрепленном в ст. 6 (1)(d) Директивы 1995 г.8686
  Еvery reasonable step must be taken to ensure, that data which are inaccurate or incomplete, having regard to the purposes for which they were collected or for which they are further processed, are erased or rectified.


[Закрыть] В данном случае требование «достаточности данных» означает, что соответствующие действия и решения, которые принимаются оператором по результатам обработки, не должны предприниматься на основании неполной информации.

Неактуальность персональных данных является одним из возможных условий реализации права «быть забытым», закрепленного в ст. 10.3 Закона об информации, согласно которой гражданин вправе требовать от оператора поисковой системы прекращения выдачи ссылок, позволяющих получить доступ к информации о таком гражданине.

Следует отметить, что данный принцип не означает, что оператор обязан по собственной инициативе, в интрузивной форме обращаться к субъекту с целью проверки точности и актуальности обрабатываемых им персональных данных. Скорее он предполагает предоставление субъекту возможности уточнения таких данных, в том числе посредством специального функционала интерфейса онлайн-сервиса (см. комментарий к ст. 14 Закона о персональных данных).

8. Последним принципом, упомянутым в комментируемой статье, является принцип ограничения хранения данных (storage limitation). Согласно данному принципу персональные данные должны быть уничтожены или обезличены по достижении целей обработки. Этот принцип имеет в своей основе достаточно очевидную установку: «…если данные существуют, значит они уязвимы, следовательно, единственным надежным способом устранить такую уязвимость является прекращение их существования»8787
  Bernal P. Internet Privacy Rights. Cambridge University Press. 2014. P. 177.


[Закрыть]. Тем самым показывается, что указанный принцип является важным инструментом обеспечения контроля субъектов над своими персональными данными.

Исключениями из требований данного принципа являются ситуации, когда законодательство или договор с участием субъекта персональных данных прямо предусматривает более длительный срок их хранения. Так, например, в случае увольнения работника формально отпадает основание для дальнейшей обработки его персональных данных, однако работодатель должен продолжать обрабатывать определенные данные о работнике в силу требований публичного права. Так, налоговым законодательством установлена обязанность налоговых агентов (работодателей) в течение четырех лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (см. подп. 5 п. 3 ст. 24 Налогового кодекса РФ). Бухгалтерские документы подлежат хранению в течение не менее пяти лет (см. ст. 29 Федерального закона от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете»). Впоследствии личные дела работников подлежат архивному хранению, на которое законодательство о персональных данных уже не распространяется (см. комментарий к ст. 1 Закона о персональных данных).

В тех случаях, когда обработка конкретных персональных данных предусматривает несколько целей, обязанность по их уничтожению или обезличиванию возникает с момента достижения последней из них. Таким образом, указанный принцип не позволяет осуществлять обработку персональных данных бесконечно или определять ее сроки исключительно по усмотрению оператора, хотя последний обладает значительной степенью гибкости при определении целей обработки и момента их достижения.

К сожалению, на практике данный принцип нередко нарушается государственными органами, которые, руководствуясь ведомственными актами, продолжают хранение персональных данных несмотря на достижение цели такой обработки. Например, правоохранительные органы продолжают хранить карточки учета лиц, привлеченных к уголовной ответственности, несмотря на то, что уголовные дела были уничтожены в связи с истечением сроков хранения, при этом суд признал обоснованность такой практики, не приводя при этом по сути никаких доводов в ее защиту (Апелляционное определение Санкт-Петербургского городского суда от 30 августа 2016 г. № 33-18190/2016 по делу № 2-1807/2016). Более одиозный пример касается случаев хранения сведений о совершении лицом административного правонарушения в информационной системе ГИБДД по истечении сроков, в течение которых лицо считается подвергнутым административному наказанию (ст. 4.6 КоАП РФ). Суд указал на правомерность такой обработки, сославшись на необходимость использования указанных данных для целей «учета показателей состояния безопасности дорожного движения» (Апелляционное определение Свердловского областного суда от 29 июля 2015 г. по делу № 33-11645/2015). В этой связи непонятно, почему указанные цели, статистические по своей природе, не могут быть достигнуты при обезличивании соответствующих данных.

Следует отметить, что уничтожение и обезличивание персональных данных являются способами их обработки, в связи с чем должны соответствовать установленным правилам, касающимся обработки персональных данных, а также принципам, указанным в комментируемой статье.

Положения, относящиеся к комментируемому принципу, не в полной мере «гармонизированы» с иными нормами Закона о персональных данных. Так, в соответствии с ч. 4 ст. 21 данного Закона в случае достижения цели обработки персональных данных оператор обязан прекратить их обработку или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Законом или другими федеральными законами. Данное положение предусматривает не возможность обезличивания персональных данных, а только их уничтожение. Представляется, что нормы ч. 7 ст. 5 Закона о персональных данных имеют приоритет, поскольку закрепляют принципы-положения, которые должны определять содержание и смысл всех остальных норм законодательства о персональных данных.

Принцип ограничения хранения данных, так же как и принцип ограничения обработки определенной целью, находится в прямом противоречии с идеологией «больших данных», которая стимулирует организации собирать как можно больше информации. Чем больше информации у компании, тем больше у нее простора для применения технологий «больших данных» в целях выявления различного рода закономерностей, которые могут иметь значение для принятия бизнес-решений, тем самым являясь еще одной «точкой напряжения» между законодательством о персональных данных и новыми технологиями.