Журнал "Директор по безопасности" Сентябрь 2020 | Page 21

В самом законе понятие
персональных данных
сформулировано в общем
виде и нет исчерпывающего
перечня соответствующих
сведений
Предоставление третьим лицам
сведений об абонентах-гражданах может
осуществляться только с их согласия,
за исключением случаев, предусмотренных
законодательством РФ.
При этом закон не ставит защиту сведений
о соединениях и трафике в зависимость
от предоставления либо
непредоставления соответствующих
сведений, позволяющие его идентифицировать
абонента, как лицо, к которому
данные соединения относятся.
Таким образом, не только данные,
позволяющие идентифицировать абонента,
но также и сведения баз данных
систем расчета за оказанные услуги
связи, в том числе о соединениях,
трафике и платежах абонента, также
относятся к сведениям об абонентах,
предоставление третьим лицам сведений
об абонентах-гражданах по общему
правилу может осуществляться
только с их согласия.
В рассматриваемом деле оператор
связи передавал своим партнерам следующие
сведения об абонентах:
случайный идентификатор (Cookie
«UID») в HTTP-запросе пользователя, позволяющий
отличить трафик пользователя
от трафика других пользователей для
получения списка его предпочтений;
IP-адрес из IP-пакета HTTP-запроса
пользователя, позволяющий получить
географическое положение пользователя
с точностью определения до названия
населенного пункта;
User-Agent HTTP-запроса пользователя,
позволяющий получить модель
устройства или типа браузера, используемого
пользователем;
время просмотра веб-страниц
(HTTP-запроса пользователя), позволяющее
оценить частоту, с которой пользователь
проявляет те или иные предпочтения;
URL-адрес и заголовок Referrer
HTTP-запроса пользователя, позволяющее
определить предпочтения пользователя;
Hash-ID линии пользователя, позволяющий
определить линии, абоненты
которых выразили не согласие с
обработкой данных.
В Определении Конституционного
суда РФ от 09.06.2005 г. № 248-0 указано
на то, что право на неприкосновенность
частной жизни означает
предоставленную человеку и гарантированную
государством возможность
контролировать информацию
о самом себе, препятствовать разглашению
сведений личного, интимного
характера. В понятие «частная жизнь»
включается та область жизнедеятельности
человека, которая относится к
отдельному лицу, касается только его
и не подлежит контролю со стороны
общества и государства, если она носит
непротивоправный характер.
В рассматриваемой ситуации оператор
передавал третьим лицам сведения,
относящиеся к его абонентам
(Хэш-ГО пользователя, время инициирования
им запроса, адрес web-страницы,
посещенной активным пользователем,
HTTP referer (ссылка), User
agent, coockie, src ip, src port, dst ip, dst
port, геоидентификатор). Поскольку согласия
абонентов оператор не получал,
суд посчитал его действия нарушением
законодательства о защите персональных
данных и привлек к административной
ответственности. Назначив
штраф в размере 30 тыс. рублей.
Во избежание применения таких
мер операторы связи включают в свою
политику обработки персональных данных
положения о том, что они с согласия
пользователя вправе обрабатывать
любую персональную информацию,
включая IP-адрес, cookie-файлы, пиксели,
локальные хранилища и другие сетевые
идентификаторы, позволяющие
прямо или косвенно установить определенного
пользователя 2 и его потребительские
предпочтения на основе данных
о посещении интернет-ресурсов 3 .
Такой подход соответствует международной
практике, что можно увидеть,
в частности, из содержания п. 30
Регламента Европейского Парламента
и Совета Европейского Союза от
27.04.2016 г. 2016/679 о защите физических
лиц при обработке персональных
данных и о свободном обращении
таких данных, а также об отмене Директивы
95/46/ЕС (Общий Регламент о
защите персональных данных/General
Data Protection Regulation/GDPR).
В данной норме указано, что физические
лица могут быть связаны с
сетевыми идентификаторами, предусмотренными
их устройствами, приложениями,
программными средствами
и протоколами, как например,
IP-адреса, идентификаторы типа куки-файлы
или иные идентификаторы,
например метки радиочастотной
идентификации, оставляющие следы,
которые (особенно в сочетании с уникальными
идентификаторами и другой
полученной серверами информацией)
могут быть использованы для
создания профилей физических лиц и
для их идентификации.
Сведения о размере заработной
платы, в том числе размере премии
конкретного сотрудника компании могут
быть отнесены к числу его персональных
данных, однако компания по
запросам акционеров не лишена права
раскрыть информацию об общем
размере выплаченных премий без
детализации по сотрудникам. В этом
случае законный интерес владельцев
компании на получение информации
удовлетворяется с одновременным
соблюдением требований законодательства
о защите персональных данных
(Постановление Тринадцатого арбитражного
апелляционного суда от
13.02.2020 г. № 13АП-37622/2019).
Такая юридически значимая для
акционера информация необходима
ему для реализации его корпоративных
прав, в частности, для инициирования
корпоративных собраний и
работы аудитора или ревизионной комиссии.
При этом очевидно, что сами
по себе персональные данные одного
или нескольких работников компании
для него, как правило, никакого интереса
не представляют, поэтому с целью соблюдения
требований законодательства
о защите персональных данных нужные
сведения могут быть ему раскрыты в
обобщенном и обезличенном виде.
У работника есть право на получение
информации об условиях выполнения
работы от своего работодателя,
однако он не вправе настаивать на
предоставлении графика выполнения
работ и иных документов, содержащих
персональные данные других работников
и иных лиц, не дававших согласие
на их раскрытие.
Правила ст. 62 ТК РФ, регламентирующей
порядок выдачи работнику
копий документов, связанных с его
работой, касается исключительно тех
документов, которые относятся непосредственно
к самому работнику и при
этом не содержат персональных данных
иных лиц. Работодатель в случае,
если работник требует раскрытия информации
в большем объеме, вправе
ему отказать, и такой отказ считается
правомерным (Определение Пятого
кассационного суда общей юрисдикции
от 06.02.2020 г. по делу № 88-36/2020).
Обработка персональных данных
работников помимо общих положений
Закона № 152-ФЗ также регулируется
гл. 14 ТК РФ, которая устанавливает
следующие особенности. Такая обработка
должна осуществляться исключительно
в целях соблюдения законодательства
РФ, содействия работникам
в трудоустройстве, получении образования
и продвижении по службе, обеспечения
личной безопасности работников,
контроля количества и качества
выполняемой работы и обеспечения
сохранности имущества. Все персональные
данные работников можно получить
только у него самого или с его
предварительного согласия у третьих
лиц, при этом не допускается принятие
работодателем в отношении работника
решений, основанных исключительно
на автоматической обработке персональных
данных (ст. 86 ТК РФ).
Положения ст. 88 ТК РФ предусматривают
запрет коммерческого использования
персональных данных работника
без его согласия, не допускают их
передачу третьим лицам без его согласия,
кроме исключительных случаев,
связанных с защитой его жизни и здоровья.
При этом третьи лица, которым
передаются персональные данные работника,
должны быть предупреждены
только для целей, связанных с их передачей,
и требовать подтверждения выполнения
данной обязанности.
Не является персональными данными
физического лица присваиваемый
ему налоговым органом ИНН,
представляющий собой цифровой
код, характеризующий код налогового
органа (4 знака), порядковый номер
записи о лице в ЕГРН (6 знаков)
и контрольное число (2 знака). ИНН
(идентификационный номер налогоплательщика)
является комбинацией
цифр, т. е. обезличенной информацией,
которая сама по себе не может
быть отнесена к конкретному лицу.
Таким образом, ИНН – это номер
записи о конкретном лице в Едином
государственном реестре налогоплательщике,
который формируется налоговым
органом на основании абз. 4
п. 7 ст. 84 НК РФ. ИНН применяется исключительно
для упорядочения учета
налогоплательщиков внутри системы
налоговых органов, а также служит
целям обработки огромного потока
информации в интересах соблюдения
их прав (Письмо Минфина России от
28.01.2020 г. № 03-01-11/4925).
Отдельно следует остановиться на
специальных категориях персональных
данных, обработка которых осуществляется
в особом порядке. Так, например, в
связи с распространением коронавируса
работодатели помимо использования
средств дезинфекции стали измерять
температуру своих работников с целью
выявления признаков заболевания при
помощи тепловизоров. Температура
тела представляет собой информацию
о состоянии здоровья гражданина, которая
относится к специальным категориям
персональных данных.
Обработка таких данных без согласия
субъекта в соответствии с п. 2.3
ст. 10 Закона № 152-ФЗ допускается,
если осуществляется в соответствии с
трудовым законодательством. В соответствии
со ст. 88 ТК РФ, работодатель
не вправе запрашивать информацию
о состоянии здоровья работника, за исключением
данных, свидетельствующих
о возможности выполнения работником
трудовых функций. Меры по выявлению
заболевания связаны с определением
возможности выполнения
трудовых функций, согласия работника
на измерение температуры не требуется.
Что касается иных лиц, посещающих
офис или иные помещения, в которых
компания ведет свою деятельность, то
их согласие на обработку персональных
данных (состояние здоровья) может
прямо следовать из фактического прохождения
соответствующей процедуры.
Для этого необходимо при входе в
помещение разместить объявление с
указанием на измерение температуры
с целью выявления признаков заболевания
и последующего направления ко
врачу, такую же информацию можно
привести на сайте компании, а также
заранее сообщать клиентам при планировании
с ними встреч. Саму информацию,
полученную с помощью
тепловизора, следует хранить не более
суток с целью соблюдения интересов
субъекта персональных данных. Такие
разъяснения приведены на сайте Роскомнадзора
и могут быть учтены как
его официальная правовая позиция
по рассматриваемому вопросу 4 .
Отметим, что в настоящее время на
рассмотрении в Государственной Думе
РФ находится законопроект «О внесении
изменений в ст. 11 Федерального
закона «О персональных данных» в части
обработки биометрических персональных
данных». Данным законопроектом5
предлагается расширить объем
охраняемой информации за счет включения
в нее информации о человеке,
полученной из его биоматериала (о
состоянии здоровья, питании и образе
жизни, поведенческих особенностях,
чувствительности к фармакологическим
препаратам или аллергенам и
других индивидуальных характеристиках).
Бесконтрольное использование
таких особых персональных данных
может причинить ущерб субъекту, поэтому
предлагается установить требование
о получении согласия.
На практике многие предприниматели
даже не задумываются о том,
что их стандартные действия могут
являться нарушением, как это имеет
место в сфере предоставления спортивно-оздоровительных
услуг, где при
оформлении абонемента сотрудники
фитнес-клуба делают фотографию
клиента на пропуск. Данная операция
имеет своей целью получение изображения
клиента для того, чтобы при
каждом посещении устанавливать его
сходство с указанным изображением.
Между тем необходимо учитывать,
что фотография гражданина характеризует
его физиологические и биологические
особенности, т. е. содержит его
биометрические персональные данные,
используемые для определения сходства
предъявителя пропуска с лицом,
изображенным на фотографии в пропуске.
Таким образом, в данном случае
имеет место обработка персональных
данных, на которую должно быть получено
согласие клиента. При этом сами
по себе его действия по принятию условий
оформления пропуска (позирование
для получения фотографии)
не свидетельствуют о наличии такого
согласия, которое должно быть сознательным
(Постановление Тринадцатого
арбитражного апелляционного суда от
27.07.2017 г. № 13АП-12966/2017).
С целью исключения риска нарушения
законодательства о защите
персональных данных коммерсанту
необходимо подготовить правильно
оформленный бланк согласия на обработку
персональных данных в виде
отдельного документа или включить
его в текст основного договора. С учетом
объема информации в запрашиваемом
согласии, целей его получения и
характера использования следует максимально
полно и доступно изложить
соответствующие условия в документе.
Если бы в договоре фитнес-клуба
было представлено согласие клиента
на обработку его персональных данных,
включая биометрические данные,
определенными способами, то никаких
сомнений в правомерности такой
обработки не возникло. Вообще следует
отметить, что договор является
наиболее гибким и удобным инструментом
для выстраивания отношений
между участниками гражданского оборота,
поскольку позволяет в оптимальной
форме урегулировать их отношения,
а также предусмотреть порядок
действий в конфликтной ситуации.
В качестве примера можно привести
показательный спор администратора
популярной площадки объявлений
«ЦИАН» с риэлтором, который разместил
объявление о продаже квартиры
в разделе, который включал только
объявления от собственников объектов.
В поисковой форме данного информационного
ресурса возможность
просматривать объявления только от
собственников недвижимости выведено
в отдельный фильтр, которые отсеивает
ненужные позиции. Между тем
риэлтор пренебрег требованиями к содержанию
и порядку размещения объявления,
предусмотренными пользовательским
соглашением, что послужило
причиной для проведения проверки.
Администратор платформы потребовал
от риэлтора подтвердить
достоверность размещенной им информации,
поскольку в результате
телефонного звонка тот сам признал
свой статус. Риэлтору было предложено
в разумный срок направить отсканированные
копии правоустанавливающих
документов, а также сделать
фотографию с первой страницей паспорта
руках на уровне лица, однако
риэлтор категорически отказался от
выполнения данных требований.
В итоге администратор платформы
заблокировал его аккаунт за нарушение
условий лицензионного договора
и не вернул предоплату, внесенную
за размещение платного объявления.
Признавая действия администратора
площадки правомерными, суд исходил
из того, что прекращение действия лицензионного
договора произошло в
результате виновных действий самого
риэлтора, который нарушил его условия
и был не вправе требовать возврата
внесенной суммы аванса.
Кроме того, суд не нашел оснований
для применения к отношениям сторон
положений Закона РФ от 07.02.1992 г.
№ 2300-1 «О защите прав потребителей».
Риэлтор оплатил и получил не товар,
работу или услугу, а право использования
программы для ЭВМ и не для
личных целей, а для ведения коммерческой
деятельности, направленной на извлечение
дохода (Апелляционное определение
Никулинского районного суда
от 01.08.2019 г. по делу № 11-269/19).
1
Профессию и род занятий, а также социальное
положение в качестве персональных данных
предлагается рассматривать Пермский краевой
суд (раздел «Понятие персональных данных»
Справки по результатам обобщения судебной
практики рассмотрения судами Пермского края
дел по спорам с применением требований законодательства
Российской Федерации в области
персональных данных и их защиты, утв. Президиумом
Пермского краевого суда от 30.08.2019 г.). По
нашему мнению, профессию и род занятий нельзя
считать персональными данными, поскольку
сами по себе данные сведения могут быть относимы
к большому количеству людей.
2
Положения об использовании cookie-файлов достаточно
подробно изложены в п. 14 Политики по
защите персональных данных клиентов – физических
лиц ФГУП «Почта России» и дочерних организаций
ФГУП «Почта России», зарегистрированных
на территории Европейского Союза, утв. Приказом
ФГУП «Почта России» от 21.02.2019 г. № 73-п.
3
Подробное описание всех основных сетевых
идентификаторов можно найти на сайте известной
социальной сети «Twitter» в разделе «Правила
и политики» // Электрон. ресурс: https://help.
twitter.com/ru/rules-and-policies/twitter-cookies
(дата обращения – 01.05.2020 г.).
4
Электрон. ресурс: https://rkn.gov.ru (дата обращения
– 26.03.2020 г.).
5 Электрон. ресурс: https://sozd.duma.gov.ru/
bill/744029-7 (дата обращения – 28.03.2020 г.).