Судебная практика по спорам о защите персональных данных

Защита персональных данных в России стремительно набирает обороты. СМИ и интернет-операторы вынуждены доказывать в судах, что размещенная информация является достоверной и не нарушает права граждан или организаций. В обзоре судебной практики — дела по защите персональных данных бизнесменов и простых граждан.

1. Закон о защите персональных граждан не противоречит Конституции РФ

Конституционный Суд РФ решил, что норма «О персональных данных», согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, не противоречит Конституции РФ.


В Конституционный Суд РФ с жалобой на несоответствие Конституции РФ статьи 7 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, обратилась гражданка. Заявительнице было отказано в предоставлении данных на третьих лиц, которые ранее являлись ее коллегами в образовательном учреждении. Гражданка сочла, что эта норма противоречит части 4 статьи 29 Конституции РФ, поскольку позволяет правоприменительным органам отказывать в предоставлении информации, необходимой для защиты нарушенных прав гражданина.

Конституционный Суд определением от 26 мая 2016 г. N 1158-О отказал гражданке в принятии жалобы к рассмотрению. Судьи отметили, что КС РФ уже неоднократно указывал, что в понятие «частная жизнь» включается только та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если носит непротивоправный характер. Поэтому ограничение на раскрытие и распространение информации, относящейся к персональным данным, направлено на обеспечение разумного баланса конституционно-защищаемых ценностей. В связи с этим оспариваемая заявительницей норма закона не может рассматриваться как нарушающее ее конституционные права в указанном в жалобе аспекте.


2. За распространение материалов, содержащих персональные данные, СМИ может быть закрыто

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может прекратить деятельность средства массовой информации, если были установлены факты распространения материалов, содержащих персональные данные, и другие систематические нарушения требований закона, допущенные редакцией издания. Так решил Верховный суд РФ.

За нарушение требований статьи 4 и опубликование редакцией газеты «Лабинские вести» материалов, которые содержали персональные данные несовершеннолетней гражданки, а именно фамилии, имени, сведений о школе, в которой обучается несовершеннолетняя, без ее согласия и согласия ее законного представителя, а также ряда других статей с персональными данными несовершеннолетних, Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций вынесло письменное предупреждение о недопустимости распространения через средство массовой информации сведений, составляющих специально охраняемую законом тайну, главному редактору СМИ газеты «Лабинские вести». Однако, главный редактор не отреагировала на это предупреждение и продолжала публиковать персональные данные граждан без их согласия. Поэтому Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций обратилось в Краснодарский краевой суд с исковым заявлением о прекращении деятельности газеты «Лабинские вести».


Решением суда первой инстанции исковое заявление Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций было удовлетворено и деятельность газеты прекращена. В качестве апелляционной инстанции в этом процессе Судебная коллегия по административным делам Верховного Суда Российской Федерации. В определении Верховного Суда РФ от 24.06.2015 N 18-АПГ15-7 судьи не нашли оснований для отмены решения суда первой инстанции. Причиной для такого решения послужил тот факт, что в силу статьи 4 не допускается использование средств массовой информации для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну. Новелла статьи 16 данного закона определяет, что основанием для прекращения судом деятельности средства массовой информации являются неоднократные нарушения редакцией требований данного закона. Такие нарушения должны происходить не менее, чем в течение двенадцати месяцев. Как это происходило в спорной ситуации, по поводу чего регистрирующий орган делал письменные предупреждения учредителю и главному редактору. Кроме того, судьи отметили, что по нормам статьи 3 такими данными признается любая информация, которая относится к прямо или косвенно определенному субъекту персональных данных. К этим сведениям, в частности, относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. В соответствии с требованиями закона обработка персональных данных может осуществляться только с письменного согласия в письменной форме субъекта персональных данных. Поэтому, редакция, получившая доступ к персональным данным, должна обеспечить конфиденциальность персональных данных путем их обезличивания. Объективных доказательств того, что у редакции газеты были исключительные обстоятельства для распространения персональных данных в связи с защитой общественных интересов судами получено не было.


3. Требование о предъявлении паспорта на кассе не является нарушением

Нарушение установленного законом порядка сбора, хранения и использования информации о гражданах подлежит административному наказанию. Однако у покупателя в магазине при возврате товара кассир обязан проверить паспорт и заполнить финансовую документацию, в соответствии с требованием законодательства. Верховный суд РФ, что такие действия не являются нарушением закона о защите персональных данных.


В отношении торгующей организации постановлением прокуратуры было возбуждено дело об административном правонарушении, предусмотренном статьей 13.11 КоАП РФ. Данное нарушение выразилось в том, что в магазине организации в ходе проверки на предмет соблюдения законодательства о персональных данных было установлено, что организация осуществляет обработку персональных данных физических лиц путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи. При этом осуществляемая организацией обработка персональных данных покупателей не подпадает под исключения, установленные в статье 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Проверка была проведена по заявлению гражданина, который изъявил желание вернуть товар в магазине «Покупочка». При этом ему было предложено заполнить в обязательном порядке заявление, в котором необходимо указывать персональные данные для возврата денежных средств, при наличии чека. В силу статьи 5 Федерального закона «О персональных данных» истребование персональных данных является избыточным. На основании этого организация была привлечена мировым судьей к административной ответственности за совершение административного правонарушения, предусмотренного статьей 13.11 КоАП РФ в виде предупреждения. Однако организация свою вину не признала и обжаловала решение мирового судьи.

Вышестоящие судебные инстанции согласились с выводами мирового судьи о наличии в действиях общества состава данного административного правонарушения. Однако Верховный суд РФ, куда обратилась с жалобой организация, постановлением от 15 июня 2016 г. N 25-АД15-3 отменил все принятые по делу судебные акты и признал организацию невиновной. Судьи отметили, что в соответствии с законом о персональных данных обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных законодательством. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Однако, по нормам покупатель вправе отказаться от исполнения договора купли-продажи и потребовать возврата уплаченной за товар денежной суммы. Постановлением Правительства РФ от 19 января 1998 г. N 55 утверждены Правила продажи отдельных видов товаров, согласно которым которых покупатель вправе возвратить приобретенный товар продавцу и получить уплаченную за него денежную сумму. При этом, продавец обязан соблюдать Положение о порядке ведения кассовых операций с банкнотами и монетой Банка России на территории Российской Федерации, утвержденное Банком России от 12 октября 2011 г. N 373-П (утратило силу с 1 июня 2014 года в связи с изданием Указания Банка России от 11 марта 2014 г. N 3210-У). В соответствии с которым, порядок ведения кассовых операций в целях организации на территории РФ наличного денежного обращения предусматривает выдачу наличных денег кассиром непосредственно получателю, указанному в расходном кассовом ордере, только при предъявлении им паспорта или другого документа, удостоверяющего личность в соответствии с требованиями законодательства Российской Федерации. Исходя из этих норм, ситуация с возвратом денег покупателю из кассы организации на основании его письменного заявления с указанием фамилии, имени, отчества и данных документа, удостоверяющего личность, не противоречит требованиям законодательства. Истребование указанных персональных данных избыточным не является. Поэтому отсутствуют основания для привлечения организации к административной ответственности.


4. Организации обязаны предоставлять ФАС сведения о персональных данных клиентов

Федеральная антимонопольная служба имеет право наказать организацию за отказ предоставить по запросу документы, которые содержат персональные данные физических лиц. Так решил Верховный суд РФ.

По заявлению гражданина о нарушении требований законодательст

ppt.ru

Статья 21. Закон о персональных данных N 152-ФЗ от 27.07.2006

1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 — 5 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

www.zakonrf.info

Статья 22. Закон о персональных данных N 152-ФЗ от 27.07.2006

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) сделанных субъектом персональных данных общедоступными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных;

10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

www.zakonrf.info

Статья 19. Закон о персональных данных N 152-ФЗ от 27.07.2006

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

www.zakonrf.info

Отправить ответ

avatar
  Подписаться  
Уведомление о