АДМИНИСТРАТИВНОЕ ПРАВО. ФИНАНСОВОЕ ПРАВО. ИНФОРМАЦИОННОЕ ПРАВО
Правовой режим персональных данных
ТЕРЕЩЕНКО Людмила Константиновна, доктор юридических наук, заместитель заведующего отделом административного законодательства и процесса Института законодательства и сравнительного правоведения при Правительстве Российской Федерации
Российская Федерация, 117218, г. Москва, ул. Большая Черемушкинская, 34
ТИУНОВ Олег Иванович, доктор юридических наук, профессор, заведующий отделом международного публичного права Института законодательства и сравнительного правоведения при Правительстве Российской Федерации
Российская Федерация, 117218, г. Москва, ул. Большая Черемушкинская, 34
Персональные данные отнесены к категории конфиденциальной информации, установлен запрет на сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения. Статья посвящена анализу основ правового режима персональных данных, проблемам применения законодательства о персональных данных, определению тенденций его развития, включая право отзыва субъектом персональных данных согласия на их обработку, поиску баланса интересов субъекта персональных данных и общества. Рассматривается судебная практика, включая решения Европейского суда по правам человека в данной сфере. Показано наличие разных подходов в решении дел, связанных с предоставлением персональных данных.
Ключевые слова: персональные данные, правовой режим, частная жизнь, права человека, судебная практика, Европейский суд по правам человека.
Legal Regime of Personal Data
L. K. Tereshchenko, doctor of jurisprudence
The Institute of Legislation and Comparative Law under the Government of the Russian Federation
34, Bolshaya Cheremushkinskaya st., Moscow, 117218, Russia
E-mail: [email protected]
O. I. Tunov, doctor of jurisprudence, professor
The Institute of Legislation and Comparative Law under the Government of the Russian Federation
34, Bolshaya Cheremushkinskaya st., Moscow, 117218, Russia
E-mail: [email protected]
The personal data is carried to a category of the confidential information, the interdiction for gathering, storage, use and distribution of the information on private life is established, and is equal to the information breaking personal secret, family secret, secret of correspondence, telephone negotiations, post, cable and other messages of the physical person without its consent, except as on the basis of the judgement. Article is devoted the analysis of bases of a legal regime of the personal data, problems of application of the legislation on the personal data, definition of tendencies in development of the legislation on the personal data, including the right of a response the subject of the personal data of the consent to their processing, to search of balance of interests of the subject of the personal data and societies. In article judiciary practice, including decisions of the European Court under Human Rights in the given sphere also is analyzed. Presence of different lines of thought in the decision of the affairs connected with granting of the personal data is shown.
Keywords: personal data, legal regime, private life, human rights, judiciary practice, the European Court under Human Rights.
DOI: 10.12737/6584
Правовой режим персональных данных — объемная и сложная тема, поэтому в данной статье мы рассмотрим лишь вопросы, наиболее часто возникающие в правоприменительной практике.
Защита частной жизни имеет давнюю историю. В Конституцию СССР 1936 г. были включены нормы о неприкосновенности личности, жилища, переписки1, Конституция СССР 1977 г. также содержала нормы о защите личной жизни граждан, о тайне переписки, телефонных переговоров и телеграфных сообщений. Однако правовые гарантии конституционного права граждан на неприкосновенность личной жизни были явно недостаточны. Новый этап формирования института неприкосновенности частной жизни начался с принятой 22 ноября 1991 г. Декларации прав и свобод человека и гражданина, которая провозгласила право каждого на неприкосновенность частной жизни, тайну переписки, телефонных переговоров, телеграфных и иных сообщений. Принципиальным моментом было установление судебного порядка ограничения указанных прав (ст. 9).
Неприкосновенность частной жизни предусмотрена и Конституцией РФ 1993 г. Так, ее ст. 23 гарантирует каждому «право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения». Статьей 24 Конституции РФ установлен запрет на «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия». Вместе с тем право на неприкосновенность частной жизни не является абсолютным. Статья 55 Конститу-
1 Подробнее см.: Хужокова И. М. Эволюция содержания права на неприкосновенность частной жизни в России // Адвокатская практика. 2006. № 4. С. 2—5.
ции РФ устанавливает границы прав человека: «Права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства».
Термин «персональные данные», тесно связанный с частной жизнью человека, появился в российском законодательстве в середине 1990-х гг., тогда же были определены основные черты правового режима персональных данных. Федеральным законом от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» (в настоящее время утратил силу) персональные данные были отнесены к категории конфиденциальной информации, был установлен запрет на сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
Основы правового режима персональных данных, установленные в названном Федеральном законе, содержали ряд черт, характерных для европейской модели защиты персональных данных. Принципиальным различием, сохранившимся до настоящего времени, с европейской моделью правового регулирования является акцентирование защиты информации персонального характера в отрыве от защиты прав субъектов персональных данных и их интересов. Указанный подход был реализован и в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных», и в принятых в его исполнение подзаконных актах.
В декабре 2005 г. Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических
лиц при автоматизированной обработке персональных данных 1981 г., взяв на себя тем самым обязательства привести национальное законодательство в соответствие с этим международным договором. В рамках данных обязательств были приняты упомянутый Федеральный закон «О персональных данных», а также ряд подзаконных актов.
Вместе с тем европейское законодательство после принятия Конвенции активно развивалось. Страны Европейского Союза при формировании механизмов защиты прав личности при обработке персональных данных руководствуются положениями директив 95/46/EC и 97/66/ EC Европейского парламента и Совета Европы, согласно которым юридические и технические требования, устанавливаемые в целях обеспечения защиты персональных данных, прав частных лиц и законных интересов юридических лиц, должны быть четко сбалансированы, чтобы не создавать помех для развития рынка. Сбалансированность, в свою очередь, означает соразмерность, обоснованность и выполнимость этих требований. Именно этого недостает в ряде случаев российскому законодательству.
Общим правилом обработки персональных данных, в том числе и в Российской Федерации, является наличие согласия субъекта персональных данных на их обработку, которое может быть дано им или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Любое исключение должно быть предусмотрено федеральными законами.
Данное субъектом персональных данных согласие на их обработку не является необратимым. Оно может быть отозвано. При этом не нужно объяснять причины такого решения или выполнять какие-либо условия, необходимо только уведомить оператора персональных данных о принятом решении.
Вопрос о последствиях отзыва субъектом персональных данных согласия на обработку своих данных в российском законодательстве претерпел определенные изменения (ст. 9, 21 Федерального закона «О персональных данных»). В первоначальной редакции этого Закона в случае отзыва субъектом персональных данных согласия на обработку своих данных оператор был обязан прекратить их обработку и уничтожить данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не было предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан был уведомить субъекта персональных данных.
Такая жесткая и порой слабо реализуемая норма существенно осложняла деятельность операторов в ряде сфер, где обработка персональных данных осуществляется в массовых объемах (банковская сфера, железнодорожные и авиационные перевозки, страхование и др.). В результате Федеральным законом от 25 июля 2011 г. № 261-ФЗ в указанные статьи были внесены изменения, направленные на обеспечение баланса интересов субъекта персональных данных и оператора, осуществляющего их обработку.
В соответствии с новой редакцией согласие на обработку персональных данных, как и ранее, может быть отозвано субъектом персональных данных. Но срок выполнения оператором требования о прекращении обработки персональных данных стал более реальным и увеличен до 30 дней. Кроме того, в определенных случаях при отзыве субъектом персональных данных согласия на обработку своих данных оператор вправе продолжить их обработку без согласия субъекта персональных данных. Такая возможность возникает при наличии оснований, указанных в п. 2—11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона «О персональных данных».
Обработка персональных данных может быть продолжена после отзыва согласия субъекта персональных данных, даже если речь идет о специальных категориях персональных данных, касающихся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в случаях, предусмотренных ч. 2 ст. 10 Федерального закона «О персональных данных».
Право отзыва согласия на обработку персональных данных не распространяется на случаи их обработки, установленные федеральными законами. Более того, в ряде федеральных законов предусматриваются случаи обязательного предоставления субъектом своих персональных данных (например, подача налоговой декларации).
Требование об уничтожении персональных данных, в том числе по достижении заявленных целей, как представляется, требует корректировки и в связи с соблюдением законодательства об архивном деле, которое устанавливает требования и порядок обращения с документами, в том числе содержащими персональные данные. В настоящее время законодательство о персональных данных и законодательство об архивном деле не согласованы друг с другом.
Вместе с тем следует отметить, что внесенные в названный Закон изменения сближают российское законодательство с законодательством стран, где предусмотрен дифференцированный подход к обработке персональных данных в зависимости от целей такой обработки.
Имеют место разные основания отказа в предоставлении информации со ссылкой на Федеральный закон «О персональных данных». При этом судебная практика показывает наличие неодинаковых подходов в решении дел, связанных с предоставлением персональных данных. Приведем конкретное дело, рассмотренное Арбитражным судом г. Мо-
сквы, а затем Девятым арбитражным апелляционным судом и Федеральным арбитражным судом Московского округа.
ООО «Новый капитал», ООО «Инвестиционная инициатива», ООО «Вега», являясь акционерами ОСАО «Ингосстрах» (далее также — Общество), владеющими 38,459% обыкновенных акций Общества, обратились к нему с требованием о предоставлении документов, предусмотренных п. 1 ст. 89 Федерального закона от 26 декабря 1995 г. № 208-ФЗ «Об акционерных обществах», в том числе копии действующего трудового договора (контракта), заключенного с генеральным директором Общества. Однако указанная копия договора акционерам предоставлена не была.
Посчитав, что в связи с этим ОСАО «Ингосстрах» нарушило их права на получение информации на рынке ценных бумаг, акционеры обратились в Федеральную службу по финансовым рынкам (ФСФР) с заявлением о привлечении Общества к административной ответственности. ФСФР установила в действиях ОСАО «Ингосстрах» наличие признаков состава административного правонарушения, ответственность за совершение которого предусмотрена ч. 1 ст. 15.19 КоАП РФ.
В соответствии со ст. 89, 91 Федерального закона «Об акционерных обществах» общество обязано обеспечить акционерам доступ к иным документам (помимо перечисленных в п. 1 ст. 89 данного Закона), предусмотренным Федеральным законом «Об акционерных обществах», уставом общества, внутренними документами общества, решениями годового собрания акционеров, совета директоров (наблюдательного совета) общества, органов управления общества, а также документам, предусмотренным правовыми актами Российской Федерации.
Однако суд признал незаконным оспариваемое постановление ФСФР о привлечении ОСАО «Ингосстрах» к административной ответственно-
сти, указав, что административный орган не учел, что в соответствии со ст. 3 Федерального закона «О персональных данных» трудовой договор является документом, содержащим персональные данные работника.
Суд посчитал, что специальным законом в части предоставления персональных данных работника являются нормы не Федерального закона «Об акционерных обществах», а трудового законодательства. Согласно ст. 86, 87 ТК РФ работодатель (общество) обязан обеспечить защиту персональных данных работника. Кроме того, ст. 88 ТК РФ установлен запрет на передачу персональных данных работника третьей стороне. Таким образом, суд пришел к выводу о том, что нормами специального законодательства, регулирующего правоотношения по предоставлению персональных данных работника, установлен запрет на передачу указанных данных третьим лицам.
Вместе с тем данное решение вызывает вопрос: насколько правильно законодатель обеспечил баланс интересов в защите персональных данных? С одной стороны, сведения о заработной плате, действительно, являются персональными данными и должны защищаться наравне с другими персональными данными. Но, с другой стороны, речь идет об акционерах, из чьих средств и выплачивается заработная плата генеральному директору ОСАО «Ингосстрах», размер которой отражается на их доходах. В практике нередки случаи, когда оплата труда топ-менеджеров компаний сводит к нулю доходы, получаемые акционерами. Именно поэтому для акционеров копия трудового контракта с генеральным директором — информация, имеющая принципиальное значение. Ее отсутствие нарушает права акционеров, делает невозможным оценить адекватность и соразмерность установленных доходов генерального директора.
Показательно, что данное дело имело продолжение и было рассмотрено Президиумом ВАС РФ (поста-
новление от 22 мая 2012 г. № 16803/11), который не согласился с ранее вынесенными решениями по следующим основаниям.
Суд первой инстанции, удовлетворяя заявленное требование, исходил из того, что общества-акционеры не представили доказательств того, что копия трудового договора (контракта) необходима им для защиты своих прав и законных интересов. Суды апелляционной и кассационной инстанций согласились с этой правовой позицией суда первой инстанции. Однако, по мнению Президиума, суды не учли следующего. Согласно п. 1 ст. 91 Федерального закона «Об акционерных обществах» акционерное общество обязано обеспечить акционерам доступ к документам, предусмотренным п. 1 ст. 89 данного Закона, и предоставить акционеру по его требованию копии этих документов. Непредоставление ОСАО «Ингосстрах» по запросу обществ-акционеров трудового договора с директором Общества, в котором могли содержаться в том числе положения о несоразмерной заработной плате данного лица, существенно нарушает интересы обществ-акционеров и образует состав административного правонарушения, предусмотренного ч. 1 ст. 15.19 КоАП РФ.
При названных обстоятельствах оспариваемые судебные акты согласно п. 1 ч. 1 ст. 304 АПК РФ подлежат отмене как нарушающие единообразие в толковании и применении арбитражными судами норм права.
Защита сведений о зарплате топ-менеджеров со ссылкой на Федеральный закон «О персональных данных» — не редкость, когда на практике возникают проблемы с применением данного Закона. В связи с этим принципиально важным является указание Президиума ВАС РФ на то, что вступившие в законную силу судебные акты арбитражных судов по делам со схожими фактическими обстоятельствами, принятые на основании норм права в истолковании, расходящемся с содержащимся в ука-
занном постановлении толкованием, могут быть пересмотрены на основании п. 5 ч. 3 ст. 311 АПК РФ, если для этого нет других препятствий.
Тем самым есть основание рассчитывать, что практика рассмотрения аналогичных дел станет единообразной, обеспечивающей баланс интересов субъектов персональных данных и общества.
Проблем в правоприменении законодательства о персональных данных в разных сферах немало. Еще одна из них связана с использованием персональных данных в государственном секторе. Долгое время остро стоял вопрос о праве получать определенные группы персональных данных судебными приставами-исполнителями, поскольку такое право должно быть прямо предусмотрено в соответствующем законодательном акте. Однако Федеральным законом от 27 июля 2010 г. № 213-ФЗ были внесены изменения в Федеральный закон от 21 июля 1997 г. № 118-ФЗ «О судебных приставах», в соответствии с которыми судебный пристав-исполнитель имеет право, в частности, получать при совершении исполнительных действий необходимую информацию, в том числе персональные данные, объяснения и справки.
Указанное право в определенной (банковской) сфере было признано за судебными приставами-исполнителями еще постановлением Конституционного Суда РФ от 14 мая 2003 г. № 8-П в той мере, в какой предусматривается право судебного пристава-исполнителя в связи с исполнением постановления суда запрашивать и получать в банках, иных кредитных организациях необходимые сведения о вкладах физических лиц в том размере, который требуется для исполнения исполнительного документа, и в пределах, определяемых постановлением суда.
Однако доля неопределенности все же остается, поскольку не всегда очевидны пределы, в рамках которых может быть реализовано право судебных приставов-исполнителей,
включая круг субъектов, в отношении которых указанные действия могут осуществляться.
Приведем пример из судебной практики. В рамках исполнительного производства о взыскании в пользу налогового органа денежных средств судебный пристав-исполнитель направил ОАО (оператору связи) запросы о предоставлении информации о наличии мобильного телефонного номера, зарегистрированного за должником. ОАО отказалось их исполнить в силу положений законодательства о связи и о персональных данных, указав, что эти запросы не относятся к случаю, когда такие данные могут обрабатываться, в том числе передаваться третьим лицам без согласия субъекта этих данных; пристав не относится к числу уполномоченных государственных органов, которым операторы связи обязаны предоставлять такие сведения об абонентах-гражданах.
Пристав вынес постановление о привлечении ОАО к ответственности по ч. 3 ст. 17.14 КоАП РФ. В свою очередь, ОАО обратилось с заявлением о признании постановления незаконным. Интерес представляют позиции судов по данному вопросу. Решением суда первой инстанции требование было удовлетворено. Апелляционный суд решение отменил, в удовлетворении требования отказал. Федеральный арбитражный суд округа оставил постановление апелляционной инстанции без изменения.
При этом законы о судебных приставах и об исполнительном производстве (в редакциях, действовавших в период спорных отношений) не предоставляли приставам права получать персональные данные, в том числе сведения о номере телефона абонента без его согласия, а также не предусматривали полномочий пристава по обработке персональных данных.
Президиум ВАС РФ отменил постановления апелляционной и кассационной инстанций, оставив в силе решение суда первой инстанции.
Вместе с тем приведенное решение отчетливо показывает, что имеет место дисбаланс интересов личности и общества. Законодатель учел это и ввел норму, согласно которой информация, в том числе персональные данные, в объеме, необходимом для исполнения судебным приставом служебных обязанностей в соответствии с законодательством Российской Федерации об исполнительном производстве, предоставляется по требованию судебного пристава в виде справок, документов и их копий безвозмездно и в установленный им срок.
Представляется, что аналогичные корректировки необходимы и в других законодательных актах.
Проблемы с получением персональных данных возникают довольно часто, в том числе и у государственных органов исполнительной власти. Работодатель обязан отказать в предоставлении персональных данных, если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение такой информации или же отсутствует письменное согласие работника на предоставление сведений о нем лицу, обратившемуся с запросом.
Законодательно определенный перечень лиц и органов, которым могут передаваться персональные данные без согласия работника, не вполне соответствует закрепленным за соответствующим органом функциям. Так, учреждения службы занятости населения не наделены правом получения персональных данных работника без его согласия.
В ряде случаев возникают проблемы, связанные со степенью раскрытия персональных данных. В этом отношении имеет значение для российской практики постановление ЕСПЧ от 6 октября 2009 г. по делу «С. С. против Испании» (жалоба № 1425/06)2.
Суть дела сводилась к тому, что заявитель, имеющий ВИЧ-положительный статус, в 2002 г. был признан
2 См.: Бюллетень Европейского суда по правам человека. 2010. № 2.
постоянно и полностью нетрудоспособным и требовал соответствующей компенсации, предусмотренной договором страхования жизни, заключенным в 2000 г. Когда страховая компания отказала в выплате, заявитель возбудил против нее гражданское разбирательство. Полные медицинские документы заявителя были приобщены к материалам дела. Считая это нарушением своего права на уважение личной жизни, заявитель потребовал, чтобы его персональные данные были удалены из документов дела, включая решения вместе со ссылками на ВИЧ-заболевание, и чтобы дело рассматривалось в закрытом заседании. Суд отклонил требования заявителя, последующие его жалобы были оставлены без удовлетворения.
Европейский суд по правам человека отметил, что оспариваемая мера (приобщение к материалам дела медицинских документов) составляла вмешательство публичного органа в осуществление права заявителя на уважение его личной жизни. Вместе с тем это вмешательство было предусмотрено законом и его цель заключалась в обеспечении доступа другой стороны к медицинским документам, которые являлись предметом разбирательства. Суду также был необходим доступ к информации для рассмотрения дела и его разрешения по существу. Таким образом, цель оспариваемой меры заключалась в защите прав и свобод других лиц и обеспечении беспрепятственного осуществления правосудия.
Свою задачу ЕСПЧ определил как установление того, имелись ли достаточные основания, оправдывающие раскрытие в решении национального суда полного имени заявителя и факта его заражения ВИЧ-инфекцией. Суд ограничил раскрытие личности заявителя в соответствии с законом по основаниям публичной политики и защиты прав и свобод. Имелась также правовая возможность ограничить доступ к решениям и определениям суда при наличии
опасности вмешательства в право на уважение личной жизни или гарантии анонимности. Должностное лицо, ответственное за это, могло в таком случае принять решение о том, в каком объеме следует ограничить доступ к делу с учетом законного интереса лица, запрашивающего доступ. Заявитель просил об удалении его имени из материалов дела в связи с упоминанием состояния его здоровья. Достаточно было заменить его имя инициалами в общедоступных документах и решении, что позволило бы избежать впоследствии проблемы доступа сторон, имеющих интерес к материалам дела и тексту решения. С учетом конкретных обстоятельств настоящего дела и необходимости особой защиты конфиденциальности информации относительно заражения ВИЧ-инфекцией, раскрытие которой способно оказать отрицательное влияние на личную и семейную жизнь заинтересованных лиц и их социальную и профессиональную ситуацию, указание в решении полного имени заявителя в связи с состоянием его здоровья не было оправдано какой-либо неотложной необходимостью.
Еще одна проблема, связанная с персональными данными, — проблема доступа самого субъекта персональных данных к информации, имеющей для него существенное значение. Судебная практика в этом отношении противоречива, в связи с чем целесообразно обратиться к практике ЕСПЧ на примере постановления от 15 октября 2009 г. по делу «Цурлакис против Греции» (жалоба № 50796/07)3.
Заявитель пытался получить копию заключения общества благополучия детей, имеющегося в материалах дела в Апелляционном суде, на основании которого было вынесено судебное решение, затрагивающее права заявителя. Однако ему было
3 См.: Бюллетень Европейского суда по правам человека. 2010. № 2.
отказано. ЕСПЧ отметил, что невозможность ознакомления заявителя с заключением общества благополучия детей после вынесения решения Апелляционным судом затрагивала осуществление его права на доступ к информации, касавшейся права на уважение личной и семейной жизни. Информация, содержавшаяся в заключении, имела отношение к заявителю и его связи с сыном. Фактический отказ властей в разрешении на раскрытие содержания заключения после окончания разбирательства в Апелляционном суде без указания причин составлял нарушение их позитивного обязательства по обеспечению эффективного соблюдения права заявителя на уважение его личной и семейной жизни. Власти были обязаны продемонстрировать, что имелись веские причины для отказа в раскрытии заинтересованному лицу заключения, содержавшего персональные данные, затрагивавшие его непосредственно. В настоящем деле ни компетентные органы, ни государство-ответчик не указали таких причин.
ЕСПЧ признал, что по делу было допущено нарушение требований ст. 8 Европейской конвенции о защите прав человека и основных свобод.
Российская практика свидетельствует о том, что законодательство о персональных данных по ряду вопросов не всегда применяется одинаково, имеют место неопределенности, но главная необходимость — это обеспечение баланса интересов субъекта персональных данных и других заинтересованных лиц, общества в целом с тем, чтобы закон не стал сдерживающим фактором в реализации прав других лиц.
Библиографический список
Бюллетень Европейского суда по правам человека. 2010. № 2.
Хужокова И. М. Эволюция содержания права на неприкосновенность частной жизни в России // Адвокатская практика. 2006. № 4.