CC BY
20
Правовой статус субъектов в институте «охрана персональных данных»
Кирьянова Людмила Викторовна,
аспирант, кафедра гражданского права и процесса; Академии труда и социальных отношений E-mail: Lven99@mail.ru
Персональные данные формируют важнейшие категории личных неимущественных прав гражданина. В тоже время, в силу специфики объекта данных прав - сведений, прямо или косвенно относящихся к физическому лицу сложно установить наличие правонарушения при совершении действий с данными сведениями, а соответственно и выбрать надлежащий порядок и способ защиты. Закон о персональных данных не дает даже примерного перечня сведений, которые составляют персональные данные. Только исходя из косвенных указаний законодателя и анализа норм Закона о персональных данных последние можно разделить на общие и специальные категории. В статье сделан вывод, что Закон о персональных данных, определив конкретного субъекта - оператора как нарушителя прав субъекта персональных данных не запретил использовать различные способы защиты прав, но отдал предпочтение возмещению убытков и компенсации морального вреда исходя из особенностей объекта нарушения и противоправного поведения.
Ключевые слова: персональные данные, оператор, возмещение убытков, компенсация морального вреда.
В соответствии с подп. 1 ст. 3 Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту Закон о персональных данных) субъектом персональных данных признается только физическое лицо, которое вправе при соответствующих нарушениях претендовать на защиту своих прав. В силу того, что « правовое регулирование отношений, возникающих при использовании персональных данных, находится на стыке публичного и частного права.» [2] законодатель предлагает несколько вариантов защиты прав, как из области гражданского права, так и административного.
Согласно ст. 17 Закона о персональных данных существуют следующие порядки защиты в зависимости от органа, который такую защиту предоставляет:
1. Административный - при обращении в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). В этом случае порядок регламентирован Федеральным законом от 2 мая 2006 г. N59^3 «О порядке рассмотрения обращений граждан Российской Федерации»
2. Судебный - в порядке гражданского судопроизводства в соответствии с нормами Гражданского процессуального кодекса Российской Федерации.
Указанная ст. 17 Закона о персональных данных не содержит исчерпывающего перечня способов защиты, но выделяет возмещение убытков и компенсацию морального вреда. Очевидно, что последние два способа защиты могут быть реализованы только при судебной защите.
Также законодатель определил причинителя вреда (должника) - оператора, то есть государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных.
При нарушении права субъекта персональных данных возникает обязательство из причинения вреда (деликтные обязательства), соответственно для применения соответствующих последствий суд согласно ст. 1064 Гражданский кодекс Российской Федерации (далее по тексту ГК РФ) должен установить наличие четырех условий наступления такой ответственности. Рассматриваемая норма, выраженная в ст. 17 Закона о персональных данных формирует условия привлечения к ответственности:
1. Противоправное поведение должника, которое состоит как в действии (в том числе по-
5 -о
сз ж
■с
средством нарушения требований об обработке персональных данных), так и в бездействии и нарушает нормы Закона о персональных данных или иным образом нарушает права субъекта.
2. Наличие вредоносных последствий в виде убытков и/или морального вреда.
3. Причинно-следственная связь между противоправным поведением и неблагоприятными последствиями.
4. Вина причинителя вреда, которая в соответствии с положениями гражданского законодательства презюмируется.
Выбор правильной формы и способа защиты обусловлен объектом посягательства и видом нарушения.
Объектом защиты выступает любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу.
ГК РФ не признает информацию в качестве объекта гражданских прав, исключив ее из ст. 128 ГК РФ в силу ст. 17 Федерального закона «О введении в действие части четвертой Гражданского кодекса Российской Федерации» от 18 декабря 2006 г. №31-Ф3. В тоже время персональные данные могут соотносится с нематериальными благами, права на которые могут быть нарушены в случае посягательств на здоровье, честь, репутацию, тайну семейной жизни и пр.
Закон о персональных данных не дает даже примерного перечня сведений, которые составляют персональные данные. Только исходя из косвенных указаний законодателя и анализа норм Закона о персональных данных последние можно разделить на общие и специальные категории. Сформировать данные по общей категории можно путем исключения от сведений специальной категории. Исходя из ст. 10 Закона о персональных данных к таковым относится информация в отношении расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни человека. Такое разделении данных на категории связано с необходимостью соблюдения определенного порядка обработки соответствующей информации. В соответствии со ст. ст. 10, 10.1 Закона о персональных данных субъект должен письменное согласие на такую обработку, которое оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. При этом оператор обязан дать возможность субъекту персональных данных возможность сформировать перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных.
Данное разделение персональных данных, вле-Е кущее за собой формирование различного право-2 вого режима использования соответствующих све-£3 дений вызывает и различные нарушения в отноше-еЗ нии объекта обладания субъектом персональных ав данных.
Согласие может быть выражено в различных формах. Это может быть устное согласие, в том числе путем совершения конклюдентных действий. Однако, поскольку в силу требований законодателя, изложенных в п. 3 ст. 9 Закона о персональных данных именно оператор должен предоставить доказательства получения согласия, то следует зафиксировать согласие в устной форме посредством соответствующего информационного (цифрового) следа. Так, по мнению некоторых ученых «регистрация пользователя Интернета на сайте, подтвержденная логином и паролем, означает согласие субъекта на обработку его персональных данных» [1].
Форма предоставления такого согласия может быть письменной, причем как в виде отдельного документа, так и положений о согласии, выраженных в ином документе. Предоставление согласия на предоставление соответствующих данных может квалифицироваться опосредованно, из иных документов, напрямую не представляющих собой согласие на обработку персональных данных. Так, в Апелляционном определении Московского городского суда от 10.09.2020 N33-34143/2020 было определено следующее. Между сторонами было нотариально удостоверено соглашения об уплате алиментов, которое предусматривало право получателя алиментов не более 2-х раз в год требовать от плательщика алиментов справку с места работы (работ) с указанием сумы доходов за истекший период, заверенную печатью организации. На основании данного права представители получателя обращались в организацию плательщика за указанной справкой, которая и предоставлялась бухгалтером организации. В силу этого действия бухгалтера организации нельзя было квалифицировать как незаконное распространение персональных данных.
Поскольку электронная (цифровая) форма приравнена к письменной (к примеру, п. 2 ст. 434 ГК РФ указывает на однородность электронного и письменного документа, оформляющего договор), то и электронная форма документа (так же как и применение электронной подписи) о предоставлении согласия соответствует требованиям законодательства. Более того, использование определенного информационного ресурса, который безусловно ассоциируется с определенным субъектом, каким к примеру является электронная почта, для предоставления соответствующего согласия должно рассматриваться как надлежащая дача согласия на обработку персональных данных. Такой вывод можно сделать из Постановления Президиума ВАС РФ от 12 ноября 2013 г. N18002/12 в котором указано, что «получение или отправка сообщения с использованием адреса электронной почты, известного как почта самого лица или служебная почта его компетентного сотрудника, свидетельствует о совершении этих действий самим лицом, пока им не доказано обратное».
В целом использование персональных данных при применении соответствующих техноло-
гий и сервисов по модерированию (отслеживанию и блокировке) ставит вопрос о неправомерности их использования на информационных ресурсах контента[3].
Согласие формируется также посредством ссылки на соответствующем сайте. Если возможно использование сайта без захода на данную ссылку, но лицо реализовало данную ссылку, то такое предоставление согласия рассматривается как добровольное и не может нарушать личные неимущественные права субъекта персональных данных. Данный вывод был сделан в отношении заявленных исковых требований к банку, на сайте которого содержалась ссылка на дачу согласия обработки персональных данных в Кассационном определении Московского городского суда от 29.11.2018 N4^2-14939/2018.
Однако, если суд установит незаконность формирования цифровых активов, в том числе цифровой подписи, это влечет за собой необходимость уничтожения ответчиком персональных данных истца и возмещения убытков.
Так, в Апелляционном определении Московского городского суда от 12.04.2022 по делу N33-2930/2022 было указано, что в силу незаконного формирования усиленной квалифицированной электронной цифровой подписи были использованы персональные данные истца и зарегистрированные несколько юридических лиц. В итоге истец понес убытки в виде начисленных штрафов и потерю репутации в связи с отношением к ней контрагентов, как к лицу, совершающему массовые регистрации компаний.
При реализации права на защиту субъекту персональных данных следует учитывать условия, при которых информация общей категории переходит в разряд общедоступной. Но в таком случае, согласно ст. 8 Закона о персональных данных в качестве средства защиты может быть заявлено только требование об исключении данных из общедоступных источников.
Данный вывод подтверждается также и имеющейся судебной практикой. Так, в Апелляционном определении Московского городского суда от 22.06.2022 по делу N33-22566/2022 было указано следующее. В случае, если субъект на своей личной странице в сети Интернет выкладывает сведения о месте жительства, возрасте, образовании, свои номера телефонов и пр. трансформирует соответствующие, выложенные для публичного просмотра сведения в общедоступные и в этой случае они не подлежат судебной защите.
Таким образом, на основании изложенного можно сделать вывод, что Закон о персональных данных, определив конкретного субъекта - опера-
тора как нарушителя прав субъекта персональных данных не запретил использовать различные способы защиты прав, но отдал предпочтение возмещению убытков и компенсации морального вреда исходя из особенностей объекта нарушения и противоправного поведения.
Литература
1. Федеральный закон «О персональных данных»: научно-практический комментарий (постатейный) / А.Х. Гафурова, Е.В. Доротенко, Ю.Е. Контемиров и др.; под ред. А.А. Приезже-вой. М.: Редакция «Российской газеты», 2015. Вып. 11
2. Бузова Н.В. Персональные данные и интеллектуальная собственность // ИС. Авторское право и смежные права. 2022. N9. С. 26-34
3. Рожкова М.А., Копылов С.А. О противозаконности запрета интернет-провайдерам создавать технические условия, обеспечивающие использование объектов интеллектуальной собственности в сети Интернет // Журнал Суда по интеллектуальным правам. 2016. N13 (сентябрь). С.19-22.
LEGAL STATUS OF SUBJECTS IN THE INSTITUTE "PROTECTION OF PERSONAL DATA"
Kiryanova L.V.
Academy of Labor and Social Relations
Personal data form the most important categories of personal non-property rights of a citizen. At the same time, due to the specifics of the object of these rights - i nformation directly or indirectly related to an individual, it is difficult to establish the existence of an offense when performing actions with this information, and, accordingly, to choose the proper procedure and method of protection. The Law on Personal Data does not even provide an approximate list of information that constitutes personal data. Only based on the indirect instructions of the legislator and the analysis of the norms of the Law on Personal Data, the latter can be divided into general and special categories. The article concludes that the Law on Personal Data, having identified a specific subject - the operator as a violator of the rights of the subject of personal data, did not prohibit the use of various methods of protecting rights, but gave preference to indemnification and compensation for moral damage based on the characteristics of the object of violation and illegal behavior.
Keywords: personal data, operator, compensation for damages, compensation for moral damage.
References
1. Federal law "On personal data": scientific and practical commentary (item-by-article) / A. Kh. Gafurova, E.V. Dorotenko, Yu.E. Kontemirov and others; ed. A.A. Priezzhevoy. M.: Editorial board of "Rossiyskaya Gazeta", 2015. Issue. eleven
2. Buzova N.V. Personal data and intellectual property // IS. Copyright and related rights. 2022. N9. S. 26-34
3. Rozhkova M.A., Kopylov S.A. On the illegality of the ban on Internet providers to create technical conditions that ensure the use of intellectual property on the Internet // Journal of the Court for Intellectual Rights. 2016. No. 13 (September). pp. 19-22.
5
"O
C3 ж
■с
