Различные нарушения закона о персональных данных, выписанные предписания Роскомнадзора и протоколы о привлечении к административной ответственности вынуждают юридических лиц прибегать к защите суда. Существующая судебная практика неоднородна, но достаточна интересна. Уже можно говорить, что у судов сложилась единая позиция по поводу тех или иных нарушений закона о защите персональных данных. Споры относятся к разным категориям, и многие из них основываются на неверном понимании гражданами, организациями и государственными органами закона о персональных данных.

Системные споры

Сама система защиты персональных данных уже стала предметом судебного оспаривания. Наиболее интересные споры попадают на рассмотрение Конституционного и Верховного судов, менее системные, но значимые остаются на уровне окружных. Знание практики применения закона судами поможет операторам и частным лицам избежать рисков нарушения закона и понять, что в определенных случаях заручиться судебной защитой будет невозможно.

Так, недавно в Конституционном суде РФ состоялось слушание по вопросам конституционности нормы закона, запрещающей операторам предоставлять обрабатываемые ими персональные данные третьим лицам. Заявитель, обратившийся за информацией о своих коллегах и получивший отказ оператора предоставить персональные данные, обратился в Конституционный суд, сочтя, что такой отказ нарушает его право на защиту, а норма закона является неконституционной. Суд (определение № 1158-О) отказал заявителю, подчеркнув, что право гражданина на защиту информации о своей частной жизни является безусловным.

Существенную часть споров о неправомерном распространении персональных данных составляют споры со средствами массовой информации, часто публикующими информацию о личной жизни граждан. Верховный суд постановил, что Роскомнадзор вправе принять решение о закрытии СМИ, если оно регулярно распространяет информацию о личной жизни граждан и иным образом нарушает законодательство о персональных данных. Так, одна из газет Краснодарского края несколько раз опубликовала не только имя и фамилию несовершеннолетней, но и номер школы, в которой она обучается. После получения письменного предупреждения ведомства публикация персональных данных несовершеннолетних, нарушающая в том числе закон о СМИ, не прекратилась. Решением краевого суда деятельность газеты была прекращена, Верховный суд РФ в Определении № 18-АПГ 15-7 счел нарушение существенным, а это решение правомерным.

Помимо закрытия газеты, за нарушение закона о персональных данных может наступить гражданско-правовая ответственность в виде возмещения морального вреда. Суд по Санкт-Петербургу и Ленинградской области счел нарушением законодательства публикации фотографии гражданина и сведений о нем без получения его согласия на распространение персональных данных. Суд взыскал с газеты «Комсомольская правда» в пользу гражданина моральный ущерб за публикацию его персональных данных.

Предоставление персональных данных по запросу государственных органов также остается камнем преткновения. Закон прямо запрещает их распространение, и иногда операторы, во избежание рисков получения предписания от Роскомнадзора, отказывают в их передаче государственным органам, в том числе и ФАС РФ. В одном из таких случаев ФАС запросила у оператора мобильной связи информацию о владельце телефонного номера, с которого поступали многочисленные рекламные сообщения. За отказ предоставить персональные данные организация была оштрафована. Суд счел, что ФАС действовал в соответствии с законом, а оператор связи обязан был предоставить запрошенные персональные данные.

Такие споры редки, первое разбирательство состоялось в 2016 году, второе – в 2015-м. Чаще встречаются менее значимые, но имеющие практическое значение дела по вопросам неправомерного распространения персональных данных или иным способам их использования.

Важным системным вопросом для организаций и предприятий, принимающих сотрудников на работу и реализующих продукцию через интернет-магазины, стал вопрос о необходимости уведомлять Роскомнадзор о начале деятельности по обработке персональных данных в следующих трех случаях:

• компания обрабатывает персональные данные людей, ищущих работу, а именно: собирает резюме, анализирует их, вносит данные, полученные путем анализа резюме, в свои информационные базы;
• использует специальное программное обеспечение, при помощи которого обрабатывает персональные данные соискателей и работников;
• применяет аналогичные программы для обработки данных клиентов, полученных по телекоммуникационным каналам связи.

Четвертый арбитражный апелляционный суд во всех трех случаях счел, что уведомлять о начале деятельности по обработке персональных данных не надо.

Иные категории споров

Каждый гражданин в обычной жизни сталкивается с ситуацией, в которой он предоставляет свои персональные данные. Это создание личного кабинета в интернет-магазине, заполнение анкеты для получения дисконтной карты, оформление абонемента в бассейн. Иногда при этом заполняется согласие на обработку персональных данных, иногда организации, оказывающие услуги, забывают об этом требовании закона. Мало кто задумывается о том, насколько бережно хранятся, переданные оператору данные. Но одна ситуация постоянно вызывает споры и вопросы. Является ли предоставлением персональных данных предъявление паспорта на кассе магазина и оформление заявления при возврате товара? Суд счел, что нарушением законодательства о персональных данных эта ситуация не является. Ситуация возникла по заявлению гражданина в ФАС РФ, который счел, что внесение паспортных данных в заявление на возврат товара и в приходный ордер является обработкой персональных данных, осуществляемой не в соответствии с требованиями закона. Магазин был оштрафован. Суд не отнес эту ситуацию к неправомерной обработке персональных данных и отменил штраф.

Столь же интересной стала ситуация с фотографиями. Фото как объект, содержащий биометрические сведения, может быть отнесено к персональным данным. В одном из дел было установлено: чтобы использовать фотографию для оформления пропуска в бассейн, необходимо получить согласие гражданина на получение его персональных данных. Если с 2013 года эта ситуация рассматривалась только как спорная позиция Роскомнадзора, и мало кто из организаций воспринимал это как рекомендацию к действию, то после решения суда, ее подтвердившего, в каждой из ситуаций использования фото для оформления пропуска или личного дела придется оформлять согласие на обработку персональных данных.

Достаточно часто при подписании согласия на обработку персональных данных граждане обращают внимание на то, что соглашаются на передачу своих сведений третьим лицам. Далеко не всегда эти третьи лица указываются подробно. Роспотребнадзор очень часто поправлял банки, которые не конкретизировали такие перечни. В последнее время четыре апелляционных суда поддержали позицию Роспотребнадзора, обратив внимание банков на то, что перечень лиц, которым передаются персональные данные, должен быть конкретным.

Но системные проблемы решаются не так часто, как возникают типовые проблемы у медицинских или образовательных учреждений, руководители которых при оказании своих профессиональных услуг не всегда оформляют у клиентов согласие на обработку персональных данных. Так, в одной из клиник Самарской области при проведении медицинских осмотров персональные данные граждан вносились в амбулаторные карты, при этом согласие на такую обработку от них не получалось. За это нарушение мировой суд привлек директора медицинской организации к ответственности по ст. 13.1 КоАП и оштрафовал на 500 рублей. Областной суд полностью согласился с мировым. Таким образом, теперь медицинская организация при оказании любого вида медицинской помощи, при которой получаются для внесения в амбулаторные карты или в отчетность персональные данные пациентов, обязана оформлять согласие.

Если рассматривать практику применения этой нормы по всей стране, можно увидеть, что случаи привлечения к ответственности пока являются единичными и нарушители отделываются минимальными штрафами.

Истцы и ответчики

Вне зависимости от того, как формируется практика, необходимо проанализировать типичных истцов и ответчиков по спорам этих категорий. Существует две категории истцов:

• граждане, считающие свои права на охрану персональных данных и на их получение ущемленными и направляющие иски к организациям;
• государственные органы, отстаивающие свое право на привлечение операторов персональных данных к ответственности.

Юридические лица – операторы персональных данных – обычно выступают в роли ответчиков. Только в спорах о том, в каком случае не нужно производить уведомление Роскомнадзора, они становятся истцами и с успехом выигрывают споры. Если юридическое лицо становится ответчиком по спорам, связанным с персональными данными, то чаще всего оно постоянно взаимодействует с неограниченным кругом физических лиц и не всегда точно соблюдает нормы законодательства о персональных данных, в ряде случаев неправомерно передавая их третьим лицам. Среди таких ответчиков:

• газеты и иные СМИ;
• магазины;
• банки;
• мобильные операторы.

Зачастую аналогичная ситуация становится предметом судебного разбирательства в случае, если на нее обратило внимание частное лицо, и не попадает в поле зрения суда и Роскомнадзора в десятках других случаев, когда требуется согласие на обработку персональных данных. Интересом частного лица часто становится возмещение морального вреда в материальной форме, для него не имеет значения, нормы какого законодательства, о правах потребителя или о защите персональных данных, были нарушены.

Анализируя судебную практику, можно увидеть, что очень часто суды поправляют государственные органы, неверно интерпретирующие свои права. Но столь же часто они встают на защиту интересов граждан и охрану тайны их личной жизни, запрещая неправомерное распространение персональных данных.