*Данный материал старше трёх лет. Вы можете уточнить у автора степень его актуальности.
Какие данные – персональные?
Михаил Хохолков, ИНТЕЛЛЕКТ-С, – об основном понятии и статусе оператора персональных данных.
Автор данного отклика на статью Михаила Карташова «Обработка персональных данных в Сети», опубликованную в «АГ» (№19 (276)/2018), считает ошибочным полагать, что оператором по обработке персональных данных является только лицо, направившее уведомление об этом в Роскомнадзор и находящееся в реестре.
Безусловно, комментируемое решение Высшего Суда Европейского Союза, признавшего лицом, которое ответственно за обработку персональных данных, не только платформу Facebook, но и пользователя социальной сети, ведущего фан-страницу, представляет интерес и для российской действительности. Однако данная позиция может быть лишь учтена при вынесении решения по аналогичному спору в российском суде.
Чем же интересно это решение?
На мой взгляд, администратор паблика все-таки является оператором по обработке персональных данных. С одной стороны, он использует технические возможности соцсети для более точного таргетирования своих сообщений на фан-странице, проведения опросов, розыгрышей и т.п, то есть фактически обрабатывает персональные данные.
С другой стороны, с учетом специфики работы социальной сети, он не может обеспечить безопасность обрабатываемых данных, поскольку не имеет доступа к самой базе пользователей и не определяет технические условия защиты информации. Следовательно, выполнить требования законодательства в этой части он не может. Поэтому и ответственность такого администратора должна быть ограничена по сравнению с владельцем сервиса.
Хочу отметить, что содержимое своей личной страницы в социальной сети определяет сам пользователь. И именно пользователь принимает решение, с кем и в каком объеме он делится своей личной жизнью.
На практике возникает неопределенность при отнесении той или иной информации к персональным данным либо к сведениям о частной жизни.
Так, ст. 152.2 ГК РФ регламентирует, что, если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности, сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни.
Вместе с тем, 152-ФЗ использует «смежное» понятие частной жизни – персональные данные.
Очевидно, что и Закон «О персональных данных», и Гражданский кодекс РФ защищают любую информацию о гражданине – с одной лишь разницей. Персональные данные в своей совокупности могут идентифицировать субъекта, а частная жизнь – это информация об уже конкретном человеке. При этом сведения о частной жизни гораздо шире, чем персональные данные, но они могут и пересекаться.
В идеале хотелось бы видеть единообразие терминологии, в чем я полностью солидарен с автором материала. В то же время написать некий закрытый перечень информации, относящейся к персональным данным или к частной жизни, представляется невозможным, тем более что та или иная информация в совокупности с другой могут иметь разные возможности для идентификации человека.
Например, название должности. С одной стороны, эта информация не является персональными данными. С другой, иногда может и являться. Например, говоря «Президент России», мы прямо идентифицируем субъекта. И в этом случае информация о должности отвечает критериям персональных данных.
Другой пример. По запросу «Иванов Иван Иванович, юрист» поисковая система выдает сотню миллионов поисковых результатов. И хотя в данном примере содержится больше информации, чем в первом, вряд ли можно на ее основе идентифицировать конкретного человека.
Есть проблемы и с правовым определением операторов персональных данных. Фактически оператором персональных данных является каждая компания. Вместе с тем, было бы ошибочно полагать, что оператором по обработке персональных данных является только лицо, направившее уведомление об этом в Роскомнадзор и находящееся в реестре.
Иногда такая путаница возникает при неверном толковании ст. 22 Федерального закона «О персональных данных». Хотелось бы отметить, что данная норма перечисляет случаи освобождения оператора персональных данных от необходимости включаться в реестр Роскомнадзора.
Справедливости ради следует отметить, что Роскомнадзор постоянно проводит мероприятия, посвященные разъяснениям работе с персональными данными.
Поэтому, безусловно, интересно предложение автора о критериях, по которым следует относить компанию к операторам по обработке персональных данных, и внесении соответствующих изменений в 152-ФЗ. В настоящее же время – с учетом того, что оператором по обработке персональных данных является каждый предприниматель, – реестр операторов Роскомнадзора можно сформировать, скопировав данные из ЕГРЮЛ.
Источник: авторская колонка Михаила Хохолкова, ИНТЕЛЛЕКТ-С, в «Новой адвокатской газете»
Статьи экспертов Группы правовых компаний ИНТЕЛЛЕКТ-С >>
Похожие материалы
