Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
Шрифт:
6. Наличие на стороне оператора множественности лиц вызывает вопрос о распределении ответственности между ними. Тот факт, что Закон о персональных данных говорит об операторе в единственном числе, может быть интерпретирован как несение обязанностей и ответственности каждым со-оператором в полном объеме. С гражданско-правовой точки зрения такой вид ответственности именуется солидарной обязанностью (ст. 323 ГК РФ устанавливает, что «при солидарной обязанности должников кредитор вправе требовать исполнения как от всех должников совместно, так и от любого из них в отдельности, притом как полностью, так и в части долга»). И хотя Закон о персональных данных не оперирует данным термином и не предполагает возможности субсидиарного применения положений гражданского законодательства, принципы солидарной ответственности вполне могут быть применимы и к распределению ответственности между со-операторами. Европейская практика также исходит из
56
Opinion 1/2010 On the concepts of «controller» and «processor». Article 29 Data Protection Working Party. 16 February 2010. P. 24.
При этом вопросы распределения ответственности и предъявления регрессных требований вполне могут быть решены со-операторами в соглашении между собой.
7. От оператора персональных данных следует отличать лицо, которое осуществляет обработку данных по его поручению. В европейском законодательстве в этой связи наряду с термином «оператор» (data controller) используется термин «обработчик» (data processor). В российском законодательстве такой термин специально не выделен, однако в ч. 3 ст. 6 Закона о персональных данных упоминается «лицо, осуществляющее обработку персональных данных по поручению оператора». Ключевыми характеристиками такого лица являются: 1) наличие самостоятельной правосубъектности, т.е. это лицо должно быть юридически самостоятельным по отношению к оператору, что позволяет исключить из сферы его работников оператора и обособленные подразделения организации; 2) обработка данных осуществляется таким лицом в интересах оператора.
В качестве лиц, осуществляющих обработку персональных данных по поручению оператора, обычно выступают различного рода аутсорсинговые организации (например, по ведению бухгалтерии или расчету зарплат), а также провайдеры «облачных» сервисов, которые предоставляют оператору вычислительные мощности для обработки персональных данных 57 . Однако если такие провайдеры осуществляют обработку персональных данных своих клиентов для собственных нужд, то они будут выступать в качестве операторов таких данных 58 .
57
Подробнее об «облачных» сервисах см.: Савельев А.И. Правовая природа «облачных» сервисов: свобода договора, авторское право и высокие технологии // Вестник гражданского права. 2015. № 5. С. 62-99.
58
Opinion 05/2012 on Cloud Computing. Article 29 Data Protection Working Party. 1 July 2012.
Главным отличием оператора от «лица, осуществляющего обработку персональных данных по поручению оператора», является распределение ответственности между ними. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на их обработку. Оператор несет ответственность перед субъектом персональных данных за действия указанного лица, а оно, в свою очередь, - перед оператором (ч. 4 и 5 ст. 6 Закона о персональных данных). Подробнее о правовом статусе лица, осуществляющего обработку персональных данных по поручению оператора, см. в комментарии к ч. 3 ст. 6 настоящего Закона.
Понятие обработки персональных данных
1. Приведенная в Законе о персональных данных дефиниция воспроизводит аналогичное положение Директивы 1995 г. Данное определение отличается от понятия автоматизированной обработки, которое содержится в Конвенции 1981 г. и охватывает «следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение». Во многом это связано с тем, что сфера действия Директивы 1995 г. и Закона о персональных данных не ограничивается исключительно автоматизированной обработкой данных. Кроме того, развитие технологий привело к появлению новых способов обработки данных, что сделало нецелесообразным ограничение их видов каким-либо закрытым перечнем.
2. Первоначально в Законе о персональных данных обработка персональных данных понималась несколько иначе, а именно как «действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение,
уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных». Последующие изменения в дефиницию конкретизировали ее посредством (1) прямого указания на то, что обработка представляет собой любое действие (в данном случае делается акцент на действии человека) или операцию (акцент на автоматизированной обработке) с персональными данными, и (2) пополнения перечня возможных способов обработки записью, извлечением, передачей данных в различных формах (распространение, предоставление, доступ).В настоящее время под обработкой персональных данных понимается любое действие (операция), совершаемое с персональными данными, как с использованием средств автоматизации, так и без них. К таковым относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В принципе, невозможно придумать ни одного действия или операции с персональными данными, которые бы не могли быть охвачены понятием «обработка». Аналогичный и столь же широкий подход к данному понятию используется в Директиве 1995 г. и Регламенте 2016 г.
Таким образом, к обработке персональных данных в полной мере можно отнести любое действие, носящее волевой характер и сопряженное с воздействием на данные в период их жизненного цикла: обычное хранение персональных данных на жестком диске компьютерного устройства; использование компьютерных алгоритмов по глубинному анализу данных (data mining).
3. В отечественной судебной практике встречаются случаи, когда суды некорректно толкуют понятие «обработка персональных данных», стремясь тем самым решить вопрос о применимости к спорным отношениям законодательства о персональных данных.
Так, суды не признают обработкой персональных данных действия по размещению на информационных стендах официальных документов, в которых могут содержаться персональные данные (например, данные о результатах аудита ТСЖ с информацией о фамилии, имени и отчестве истца, замещении им ранее должности председателя ТСЖ и размере получаемого вознаграждения или предписание Ростехнадзора), такие действия не являются обработкой персональных данных лица по смыслу Закона о персональных данных (см. апелляционные определения Верховного суда Республики Коми от 13 марта 2014 г. по делу № 33-1148/2014; Липецкого областного суда от 6 июня 2012 г. по делу № 33-1235/2012).
С приведенным толкованием вряд ли можно согласиться, учитывая максимально широкую формулировку понятия «обработка персональных данных», которое охватывает практически любые действия, совершаемые оператором с персональными данными. В указанных выше случаях более правильно говорить о неприменимости законодательства о персональных данных к спорным отношениям в силу отсутствия факта автоматизированной или квази-автоматизированной обработки, т.е. в силу ст. 1 Закона о персональных данных, а не в силу отсутствия факта обработки как таковой.
Понятие автоматизированной обработки персональных данных
1. Данное определение отсутствует в Директиве 1995 г. и Регламенте 2016 г., оно отсутствовало и в первоначальной редакции Закона о персональных данных, появившись лишь в 2011 г. В немалой степени его закреплению на законодательном уровне способствовали судебные споры, связанные с определением сферы действия Закона о персональных данных, в котором содержание понятия автоматизированной обработки данных играло ключевую роль (см. комментарий к ст. 1 настоящего Закона). В частности, предпринимались попытки определить указанный термин методом «от противного» применительно к существующему пониманию обработки без использования средств автоматизации, содержащемуся в Постановлении Правительства РФ от 15 сентября 2008 г. № 687. Поскольку согласно п. 2 данного документа обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее, делался вывод о том, что «средством автоматизации является не любое техническое средство, а только такое, при применении которого использование, уточнение, распространение, уничтожение персональных данных осуществляется без непосредственного участия человека» (см. также, например, Постановление Четвертого арбитражного апелляционного суда от 17 января 2011 г. по делу № А19-25289/2009). В связи с тем, что такое толкование явно расходилось с общими представлениями об автоматизированной обработке, судам приходилось ссылаться напрямую на текст Конвенции 1981 г. В настоящее время этот пробел восполнен.