Чтение онлайн

2. Под автоматизированной обработкой теперь понимается любая обработка персональных данных, осуществляемая с использованием вычислительных средств. Иными словами, в случае если производится обработка персональных данных, существующих в цифровой форме, то она всегда имеет автоматизированный характер. В этой связи упомянутые ранее положения п. 2 Постановления правительства РФ от 15 сентября 2008 г. № 687 не должны применяться для толкования понятия автоматизированной обработки, но при этом продолжают иметь значение для определения содержания понятия обработки, осуществляемой без использования средств автоматизации 59 .

Понятие распространения персональных данных

1. В первоначальной редакции Закона о персональных данных понятие распространения персональных данных рассматривалось как обобщающее по отношению к различным видам обработки данных, связанных с их передачей иным лицам: размещением в сети «Интернет», предоставлением доступа, передачей определенному лицу и т.п. В настоящее время в качестве обобщающего понятия выступает термин «передача», который включает в себя распространение, предоставление и доступ, как это следует из понятия обработки персональных данных.

2. Распространение персональных данных означает совершение действий, в результате которых указанные сведения становятся доступными неопределенному кругу лиц. Распространение имеет место, в частности, при публикации таких данных в средствах массовой информации. О распространении можно говорить при размещении персональных данных в сети «Интернет» в отсутствие специального режима доступа к таким данным (например, по паролю). При этом, как представляется, наличие на интернет-сайте регистрации, которую может пройти любой желающий, не означает, что размещаемые данные рассчитаны лишь на определенный круг лиц – зарегистрированных пользователей. Другое дело, если такая регистрация доступна лишь лицам, обладающим определенным статусом (например, бизнес-партнерам компании), и соответствующая информация доступна только таким зарегистрированным пользователям.

Здесь следует провести аналогию с законодательством о рекламе, поскольку одним из существенных признаков рекламы является ее направленность на неопределенный круг лиц. Как отметил суд, толкуя данное понятие применительно к интернет-сайту, «Сайт ООО «Медика» в сети «Интернет» не предполагает какого-либо ограничения в доступе путем введения паролей, кодов для получения возможности его посещения либо прочтения подробных сведений об оказываемых Обществом услугах, в силу чего потенциальным потребителем услуг Клиники является любой пользователь сети «Интернет». Таким образом, информация на сайте интернета направлена неопределенному кругу лиц» (Постановление Девятнадцатого арбитражного апелляционного суда от 5 марта 2011 г. по делу № А14-7904/2010/227/10).

Перепост информации в социальных сетях, равно как и проставление «лайка», который влечет появление данного материала в ленте «друзей» пользователя, также могут быть квалифицированы в качестве распространения такой информации, за исключением случаев, когда настройки приватности ограничивают доступ к информации этого пользователя определенным кругом лиц («друзей»). В последнем случае при совершении перепостов и проставлении «лайков» корректнее говорить о предоставлении персональных данных.

3. Правовой режим распространения персональных данных практически идентичен режиму предоставления данных, поскольку в большинстве специальных норм Закона о персональных данных они обычно упоминаются совместно (см., например, ст. 7, ч. 1, 10, 11 ст. 19, п. 2 и 3 ч. 2 ст. 22). Однако в одном случае речь идет исключительно о распространении – при обработке персональных данных участников религиозной организации без согласия субъекта (см. комментарий к п. 5 ч. 2 ст. 10 Закона).

Понятие предоставления персональных данных

1. Предоставление персональных данных является частным случаем передачи персональных данных и означает действия по раскрытию таких данных определенному лицу или определенному кругу лиц. Частным случаем предоставления персональных данных является их передача по запросу уполномоченного государственного органа. При этом имеет место обработка таких данных, которая может осуществляться без согласия субъекта (п. 2 ч. 1 ст. 6 Закона о персональных данных).

2. В некоторых случаях в качестве синонима понятия «предоставление персональных данных» Закон использует термин «раскрытие третьим лицам» (ст. 7, п. 3 ч. 2 ст. 22 Закона о персональных данных). По-видимому, это следует объяснить недочетами юридической техники закона, в котором фрагментарно сохранились «остатки» прежней терминологии после поправок 2011 г.

3. В

отношении персональных данных, которые одновременно выступают объектом иного режима охраняемой законом тайны, правовые акты, регулирующие такие виды тайны, также используют термин «предоставление», правда, без его дефиниции. В частности, согласно ст. 13 Федерального закона от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных ч. 3 и 4 указанной статьи. При этом в ст. 4 данного Закона говорится о «предоставлении сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя». Представляется, что понятие «предоставление», использованное в приведенной норме, должно толковаться в том же значении, что и в Законе о персональных данных, и охватывать только случаи передачи сведений, составляющих врачебную тайну, лишь конкретным лицам, исключая возможность предоставления к ним доступа неопределенному кругу лиц.

Понятие блокирования персональных данных

1. Блокирование персональных данных выступает одним из способов обработки персональных данных и в самом общем виде представляет собой намеренное создание невозможности доступа и использования таких данных при одновременном обеспечении их сохранности. Последний признак отличается от уничтожения, которое предполагает необратимое прекращение существования таких данных.

2. Блокирование персональных данных представляет собой временную меру, принимаемую либо на период проверки наличия или отсутствия оснований для уничтожения таких данных в связи с возможной неправомерностью их обработки (см. комментарий к ст. 21 настоящего Закона), либо на период, необходимый для уточнения обрабатываемых данных по запросу субъекта персональных данных. Именно поэтому дефиниция «блокирование персональных данных», приведенная в Законе, предусматривает исключение из общего принципа недоступности заблокированных данных для обработки в отношении единственного способа обработки – уточнения персональных данных.

Понятие уничтожения персональных данных

1. Под уничтожением персональных данных в комментируемой статье понимается (1) необратимое прекращение существования персональных данных, которое может принимать форму уничтожения носителя таких данных, либо 2) необратимое уничтожение данных с носителя без ликвидации самого носителя. Последняя форма актуальна для цифровых данных, где носитель может быть использован многократно. В данном случае уничтожение данных должно осуществляться по определенным алгоритмам, чтобы предотвратить возможность их восстановления с использованием специального программного обеспечения. Алгоритмы уничтожения информации стандартизированы. Во многих государствах изданы национальные стандарты, нормы и правила, регламентирующие использование программных средств для уничтожения информации и описывающие механизмы его реализации. В России к числу таких документов можно отнести руководящий документ Государственной технической комиссии России от 30 марта 1992 г. «Автоматизированные системы. Защита от несанкционированного доступа к информации.

Классификация автоматизированных систем и требования по защите информации» 60 , предусматривающий ряд требований к механизму уничтожения информации для систем определенных классов защищенности. В частности, для классов 3А и 2A «очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов)», для класса 1Г предусмотрена однократная перезапись.

2. Согласно разъяснениям Роскомнадзора порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом. Комиссия создается на основании приказа уполномоченного лица оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта являются оформление соответствующего акта о прекращении обработки персональных данных и регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждается самим оператором 61 .