Конфиденциальность персональных данных. Правоприменительная и судебная практика

Согласно ст. 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Нарушение данной нормы периодически происходят, и в этих случаях Роскомнадзор или органы прокуратуры обязаны принимать меры по защите интересов физических лиц.

Примеры из практики

Прокуратура Октябрьского района г. Улан-Удэ провела проверку местной управляющей компании «У.». Проверка выявила нарушения закона. В частности, на подъездах одного из многоквартирных домов размещались данные с фамилиями и инициалами жильцов, номерами квартир и суммами задолженностей.

Поскольку закон считает персональными данными любую информацию, прямо или косвенно относящуюся к определенному или определяе1

мому субъекту персональных данных — фамилию, имя, отчество, год, месяц, дату рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы и др., — заместитель директора управляющей компании был привлечен к административной ответственности по ст. 13.11 КоАП РФ за разглашение персональных данных без согласия клиентов компании.

Другой подобный случай.

В Саратовской области директор организации, участвовавшей в организации водоснабжения жителей поселка, опубликовал в местной газете список из 65 человек, имевших задолженность за потребленную воду. «Черный список» содержал фамилии и имена, адреса и суммы задолженностей. Прокуратура Саратовской области привлекла автора публикации к административной ответственности по ст. 13.11 КоАП РФ.

Закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей» покупатель вправе отказаться от исполнения договора купли-продажи и потребовать возврата уплаченной за товар денежной суммы. Постановлением Правительства РФ от 19.01.1998 № 55 утверждены Правила продажи отдельных видов товаров, согласно которым покупатель вправе возвратить приобретенный товар продавцу и получить уплаченную за него денежную сумму. При этом продавец обязан соблюдать Положение о порядке ведения кассовых операций с банкнотами и монетой Банка России на территории Российской Федерации, утвержденное Банком России от 12.10.2011 № 373-П (утратило силу с 01.06.2014 в связи с изданием Указания Банка России от 11.03.2014 № 3210- У), в соответствии с которым, порядок ведения кассовых операций в целях организации на территории РФ наличного денежного обращения предусматривает выдачу наличных денег кассиром непосредственно получателю, указанному в расходном кассовом ордере, только при предъявлении им паспорта или другого документа, удостоверяющего личность в соответствии с требованиями законодательства РФ. Исходя из этих норм, ситуация с возвратом денег покупателю из кассы организации на основании его письменного заявления с указанием фамилии, имени, отчества и данных документа, удостоверяющего личность, по мнению Верховного Суда РФ, не противоречила требованиям законодательства. Истребование указанных персональных данных избыточным не являлось. Поэтому отсутствовали основания для привлечения организации к административной ответственности.

Другой пример.

По заявлению гражданина о нарушении требований законодательства о рекламе Федеральная антимонопольная служба (ФАС) направила в адрес организации запрос с требованием предоставить сведения о владельце абонентского номера, с которого гражданину поступали СМС-сообщения, содержащие рекламную информацию о доставке суши. Организация письменно отказала Управлению ФАС в предоставлении запрашиваемых сведений, сославшись на нормы Федерального закона «О связи», а также требования Закона о персональных данных. На основании этого отказа Управление ФАС составило протокол об административном правонарушении и вынесло постановление о привлечении организации к административной ответственности по ст. 19.8 КоАП РФ с назначением административного штрафа в размере 20 тыс. руб. Организация сочла данное постановление незаконным и обратилась в арбитражный суд с исковым заявлением о его отмене.

Суды всех инстанций пришли к выводу о правомерном отказе организации предоставить запрашиваемую ФАС информацию. Суды исходили из того, что запрошенная информация относится к категории ограниченного доступа, представление такой информации не является обязательным без согласия физических лиц. Кроме того, сама ФАС и ее территориальные органы не относятся к органам, уполномоченным осуществлять оперативно-разыскную деятельность. При этом ни закон о рекламе, ни закон об оперативно-разыскной деятельности не содержат прямого указания на полномочие ФАС запрашивать у операторов связи сведения об абонентах — физических лицах.

Однако Верховный Суд РФ в постановлении от 13.08.2015 № 302-АД15- 5169 с такими выводами нижестоящих судов не согласился. Судьи напомнили, что ФАС в соответствии со ст. 33 Федерального закона «О рекламе» осуществляет государственный контроль за соблюдением законодательства РФ о рекламе в пределах своих полномочий, в том числе предупреждает,

выявляет и пресекает нарушения физическими или юридическими лицами законодательства РФ о рекламе, а также возбуждает и рассматривает дела по признакам нарушения законодательства РФ о рекламе. Из этого следует, что антимонопольному органу предоставлено право запрашивать документы без каких-либо ограничений по составу и объему необходимой информации. При этом антимонопольным органом могут быть запрошены только документы, имеющие отношение к нарушению законодательства о рекламе и касающиеся деятельности определенных лиц.

Таким образом, практику применения ст. 7 Закона о персональных данных нельзя счесть вполне единообразной. Суды, как мы видим, не сразу могут прийти к единому мнению о том, в каких случаях передача операторами чьих-либо персональных данных третьим лицам правомерна.

Рассматриваемая ст. 7 Закона о персональных данных была предметом анализа и Конституционного Суда РФ. Основанием рассмотрения послужила, в частности, жалоба лица, занимавшего должность директора организации по управлению многоквартирными домами. Он был привлечен к административной ответственности за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных): директор без согласия должников по оплате коммунальных услуг передал их персональные данные организации, оказывающей ему юридические услуги, в том числе по взысканию этой задолженности через суд. По мнению заявителя, приведенная норма, требующая получения согласия субъектов персональных данных, ограничивала его право на получение квалифицированной юридической помощи.

Конституционный Суд РФ не принял жалобу к рассмотрению, отметив в своем Определении от 28.01.2016 № 100-0 следующее: чтобы иметь возможность управлять многоквартирным домом, управляющая организация обязана получить у собственника и нанимателей жилых помещений согласие на обработку персональных данных, в том числе на их передачу третьим лицам, причем данное согласие может быть включено в качестве условия в договор управления многоквартирным домом.

Минстрой России также рекомендовал включать в договор управления многоквартирным домом условие о порядке информационного взаимодействия между управляющей организацией и собственниками или пользователями помещений, в том числе состав, порядок, случаи и сроки предоставления сведений, связанных с порядком обработки персональных данных. А в приложение к договору — порядок обработки персональных данных граждан, в том числе собственников и пользователей помещений в многоквартирном доме.

Таким образом, оспариваемое положение ст. 7 Закона о персональных данных, обусловливающее возможность предоставления персональных данных третьему лицу согласием на то их субъекта, не нарушает конституционное право на получение квалифицированной юридической помощи в указанном заявителем аспекте.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >