декабря
2017
Защита персональных данных: первые итоги и перспективы судебных дел
Жердина, Двенадцатова_Защита персональных данных_первые итоги и перспективы судебных дел_11.2017
Скачать файлФайл добавлен | 01.12.2017 |
Презентация | .pdf (1,7 Мб) |
Защита персональных данных на сегодняшний день – тематика весьма актуальная, что связано не только с молниеносным развитием интернет технологий и глобализацией в целом, но и необходимостью защитить право граждан на частную жизнь. Распространение облачных технологий, появление Big Data, трансграничная передача персональных данных бросают все новые вызовы как законодателю, так и судам при рассмотрении споров о защите персональных данных.
В роли органа по надзору и контролю за защитой прав субъектов персональных данных выступает Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор). В своем стремлении обеспечить порядок при обработке персональных данных и выполнение требований законодательства о персональных данных Роскомнадзор порой идет на весьма радикальные меры по отношению к правонарушителям.
Не так давно обсуждалась блокировка портала LinkedIn (ноябрь 2016 года), как на днях Роскомнадзор выступил с новым заявлением о возможной блокировке социальной сети Facebook[1]. К слову, у Роскомнадзора также заведена страница в данной социальной сети[2]. Инициатива с блокировкой одного из самых посещаемых интернет-порталов[3] связана с несоблюдением Facebook требования о хранении персональных данных российских гражданах на локальных серверах[4]. Требование о локализации персональных данных стало камнем преткновения и в случае с LinkedIn.
В данной статье будут рассмотрены самые масштабные и интересные дела о защите персональных данных. Вместе с тем, перед этим отметим, что даже само понятие персональных данных трактуется судами по-разному, о чем следует сказать отдельно.
Понятие персональных данных в судебной практике
Понятие персональных данных имеет принципиальное значение, так как именно признание или непризнание информации персональными данными определяет то, будут ли применяться положения законодательства о персональных данных или нет. Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон о персональных данных) признает персональными данными любую информацию, относящуюся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных).
В качестве ключевого фактора отнесения информации к персональным данным выступает возможность идентифицировать лицо на основе данных, имеющихся у оператора. В связи с тем, что Закон о персональных данных не уточняет, что именно на базе таких данных лицо может быть установлено/определено, в судебной практике часто возникают споры о том, что следует относить к персональным данным субъекта.
Так, например, споры возникают относительно того, можно ли считать IP-адрес персональными данными или нет. Ведь IP-адрес позволяет идентифицировать устройство, с которого был осуществлен выход в интернет, но никак не конкретного пользователя[5]. Хотя Суд Европейского союза, например, считает иначе, заявляя о том, что IP-адреса являются охраняемыми персональными данными[6]. Российские суды не так категоричны и прямо не указывают в своих решениях на то, что IP-адрес можно отнести к персональным данным. Однако, совершенно очевидно, что в подавляющем большинстве случаев с помощью IP-адресов можно идентифицировать устройство, с которого выполнялся выход Интернет, и круг пользователей, а также их взаимосвязь, если пользователи выходили в сеть с одного IP-адреса[7].
Немало споров возникает и относительно того, стоит ли признавать фото (изображение) лица персональными данными. Закон о персональных данных упоминает лишь о биометрических персональных данных, к которым следует относить данные, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. При этом фото или изображение само по себе, без привязки к иным данным, позволяющим идентифицировать личность, персональными данными признаваться не могут. Именно так квалифицировал суд изображение истца, размещенное на косметической продукции, распространяемой ответчиком, обозначив, что Закон о персональных данных к данным отношениям неприменим[8]. При этом, в разъяснениях Роскомнадзора[9] справедливо указано на то, что нормы Гражданского кодекса (далее – ГК РФ) о нематериальных благах, включая изображение гражданина (ст. 152.1 ГК РФ), могут применяться к отношениям, возникающим в связи и по поводу персональных данных.
По мнению некоторых судов, не относятся к персональным данным и адрес электронной почты в силу того, что он, по мнению судов, не позволяет идентифицировать субъект персональных данных, а является лишь средством передачи данных[10]. Однако такая позиция далеко не однозначна, поэтому в судебной практике нет единого подхода относительно того, считать ли адрес электронной почты персональными данными или нет. Есть мнение, что адрес электронной почты позволяет определить конкретное лицо, которому он принадлежит[11].
На сегодняшний день суды безоговорочно признают персональными данными:
ФИО, адрес и паспортные данные лица;
размер задолженности по оплате коммунальных платежей[12];
анкетные данные, указанные в заявлении на получение потребительского кредита (ФИО, дата и место рождения, адрес регистрации и фактического проживания, рабочий и мобильный телефон, паспортные данные, сведения о работе и членах семьи)[13];
материалы пенсионного дела[14];
данные о работнике из трудового договора[15];
информация о привлечении к административной ответственности физических лиц[16];
информация об автомототранспортных средствах, зарегистрированных на физических лиц[17].
В одном из решений[18] были перечислены т.н. идентификаторы, - данные, позволяющие однозначно установить конкретное лицо: номер и серия паспорта; СНИЛС; ИНН[19]; биометрические данные; банковские реквизиты[20].
Таким образом, если совокупность данных необходима и достаточна для идентификации лица, такие данные следует относить к персональным данным.
Локализация персональных данных в судебной практике
Согласно части 5 статьи 18 Закона о персональных данных при сборе персональных данных, в том-числе в сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Из этого правила есть исключения:
обработка для достижения целей, предусмотренных международным договором Российской Федерации или для осуществления и выполнения возложенных законодательством российской Федерации на оператора функций, полномочий и обязанностей;
обработка в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
обработка при предоставлении государственных или муниципальных услуг;
обработка для осуществления профессиональной деятельности журналиста, законной деятельности СМИ, научной литературной творческой деятельности, если не нарушаются права и законные интересы субъекта персональных данных.
У Роскомнадзора есть в арсенале весьма действенный способ борьбы с правонарушителями – блокирование интернет-ресурса.
Самым "громким" делом, связанным с нарушением требования локализации, безусловно, является блокировка LinkedIn в ноябре 2016 года (дело № 33-38783/16[21]). В связи с возможной блокировкой Facebook кратко вспомним, в чем состоял данный спор.
Суть спора: истец (Роскомнадзор) обратился в Московский городской суд с требованием признать деятельность интернет-ресурсов (http://www.linkedin.com, http://linkedin.com) по сбору, использованию и хранению персональных данных граждан Российской Федерации нарушающей требования Закона о персональных данных и права граждан на неприкосновенность частной жизни, личную и семейную тайну. По мнению истца, нарушение ответчиком (LinkedIn Corporation) Закона о персональных данных заключалось в сборе персональных данных граждан Российской Федерации без локализации баз данных как того требует Закон о персональных данных. Кроме того, истец через указанные интернет-ресурсы получал доступ к сведениям третьих лиц, не являющимися пользователями LinkedIn, посредством синхронизации с электронной почтой и устройствами пользователей.
Несмотря на то, что ответчик зарегистрирован за пределами Российской Федерации, Роскомнадзор в ходе рассмотрения дела указал на то, что интернет-ресурс направлен на территорию Российской Федерации. Об этом, по мнению Роскомнадзора, свидетельствует наличие русскоязычной версии сайта, а также возможность использования рекламы на русском языке. Отметим, что подобные выводы коррелируются с разъяснениями Министерства связи и массовых коммуникаций Российской Федерации "Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года"[22].
Исход дела: суд полностью удовлетворил требования истца.
Указанное выше дело доказывает серьезность намерений Роскомнадзора обеспечить локализацию баз данных на территории Российской Федерации. Отметим, что LinkedIn Corporation на дату написания данной статьи не сумела договориться с Роскомнадзором о снятии блокировки с сайта LinkedIn[23].
Судебная практика, когда цели обработки персональных данных не совпадали с заявленными
В соответствии с частью 2 статьи 5 Закона о персональных данных обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработка, несовместимая с целями сбора персональных данных, влечет административную ответственность по части 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ).
В этой связи интересным представляется дело № А40-18827/2017, которое в октябре 2017 года рассмотрено в Арбитражном суде г. Москвы и широко освещалось в прессе[24]. Истцом по данному делу является социальная сеть "ВКонтакте"[25].
Дело ВКонтакте
Суть спора: истец обратился в Арбитражный суд г. Москвы к ООО "Дабл" и АО "Национальное бюро кредитных историй" (далее – НБКИ) о защите исключительных смежных прав на базу данных. Дело в том, что ответчики, по мнению истца, использовали открытую информацию пользователей социальной сети "ВКонтакте" для оценки кредитоспособности пользователей. Кроме того, ответчики продавали эту информацию банкам.
Требования истца: обязать ответчиков прекратить использовать открытые данные пользователей для оценки кредитоспособности и продажи своих услуг, взыскать с ответчиков по 1 рублю в качестве символической денежной компенсации.
Рассмотрение дела: c одним из ответчиков, НБКИ, истец заключил мировое соглашение. Как следует из мирового соглашения, НБКИ основывалось на том, что ООО "Дабл" правомерно использует данные из социальной сети. В течение 30 дней с даты утверждения судом мирового соглашения НБКИ обязуется пересмотреть свои правоотношения с ООО "Дабл" таким образом, чтобы они не нарушали права истца, или прекратить их. Кроме того, НБКИ обязуется не использовать технологию и продукты третьих лиц, а также собственные технологии и продукты, функционирование которых основано на извлечении информационных элементов из базы данных истца без соответствующего разрешения истца.
Что касается рассмотрения дела в отношении второго ответчика (ООО "Дабл"), Арбитражный суд города Москвы 12 октября 2017 года полностью отказал в удовлетворении иска ВКонтакте.
Комментарии к делу: внимание прессы к данному делу вполне оправдано. С одной стороны, данные находятся в открытом доступе. С другой, ни истец, ни пользователи социальной сети не давали своего согласия на извлечение информации из базы данных и ее коммерческое использование. Кроме того, здесь может иметь место и коммерческий подтекст – дело в том, что Mail.Ru Group (владелец истца) и сам начал инвестировать в продукты для оценки кредитных рисков для российских банков (об этом напоминает ответчик ООО "Дабл"[26], а также ранее сообщалось в сети "Интернет"[27]). Таким образом, суду предстояло решить, может ли ООО "Дабл" использовать в своих коммерческих интересах данные пользователей, находящиеся в публичном доступе.
Арбитражный суд города Москвы отказал в удовлетворении иска. Как указал суд, истец не доказал факт создания базы данных, факт возникновения исключительных прав на базу данных, не представлено доказательств, подтверждающих факт осуществления затрат на создание, работу по сбору или обработку материалов, составляющих базу данных, а также не представлено доказательств извлечения ответчиком каких-либо материалов из базы данных истца.
Ответчик (ООО "Дабл") пояснил, что его программное обеспечение обрабатывает исключительно открытую информацию о пользователях и является, по сути, поисковой системой.
В решении суд особо отметил, что, исходя из предмета и основания иска, судом не рассматриваются вопросы законной обработки персональных данных. В рамках судебного разбирательства истец должен доказать исключительные права на базу данных, а также факт использования базы данных ответчиком.
Отметим, что дело ВКонтакте рассмотрено лишь в первой инстанции. У истца есть 30 дней на обжалование решения.
Дальнейшее рассмотрение дела ВКонтакте покажет, пойдет ли российская практика по пути американских судов, которые в августе 2017 года разрешили компании hiQ Labs использовать данные пользователей социальной сети LinkedIn, находящиеся в открытом доступе[28]. Компания hiQ Labs использовала указанные данные с целью создания алгоритмов, позволяющих предсказывать поведение работников (например, вероятность увольнения).
Есть и противоположный опыт. Так, в ноябре 2016 года компания Facebook запретила страховой компании Admiral Insurance использовать данные о поведении пользователей для расчета стоимости страхования для автовладельцев[29]. Компания Admiral Insurance собирала данные о "лайках" и "постах" пользователей, анализировала их и предлагала скидку на страховку до 350 фунтов в год тем пользователям, поведение которых в сети ассоциируется с сознательным управлением автомобилем (например, бОльшую скидку получали пользователи, которые используют в письменной речи короткие предложения, назначают точную дату и время для встречи с друзьями и т.п.).
По нашему мнению, и как правильно отмечают некоторые авторы[30], использование технологии "больших данных" (англ. Big Data)[31] (а именно к ним относятся данные пользователей социальных сетей) в данном случае требует согласия пользователей, если данные используются в коммерческих целях, а не в статистических или иных исследовательских целях. Напомним, что обработка персональных данных в статистических и иных исследовательских целях по общему правилу не требует согласия согласно пункту 9 части 1 статьи 6 Закона о персональных данных, если эти данные обезличены.
Заключение
Судебная практика, связанная с нарушением законодательства о персональных данных, весьма неоднородна. В этой связи особая роль в регулировании отношений, связанных с персональными данными, отводится Роскомнадзору, наделённому сегодня ключевыми полномочиями по контролю за соблюдением законодательства о персональных данных. При этом, представляется, что подход Роскомнадзора и судов должен быть сбалансированным для целей формирования последовательной и однородной судебной практики. На примере LinkedIn Роскомнадзор, а также российский суд показали серьезность намерений бороться с правонарушителями. Не давая оценки подходу Роскомнадзора и судов к борьбе с правонарушителями, мы рекомендуем российским и зарубежным компаниям, деятельность которых направлена на российский рынок, тщательно проанализировать работу с персональными данными, выявить "уязвимые" места и предпринять меры по минимизации рисков, связанных с некорректной обработкой персональных данных.
[1] См. подробнее: http://money.cnn.com/2017/09/26/technology/facebook-russia-data-blocked/index.html; http://www.rbc.ru/technology_and_media/28/08/2015/55e0b9749a79472ccf8c2d4b.
[2] См.: https://www.facebook.com/roskomnadzor.official/posts/1929306397348132:0.
[3] По данным агентства Mediascope, число посетителей социальной сети Facebook составило порядка 19,2 млн. См. подробнее: http://mediascope.net/press/news/329016/?sphrase_id=165578.
[4] См.: Федеральный закон о внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях от 21 июля 2014 года № 242-ФЗ.
[5] Под IP-адресом (сокр. от англ. Internet Protocol Address) следует понимать сетевой адрес - уникальный идентификатор (адрес) устройства, подключенного к сети Интернет. См. подробнее судебную практику, где суды не призвали IP-адрес персональными данными: Постановление Тринадцатого арбитражного апелляционного суда от 05.07.2017 № 13АП-5614/2017, 13АП-5604/2017 по делу № А56-12177/2016.
Статический IP-адрес выделяется устройству (конечному пользователю) на постоянной основе.
[6] См. Judgment of the Court (Third Chamber) 24 November 2011 in Case C-70/10 // URL: http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30dd95c89b4481e24ac5abc888ab62....
[7] См.: Постановление Третьего арбитражного апелляционного суда от 08.09.2017 по делу № А74-13090/2016; Постановление Восьмого арбитражного апелляционного суда от 05.09.2017 № 08АП-7948/2017 по делу № А75-16756/2016.
[8] См.: Апелляционное определение Санкт-Петербургского городского суда от 15.11.2016 № 33-22976/2016 по делу № 2-2932/2015.
[9] См.: Разъяснения Роскомнадзора от 2 сентября 2013 г. "О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки".
[10] См.: Апелляционное определение Московского городского суда от 12.12.2016 по делу № 33-42101/2016.
[11] Апелляционное определение Санкт-Петербургского городского суда от 31.01.2017 № 33а-1151/2017 по делу № 2а-4760/2016.
[12] См.: Постановление Нижегородского областного суда от 12 мая 2015 г. № 4а-288/2015; Апелляционное определение Московского городского суда от 22 мая 2014 г. по делу № 33-14709.
[13] См.: Апелляционное определение Тульского областного суда от 28 апреля 2015 г. по делу № 33-850.
[14] См.: Определение Приморского краевого суда от 19 января 2015 г. по делу № 33-470, 33-11759.
[15] См.: Апелляционное определение Верховного суда Республики Саха (Якутия) от 23 октября 2013 г. по делу № 33-4172/13; Постановление Арбитражного суда Западно-Сибирского округа от 21.10.2016 № Ф04-4431/2016 по делу № А45-2491/2016; Апелляционное определение Самарского областного суда от 02.06.2017 по делу № 33а-7253/2017.
[16] См.: Постановление Верховного Суда РФ от 14.03.2017 № 46-АД17-2; Постановление Восемнадцатого арбитражного апелляционного суда от 27.12.2016 № 18АП-15436/2016 по делу № А76-15768/2016.
[17] См.: Постановление Четвертого арбитражного апелляционного суда от 02.08.2017 № 04АП-3856/17 по делу № А19-342/2017; Апелляционное определение Верховного суда Республики Крым от 03.07.2017 по делу № 33а-5225/2017.
[18] См.: Апелляционное определение Новосибирского областного суда от 04.07.2017 по делу № 33-6394/2017.
[19] Вместе с тем, относительно ИНН позиция судов неоднозначна. В частности, в некоторых судебных решениях четко обозначено, что ИНН к персональным данным не относится: Апелляционное определение Санкт-Петербургского городского суда от 3 февраля 2015 г. № 33-1644/2015 по делу № 2-3097/2014.
[20] См.: Апелляционное определение Волгоградского областного суда от 01.12.2016 по делу № 33-14837/2016.
[21] См. Определение Московского городского суда от 10 ноября 2016 года по делу № 33-38783/16.
[22] Разъяснения доступны по ссылке http://minsvyaz.ru/ru/personaldata/#1438546529980 (дата обращения к странице – 28.09.2017).
[23] См., например, https://www.kommersant.ru/doc/3236682 (дата обращения к странице – 28.09.2017).
[24] См., например, http://www.rbc.ru/technology_and_media/31/01/2017/58901c239a7947304d9de73e (дата обращения к странице – 28.09.2017).
[25] Для удобства изложения далее мы будем называть данное дело как "дело ВКонтакте".
[26] См., например, http://www.rbc.ru/technology_and_media/31/01/2017/58901c239a7947304d9de73e (дата обращения к странице - 28.09.2017).
[27] См., например, https://corp.mail.ru/ru/press/releases/9507/ (дата обращения к странице - 28.09.2017), https://vc.ru/17097-mrg-banks (дата обращения к странице - 28.09.2017).
[28] См., например, https://www.reuters.com/article/us-microsoft-linkedin-ruling/u-s-judge-says-linkedin-cannot-block-startup-from-public-profile-data-idUSKCN1AU2BV (дата обращения к странице – 23.10.2017).
[29] См. подробнее https://www.theguardian.com/money/2016/nov/02/facebook-admiral-car-insurance-privacy-data (дата обращения к странице – 25.09.2017).
[30] А.И. Савельев. Научно-практический постатейный комментарий к Федеральному закону "О персональных данных. С.92. Издательство "Статут".
[31] Не претендуя на универсальность, в данной статье под "большими данными" (Big Data) мы будем понимать различные возможности (методы, способы, инструменты) для обработки больших массивов данных (например, таких, как данные пользователей соцсетей) с целью использования их для достижения конкретных задач и целей.