Не прячьте ваши данные по банкам и углам

Журналист Агентства правовой информации, программист, независимый консультант по транснациональному маркетингу и контекстной рекламе, эксперт по e-commerce CMS. Окончила Воронежский государственный университет. Специализации – «Славянская филология», «Особенности межнациональный коммуникации», «Преподавание русского языка, как иностранного», «Веб-разработка для учебных процессов». С 2005 года ведет ряд российский и европейских интернет-проектов.

Практика применения федерального закона «О персональных данных», регулирующего эту сферу последние 14 лет, остается противоречивой. Во избежание нарушений большинство участников рынка вынуждены требовать от частных клиентов и сотрудников согласие на обработку сведений о них. Но такая политика нередко приводит к конфликтам и многим другим проблемам.

Законодательство о персональных данных в России овеяно мифами. Во-первых, многие полагают, что термин «персональные данные» включает в себя все сведения о гражданине, в том числе, его фамилию и имя. Во-вторых, большинство граждан считает себя хозяевами информации о себе, имеющими право разрешать или запрещать любое ее использование. Именно эти мифы и являются причиной противоречий, которые зачастую оборачиваются административными санкциями и судебными разбирательствами.

Согласно закрепленному в самом федеральном законе определению, персональные данные — это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». В частности, такими данными являются «фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».

Похожее определение содержится в Конвенции Совета Европы 1981 года о защите физических лиц при автоматизированной обработке персональных данных, которую Россия ратифицировала еще в 2005 году (то есть до принятия федерального закона). В свою очередь в 2016 году Европейский парламент и Совет Европейского Союза одобрили Регламент о защите персональных данных (General Data Protection Regulation — GDPR). Он впервые дает определение термину «идентифицируемое физическое лицо». Таковым является гражданин, который может быть прямо или косвенно определен по представленным данным. Это могут быть имя, фамилия, идентификационный номер (допустим, ИНН), данные о местоположении, онлайн-идентификатор (никнейм в социальной сети) или иные характерные для указанного лица факторы (включая даже духовные и культурные).

На этих сложных и даже в чем-то противоречащих друг другу нормах отечественный регулятор, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), выработал свое понимание: персональными данными он предлагает считать совокупность сведений, которые необходимы и достаточны для идентификации лица.

«При этом данные нельзя считать персональными, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. Изложенный подход допустимо рассматривать как учитывающий баланс интересов всех участников отношений», — отмечается в научно-практическом комментарии к Федеральному закону «О персональных данных», под редакцией заместителя руководителя Роскомнадзора А.А. Приезжевой (документ отсутствует в открытом доступе).

Проще говоря, термин «персональные данные» подразумевает совокупность данных, которым соответствует один конкретный человек. Очевидно, что к персональным данным относятся, например, паспортные реквизиты, СНИЛС, ИНН и тому подобное. А вот сами по себе фамилия и имя (например, Сергей Иванов) идентификаторами точно не являются: в России проживает около 150 тысяч (!) граждан с таким сочетанием имени и фамилии, в том числе, не менее 33 тысяч в Москве.

Для признания информации об имени и фамилии гражданина персональными данными, они должны быть дополнены другими определяющими сведениями. В ситуации с распространенными фамилиями (такими, как Иванов, Смирнов, Васильев и др.) идентифицирующей информацией не будет считаться даже отчество, город проживания и, возможно, день рождения. А вот указание, что «Сергей Иванов» был вице-премьером, автоматически сужает круг поиска до одного единственного субъекта. Также к персонифицирующим сведениям могут быть отнесены конкретный адрес проживания (хотя бы номер дома), текущее место работы и другие данные.

Роскомнадзор еще несколько лет назад обещал разработать так называемую матрицу — определить, сочетание какой именно информации следует признать персональными данными. Хотя очевидно, что такая «матрица» не может быть универсальной, а идентификация зависит от распространенности фамилии, имени и других параметров. Например, в Санкт-Петербурге рассматривалось дело, где, доказывая свою идентичность, гражданин Самашка Э. Р. представил в суд выданную адресной службой полиции справку, согласно которой в городе зарегистрирован только один «Самашка Э.Р.». Правда, при рассмотрении спора выяснилось, что в описании проступка в СМИ не был указан город проживания. Доказать же, что в иных регионах нет других «Самашек» участник конфликта не смог. В том числе по этой причине служители Фемиды отклонили его иск.

В отсутствии официальной «матрицы» вряд ли можно быть уверенным, что даже простое сочетание фамилии, имени и, скажем, города, не окажется персональными данными. Очевидно, что работающие с сотнями или тысячами частными клиентов компании проверять каждый такой «набор» не имеют ни возможности, ни ресурсов. В то же время даже в небольшом городке точно найдется не один обладатель любого имени, в том числе самого редкого. 

Политика Роскомнадзора о признании тех или иных сведений персональными данными остается противоречивой. Так, по утверждению главы Управления по защите прав субъектов персональных данных Юрия Контемирова, регистрационный и VIN-номер автомобиля применяются для обозначения и идентификации транспортных средств и не являются персональными данными. Не относится к таковым и кадастровый номер земельного участка.

«Номер телефона будет являться персональными данными исключительно в совокупности с дополнительной информацией, позволяющей отнести его к конкретному физическому лицу. Адрес электронной почты является персональными данными, позволяющими идентифицировать конкретное физическое лицо, равно, как и имя пользователя социальной сети», — полагает Юрий Контемиров.

Для оказания многих услуг (например, заказа пиццы, доставки товара и т.д.) достаточно адреса. Адрес и номер лицевого счета используется для учета абонентов газовой сети (структуры «Межрегионгаз»), а также потребителей электроэнергии и других коммунальных услуг. Многие торговые сети сейчас выпускают виртуальные бонусные карты постоянных клиентов, единственным идентификатором которых является номер мобильного телефона. Такие сведения не являются персональными данными и могут свободно использоваться.

Второй миф, сложившийся в сфере использования персональных данных, — возможность их обработки исключительно с согласия самого гражданина.

На самом деле согласие субъекта персональных данных является лишь первым и одним из одиннадцати оснований для их обработки. В отличие от остальных, согласие универсально: его может использовать любая организация (так называемый оператор персональных данных), независимо от целей и состава собранной информации. Наличие согласия освобождает оператора от обязанности доказывать наличие иных оснований.

Однако обработка персональных данных на основе согласия может создать много проблем. Самая серьезная — риск его отзыва. Федеральный закон гарантирует подписавшему согласие гражданину неотъемлемое право в любой момент по существу его аннулировать. И при отсутствии иных законных оснований оператор максимум в месячный срок обязан прекратить обработку полученных сведений, в том числе, удалить информацию из своих баз данных, уничтожить документы и так далее.

Поэтому если продавец товара или поставщик услуги намерен использовать персональные данные клиента на основании его согласия, нужно быть готовым к вероятности отзыва согласия. То есть заранее продумать все механизмы, в том числе, проверить наличие соответствующей функции в используемых корпоративных информационных системах. Более того, нередко собранные на основании согласия сведения передаются другим лицам, например, осуществляющей ведение бухгалтерского учета аутсорсинговой компании, рекламному агентству и т.п. В случае отзыва согласия они также должны будут прекратить обработку полученных персональных данных (в том числе, удалить записи и уничтожить документы). Причем ответственность за исполнение этого требования несет первый оператор (тот, кто получал согласие). Следовательно, нужно заранее проработать бизнес-процессы для разрешения подобных ситуаций и иметь представление о том, каким образом оператор будет оповещать партнеров об отзыве согласия, есть ли у партнеров возможность реализовать эти требования и так далее.

Еще одна потенциальная проблема: в согласии может быть закреплена только одна цель обработки персональных данных. Например, если разрешение клиента получается для оказания ему услуг, то собранные сведения нельзя использовать для рекламных рассылок, иного продвижения и даже информирования о новостях, акциях и прочих «прелестях». Для каждой такой цели нужно оформлять отдельное согласие, убедив клиента в необходимости его подписать.

Законодательство устанавливает очень строгие требования к форме согласия. Начнем с того, что оно должно содержать исчерпывающие идентификаторы субъекта: фамилию, имя, отчество, домашний адрес, номер паспорта, дату его выдачи и наименование выдавшего органа. Вряд ли эти приватные сведения, которые могут быть использованы мошенниками, захотят предоставлять, скажем, покупатели копеечных товаров в интернет-магазине, заказчики пиццы или получатели бонусной карты.

Также в согласии необходимо закрепить конкретный перечень обрабатываемых персональных данных (например, фамилия, имя, отчество, домашний адрес, паспортные реквизиты, телефон, адрес электронной почты, дата рождения, место работы и прочие сведения). Требуется указать действия, на совершение которых дается согласие. Этот перечень может включать сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных. Причем такая обработка может осуществляться с использованием средств автоматизации или без них, что должно быть отражено в форме.

Обязательным реквизитом согласия является цель обработки персональных данных клиента, сведения о самом операторе и его партнерах, которым будут передаваться персональные данные, срок действия согласия и способ его отзыва.

Интересно, что собственноручная подпись субъекта персональных данных под согласием чаще всего не требуется. Закон допускает оформление одобрения «в любой позволяющей подтвердить факт его получения форме». В частности, Роскомнадзор считает допустимым, если интернет-пользователь проставит отметку (так называемую галочку, чекбокс) в электронном виде.

«При этом необходимо помнить, что обязанность предоставить доказательство получения согласия субъекта персональных данных возлагается на оператора», — напоминают в надзорном органе.

Большинство споров в вопросе обработки персональных данных потребителей связано с принуждением клиента к подписанию согласия. Тогда как само определение термина «согласие» гласит, что оно должно быть «конкретным, информированным и сознательным», а субъект вправе выражать его «свободно, своей волей и в своем интересе». То есть любой желающий вправе купить товар или заключить договор на оказание услуг, не подписывая никаких разрешений на использование информации о нем.

Контроль за соблюдением этих требований осуществляет Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор). Навязывание согласия на обработку персональных данных клиентам он квалифицирует как «включение в договор условий, ущемляющих права потребителя, установленные законодательством о защите прав потребителей». Такое административное правонарушение карается наложением штрафа в размере до 20 тысяч рублей для юридического лица и до двух тысяч — для его руководителя.

Один из самых показательных примеров — политика петербургского ООО «Единый медицинский центр». От пациентов, желающих сдать на платной основе анализы или получить справки, он требовал подписать согласие на любое использование всех персональных данных, включая «сведения о семейном и имущественном положении, образовании, доходах, а также другой информации». Причем эти материалы могли в том числе передаваться неограниченному кругу третьих лиц. Подтверждая нарушение частной клиникой прав потребителей, Тринадцатый арбитражный апелляционный суд пришел к выводу, что «бланк согласия содержит неконкретные, избыточные сведения, в отношении которых физическому лицу предложено дать согласие на их обработку <…> «Единый медицинский центр» не обосновал невозможность исполнения договора в объемах, требуемых потребителем, в отсутствии персональных данных», — заключил суд.

В навязывании согласия надзорный орган уличил и страховую компанию «СОГАЗ»: «Условия договора изложены таким образом, что у потребителя отсутствует возможность выражения согласия или отказа от обработки и передачи персональных сведений и действия согласия в течение пяти лет после исполнения договорных обязательств», — отмечается в определении Верховного суда России. Такое же решение было принято и в отношении страховой компании «Благосостояние»: «Доказательств того, что при заключении договора потребитель имел возможность влиять на содержание условий договора, не представлено», — констатировала высшая инстанция.

Примечательно, что самим потребителям редко удается отстоять свои права в спорах с теми же страховщиками, банками и иными компаниями, принуждающими их подписывать разрешение на обработку персональных данных. Например, такое согласие, включающее, в частности, предоставление информации о клиентах третьим лицам, закреплено в Условиях выпуска и обслуживания кредитной карты ПАО «Сбербанк России». Не акцептовав (приняв) его, ни один гражданин не может получить карту. Отклонив доводы одного из клиентов о ничтожности такого условия, суд пришел к выводу, что клиент банка была ознакомлена с документом и добровольно его подписала.

АО «Газпром газораспределение Рязанская область» включило согласие в текст договора о техническом обслуживании и ремонте внутридомового (внутриквартирного) газового оборудования. Пытаясь оспорить законность таких действий, клиент Елена Аракелян утверждала, что добровольно согласия не давала, а вынуждена была подписать договор.  Суд отклонил ее иск и констатировал, что потребительница была ознакомлена и согласна с условиями договора, подписав его без каких-либо замечаний.

Москвич Сергей К. стал жертвой спамерской рассылки рекламы «Альфа-банка». Но чтобы подать жалобу через сайт банка, требовалось поставить «галочку», — и таким образом предоставить кредитной организации согласие на обработку персональных данных, в том числе, в целях проведения опросов. Московский городской суд не усмотрел нарушений прав истца.

В настоящее время Роспотребнадзор уже разработал поправки, защищающие клиентов от навязывания незаконных условий. В частности, компании будут не вправе отказывать в продаже товара, оказании услуги или заключении соответствующего договора в связи с отказом потребителя предоставить свои персональные данные. Исключением являются закрепленные законодательством ситуации, когда получение такой информации непосредственно связано с исполнением договора с потребителем. Кроме того, по требованию потенциального клиента компания обязана будет предоставить мотивированный отказ. «Указанные нововведения призваны ограничить практику принудительного или непрозрачного, неосознанного сбора персональных данных потребителей для целей, не связанных с заключением и исполнением договора», — отмечается в пояснительной записке. Этот законопроект в конце мая был одобрен Правительством России и внесен в Госдуму, но до окончания весенней сессии парламентарии не успели его рассмотреть.

В свою очередь Роскомнадзор совместно с Банком России указали на недопустимость получения общего согласия заемщика на обработку его персональных данных неограниченным (неопределенным) кругом операторов или их передачу неограниченному кругу третьих лиц.

«Если согласие заемщика на обработку его персональных данных включено в иные документы (например, заявление о предоставлении потребительского кредита), то рекомендуем кредиторам обеспечить возможность выражения заемщиком согласия <…> путем проставления отдельной подписи в таком документе», — отмечается в информационном письме надзорных органов.

Вместе с тем, у работающих с частными клиентами компаний есть закрепленное в федеральном законе право (пп. 6 части 1 статьи 6 Федерального закона «О персональных данных») обрабатывать персональные данные потребителя без его согласия для исполнения заключенного с ним договора. Также допускается обработка персональных данных в целях оказания государственных и муниципальных услуг.

На практике в каждом конкретном случае продавец или исполнитель должен определить состав обрабатываемых персональных данных. Например, для отправки внутренней посылки интернет-магазину необходимо и достаточно знать фамилию, имя и отчество покупателя, адрес доставки, телефон (для информирования) и электронную почту. Дата рождения, адрес регистрации, паспортные реквизиты и иные сведения очевидно не требуются, а потому их сбор и обработка не являются обоснованными.

Утвержденные Правительством России Правила предоставления гостиничных услуг предписывают отелям включать в договор фамилию, имя и отчество гостя, а также сведения об удостоверяющем его личность документе. Кроме того, административный регламент регистрации граждан по месту пребывания обязывает гостиницы передавать эти сведения в органы внутренних дел. Такая обработка персональных данных будет считаться законной. Тогда как попытка использовать их, скажем, для маркетинговых целей является нарушением.

Открывая счета или вклады, банки в рамках исполнения законодательства о противодействии легализации (отмыванию) преступных доходов и финансированию терроризма обязаны зафиксировать в том числе паспортные данные и место регистрации (проживания или пребывания) клиента, а также снять копии соответствующих страниц документа. В установленных законодательством случаях эта информация должна передаваться в Федеральную службу по финансовому мониторингу (так называемую «финансовую разведку»), в налоговую службу, если проценты по вкладу образуют налогооблагаемый доход, а также в иные органы. При этом, согласно разъяснениям Банка России, кредитные организации не вправе копировать другие страницы паспорта, содержащие сведения о семейном положении, детях, военной обязанности, выданных заграничных паспортах, группе крови и иную информацию, равно как и требовать от клиента предоставить адрес электронной почты. Незаконным финансовый регулятор признал отказ открыть вклад гражданину, отказавшемуся предоставить ИНН и СНИЛС.

Более сложный вариант — оформление кредита или займа. По логике для оценки платежеспособности заемщика банк или микрофинансовая организация могут, а иногда и обязаны, истребовать почти любую информацию, в том числе, о трудовых отношениях, доходах и расходах, накоплениях, семейных обязательствах, наличии детей, имущества и так далее. В ряде случаев оценивается даже состояние здоровья потенциального заемщика. Однако кредитор вправе использовать все эти материалы исключительно в целях заключения договора по инициативе потребителя. Не будет нарушением передача информации в Бюро кредитных историй. Тогда как любое раскрытие собранных персональных данных в не предусмотренных законодательством случаях не допускается.

Действующий федеральный закон предусматривает охрану биометрических персональных данных. Таковыми признаются радужная оболочка глаз, анализы ДНК, рост, вес, отпечатки пальцев, а также иные физиологические или биологические характеристики человека. В том числе — изображение.

Вместе с тем в Роскомнадзоре поясняют (источник: «Разъяснения о вопросах отнесения фото- и видео-изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций»), что фотография и видеозапись относятся к биометрическим персональным данным гражданина только тогда, когда они «позволяют установить его личность и используются оператором для установления личности субъекта». То есть изображение должно не просто храниться в архиве, оно должно быть идентифицировано. Например, для оформления доступа (пропуска), с внесением фотографии в пропуск или базу данных (систему контроля управления доступом). 

В свою очередь, сканирование паспорта для регистрации в отеле или заключения договора оказания банковских или иных услуг, без проведения процедур идентификации (установления личности), по мнению надзорного органа, не может считаться обработкой биометрических персональных данных. «Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными федеральным законом «О персональных данных». Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность», — отмечается в разъяснении Роскомнадзора.

Также не требуется получать согласие у посетителей публичных мест на ведение фото- и видеосъемки и хранение записей. В надзорном ведомстве поясняют, что потенциальных клиентов необходимо заранее информировать о том, что съемка ведется, соответствующими текстовыми и/или графическими предупреждениями. «Видеонаблюдение может осуществляться только для конкретных и заранее определенных целей. Эти цели должны быть обусловлены соответствующими нормативными правовыми актами, устанавливающими правовые основания видеонаблюдения (видеосъемки)», — убеждены в ведомстве.

Судебная практика подтверждает выводы Роскомнадзора. Например, пермская средняя общеобразовательная школа «Мастерград» организовала пропускной режим с автоматической идентификацией лиц учащихся. «Таким образом, в учреждении действует биометрическая система идентификации лиц, в том числе, несовершеннолетних, которая позволяет установить личность владельца пропуска по фотоизображению», — констатировали служители Фемиды. Вместе с тем суд отказался привлекать школу к административной ответственности, поскольку она представила подписанные родителями учащихся согласия на обработку биометрических персональных данных.

Получить такие согласия для оформления пропуска в бассейн предписали мурманскому Учебно-спортивному центру. Арбитражный суд пришел к выводу, что «фотографические изображения являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото и содержащихся на документе фамилии, имени и отчества с лицом предъявителя пропуска». Верховный суд России поддержал такое решение.

Другой пример: суд не усмотрел нарушений в действиях жительницы Астрахани Екатерины М., которая распространила видеозапись с изображением соседки Саблиной Е.В. «Видеозапись не содержит каких-либо сведений, позволяющих идентифицировать гражданку Саблину Е.В. как конкретного субъекта персональных данных. Разговор между субъектами на видеозаписи не сопровождается упоминанием имени заявителя, обстоятельств ее личной жизни, адрес места жительства не упоминается. Текстовая информация о дате и месте съемки на видеозаписи не отображается. Предметы и элементы инфраструктуры в кадре не позволяют установить место видеосъемки», — заключили в региональном управлении Роскомнадзора. Суды трех инстанций признали эти выводы законными и обоснованными.

Неопределенным в российском законодательстве остается порядок использования файлов cookie. Это маленькие файлы, сохраняемые на компьютере пользователя: «Они помогают сайту запомнить информацию о вас, на каком языке вы предпочитаете его просматривать. Это будет полезно при следующем посещении этого же сайта. Благодаря файлам cookie просмотр сайтов становится значительно более удобным», — поясняют в Минкомсвязи.

Многие сайты используют cookie для хранения пользовательских данных. Например, интернет-магазин фиксирует сведения о собранных в «корзину» товарах. Благодаря cookie пользователь может не вводить логин и пароль для авторизации при каждом посещении сайта. В них же накапливаются поисковые запросы и другие сведения.

С другой стороны, через cookie владельцы серверов, которые открыл посетитель, определяют его местонахождение (город или даже район), версию операционной системы и иные технические характеристики компьютера, например, разрешение экрана. Такая информация может использоваться в том числе в целях таргетирования рекламы. Анализ cookie позволяет оценить интересы пользователя, а в ряде случаев — определить его пол и приблизительный возраст, политические взгляды, религиозные или философские убеждения. Более того, данные о посещении сайтов клиник, заказанных лекарствах, запросы о болезнях и другие сведения могут свидетельствовать о состоянии здоровья интернет-пользователя. Такая информация отнесена федеральным законом к специальной категории персональных данных, подлежащих особой защите. Их обработка, чаще всего, допускается только с письменного согласия субъекта (гражданина).

В Роскомнадзоре убеждены, что файлы cookie являются персональными данными: «Они характеризуют пользователя сети интернет. Поэтому их обработка должна осуществляться с соблюдением требований закона», — констатировал заместитель руководителя ведомства Милош Вагнер.

Однако практика правового регулирования обработки cookie остается противоречивой. Например, ПАО «Ростелеком» продавало эти файлы наряду с другими статистическими техническими сведениями для оказания рекламных услуг. Хотя сам массив информации не содержал фамилий или имен пользователей, оператора связи обвинили в нарушении законодательства о персональных данных: «Информация, получаемая ПАО «Ростелеком», позволяет прямо или косвенно идентифицировать пользователя как определенное физическое лицо (субъект персональных данных). Сведений, подтверждающих наличие согласия абонентов на передачу сведений об абонентах, ПАО «Ростелеком» не предоставило», — заключил арбитражный суд, подтверждая совершение вмененного административного правонарушения.

Чаще всего надзорные органы требуют лишь определять правила использования cookie. Информация с правилами, как и описание политики обработки персональных данных, должна быть размещена на сайте и доступна всем посетителям. Например, АО «Почта России» обещает хранить и обрабатывать cookie только «для повышения эффективности работы сайтов», получения информации о предпочтениях пользователей. При первом посещении сайта может быть запрошено согласие. «Если вы отказываетесь от использования файлов cookie, это может привести к тому, что некоторые функции сайта будут вам недоступны», — отмечается в правилах почтового оператора.

Владельцы сайтов, хотя бы частично ориентированных на интернет-пользователей из стран Старого Света, должны соблюдать требования GDPR. Поскольку файлы cookie для маркетинговых целей или для сбора статистики являются необязательными, для их использования на сайте необходимо не просто предупредить посетителя, а получить его активное согласие. Рассмотрев иск Немецкой федерации организаций потребителей против компании Planet49 GmbH, Суд Европейского союза (так называемый Европейский суд справедливости) пришел к выводу, что баннера с надписью «Мы используем файлы cookie» (которую программисты называют «полочкой») недостаточно. Равно как недопустимо автоматически проставлять «галочку»: пользователь должен выразить активное волеизъявление, самостоятельно проставив «галочку» и нажав «ок». За несоблюдение этих требований владельцы интернет-ресурсов могут быть оштрафованы даже на миллионы евро.