1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
9.1) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" и Федеральным законом от 31 июля 2020 года N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами;
10) утратил силу с 1 марта 2021 года. - Федеральный закон от 30.12.2020 N 519-ФЗ;
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
1.1. Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года N 57-ФЗ "О государственной охране".
2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 настоящего Федерального закона.
4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
6. В случае, если оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет оператор и лицо, осуществляющее обработку персональных данных по поручению оператора.
1. В ч. 1 комментируемой статьи еще раз подчеркивается, что принципы, указанные в ст. 5 настоящего Закона, носят характер непосредственного правового предписания, а также конкретизируется перечень оснований, которые придают обработке персональных данных легитимный статус. Все приведенные в комментируемой статье основания касаются "обычных" персональных данных, основания для обработки специальных категорий персональных данных и биометрических данных предусмотрены в ст. ст. 10 и 11 Закона о персональных данных соответственно.
2. Согласие субъекта персональных данных является одним из наиболее часто используемых оснований для легитимизации процессов обработки персональных данных, однако при этом оно является и одним из наиболее "хрупких" как с точки зрения предъявляемых к нему требований, так и с точки зрения возможности его отзыва, что обусловило существование еще ряда дополнительных оснований для обработки персональных данных субъекта в отсутствие такого согласия. Подробно данное основание будет рассмотрено в комментарии к ст. 9 Закона о персональных данных.
3. В п. 2 ч. 1 комментируемой статьи предусматривается, по сути, два основания для обработки персональных данных в отсутствие согласия субъекта: 1) когда это необходимо для целей, предусмотренных международным договором, и 2) когда это необходимо для целей, предусмотренных законодательством РФ, в том числе "для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей". В тех случаях, когда речь идет о наличии международного договора, для применения рассматриваемого основания не требуется прямого упоминания в таком договоре вопросов обработки персональных данных, достаточно установления факта необходимости их обработки для достижения целей сотрудничества, ради которых заключался соответствующий договор (соглашение). На это прямо указывает использование законодателем формулировки "для целей, предусмотренных международным договором", а не "в случаях, предусмотренных международным договором". В качестве примера можно привести ряд международных договоров в сфере авиаперевозок, стороной которых является Российская Федерация <1>. Они не содержат положений об обмене персональными данными, однако такой обмен предполагается в силу необходимости оформления документов, сопровождающих перевозку, а также обеспечения безопасности полетов.
--------------------------------
<1> Чикагская конвенция (Конвенция о международной гражданской авиации заключена в г. Чикаго 7 декабря 1944 г., вступила в силу для Российской Федерации 16 августа 2005 г.), Варшавская конвенция (Конвенция об унификации некоторых правил, касающихся международных воздушных перевозок, заключена в г. Варшаве 12 октября 1929 г., вступила в силу для СССР 13 февраля 1933 г.), Гвадалахарская конвенция (Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых правил, касающихся международных воздушных перевозок, осуществляемых лицом, не являющимся перевозчиком по договору, заключена в г. Гвадалахаре 18 сентября 1961 г.).
Обработка персональных данных в отсутствие согласия субъекта персональных данных может осуществляться и в случае, когда на то есть прямое указание в законодательстве РФ. При этом данная норма оперирует термином "законодательство Российской Федерации", тем самым допуская наличие соответствующих положений не только в федеральных законах, но и в постановлениях Правительства РФ, актах органов государственной власти и субъектов РФ, а также органов местного самоуправления.
В качестве примера можно привести положения так называемого Закона Яровой <1>, которые возлагают на операторов связи обязанности по хранению на территории Российской Федерации информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи в течение трех лет с момента окончания осуществления таких действий, а информации, составляющей текстовые сообщения пользователей услугами связи, голосовую информацию, изображения, звуки, видео-, иные сообщения пользователей услугами связи, - до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки (см. п. 1 ст. 54 Федерального закона от 7 июля 2003 г. N 126-ФЗ "О связи", вступающий в силу с 1 июля 2018 г.). Обязанность по хранению метаданных предусмотрена также и для организаторов распространения информации в сети Интернет (см. ч. 3 ст. 10.1 Закона об информации) <2>.
--------------------------------
<1> Федеральный закон от 6 июля 2016 г. N 374-ФЗ "О внесении изменений в Федеральный закон "О противодействии терроризму" и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности".
<2> О понятии "организатор распространения информации в сети Интернет см.: Савельев А.И. Комментарий к Федеральному закону от 27 июня 2006 г. N 149-ФЗ "Об информации, информационных технологиях и защите информации" (постатейный). М.: Статут, 2015.
Представляется, что сам по себе факт наличия соответствующего "легитимирующего" основания в каком-либо нормативно-правовом акте законодательства РФ не означает, что предусмотренная им обработка автоматически соответствует требованиям Закона о персональных данных. Принципы обработки персональных данных, закрепленные в ст. 5 Закона о персональных данных, должны соблюдаться в любом случае, равно как и иные положения данного Закона. В противном случае его действие в отношении государственного сектора фактически сведется к фикции, поскольку государство в лице соответствующего органа всегда сможет создать для себя максимально благоприятные условия для обработки персональных данных граждан, не руководствуясь ни интересами последних, ни интересами общества и бизнеса.
4. Обработка персональных данных без согласия субъекта допустима для целей, связанных с осуществлением правосудия или исполнительного производства. В тех случаях, когда в качестве оператора выступает соответствующий орган власти (суд, административный орган, судебный пристав), данное основание является частным случаем предыдущего, поскольку осуществление указанных функций детально регламентировано законом. Однако комментируемый пункт легитимирует обработку персональных данных частными лицами (например, сторонами по делу, свидетелями, их представителями), которые на его основании могут указывать в процессуальных документах персональные данные других лиц без их согласия. Следует отметить, что рассматриваемое основание для обработки персональных данных касается именно процессов осуществления судопроизводства и исполнения судебных актов. Обработка персональных данных, осуществляемая при предоставлении доступа к информации о деятельности судов в порядке, установленном Федеральным законом от 22 декабря 2008 г. N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации", не охватывается действием Закона о персональных данных (см. комментарий к ст. 1 Закона).
5. Обработка персональных данных без согласия субъекта может производиться для целей осуществления полномочий государственных и муниципальных органов, в том числе для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг. В этой связи требование от гражданина дополнительного согласия на обработку его персональных данных является неправомерным (Постановление Четырнадцатого арбитражного апелляционного суда от 25 апреля 2013 г. по делу N А44-7781/2012; Апелляционное определение Костромского областного суда от 16 мая 2012 г. по делу N 33-703А).
Приведенное основание для обработки персональных данных также легитимирует передачу таких данных в ответ на предъявленные государственными и муниципальными органами в пределах их полномочий требования о предоставлении документов, в которых могут содержаться персональные данные. Отказ в предоставлении таких документов может влечь административную ответственность (ст. ст. 19.7, 19.8 КоАП РФ и др.).
6. Пункт 5 ч. 1 комментируемой статьи содержит одно из важнейших оснований для обработки персональных данных в отсутствие согласия субъекта, которое может быть использовано в коммерческой деятельности оператора. Речь идет о возможности обработки персональных данных физического лица, если это необходимо для заключения и (или) исполнения договора, стороной, выгодоприобретателем или поручителем по которому он является. Данное основание действует только в тех случаях, когда субъект персональных данных является участником договора в одной из тех форм, которые указаны в Законе: выступает стороной, выгодоприобретателем или поручителем. Таким образом, данное основание не распространяется, в частности, на случаи, когда договор заключается между оператором и организацией, являющейся работодателем субъекта.
Комментируемое положение не содержит конкретизации типа договора, в этой связи оно применимо как к гражданско-правовым договорам, так и к трудовому договору.
Содержание понятия "выгодоприобретатель" зависит от типа заключаемого договора и обстоятельств его заключения. Так, в гражданском законодательстве под выгодоприобретателем может пониматься лицо, в пользу которого заключен договор (ст. 430 ГК РФ), в частности таковым может быть: лицо, в пользу которого застраховано имущество по договору страхования (ст. 930 ГК РФ); лицо, в интересах которого осуществляется доверительное управление имуществом (ст. 1012 ГК РФ); лицо, в пользу которого открыт банковский вклад (ст. 842 ГК РФ). В публично-правовой сфере под выгодоприобретателем понимается лицо, к выгоде которого действует клиент, в том числе на основании агентского договора, договоров поручения, комиссии и доверительного управления, при проведении операций с денежными средствами и иным имуществом (ст. 3 Федерального закона от 7 августа 2001 г. N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма").
Под поручителем понимается лицо, являющееся стороной договора поручительства. По договору поручительства поручитель обязывается перед кредитором другого лица отвечать за исполнение последним его обязательства полностью или в части (п. 1 ст. 361 ГК РФ). Отношения поручительства регулируются ст. ст. 361 - 367 ГК РФ.
Комментируемое основание для обработки персональных данных применяется только к тем данным и способам обработки, которые безусловно необходимы для заключения или исполнения договора, например для осуществления оплаты товара (услуги), доставки, послегарантийного обслуживания. Такие способы обработки, как продажа персональных данных третьим лицам для целей предоставления рекламных услуг, составления профайлов пользователей, осуществления маркетинговых исследований и т.п., к ним не относятся. В этой связи для их осуществления необходимо использование иных оснований, в частности согласия субъекта. При этом хранение и предоставление соответствующей информации о договоре в уполномоченные органы (налоговые органы, органы валютного контроля) могут осуществляться оператором в соответствии с п. 2 ч. 1 ст. 6 Закона о персональных данных.
С 1 января 2017 г. из п. 5 ч. 1 комментируемой статьи было исключено положение о возможности обработки персональных данных без согласия субъекта в виде уступки оператором своих прав в соответствии с договором. Таким образом, с указанной даты оператор не может осуществлять уступку права требования оплаты по договору коллекторам или иным лицам без согласия субъекта персональных данных. Его согласие может быть выражено в основном договоре, при условии соответствия последнего требованиям ст. 9 Закона о персональных данных (см. комментарий к указанной статье). При этом само по себе принятие заемщиком стандартных условий договора банка не может служить безусловным выражением личного согласия заемщика и в силу отсутствия у него специальных познаний в указанной области с учетом того, что в отношениях между банком - исполнителем услуги по предоставлению заемщику денежных средств (кредита) и гражданином последний является экономически слабой стороной и нуждается в особой защите своих прав (Постановление Девятого арбитражного апелляционного суда от 5 ноября 2013 г. N 09АП-34398/2013 по делу N А40-20717/13). В определенных обстоятельствах такое условие может быть признано недействительным как ущемляющее права потребителя <1>.
--------------------------------
<1> См. подробнее: Карапетов А.Г., Савельев А.И. Свобода договора и ее пределы. М.: Статут, 2012. Т. 2. С. 382 - 385.
7. Пункт 6 ч. 1 комментируемой статьи содержит достаточно экзотическое условие обработки персональных данных в отсутствие согласия субъекта, а именно условие о том, что обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (в частности, по причине бессознательного состояния такого лица, его безвестного отсутствия, лишения дееспособности и т.д.). Данное основание предполагает самостоятельное определение оператором жизненно важных интересов субъекта (к числу которых может относиться защита его жизни и здоровья), а также обусловленную объективными обстоятельствами невозможность использования основания, предусмотренного п. 1 ч. 1 ст. 6 Закона о персональных данных (согласие субъекта персональных данных). Примером служит размещение заинтересованными гражданами в социальных сетях объявления о пропаже определенного человека с указанием его примет и иных персональных данных. К таким же исключениям можно потенциально отнести и обработку персональных данных малолетних детей их родителями или иными законными представителями.
8. Обработка персональных данных без согласия субъекта персональных данных возможна, если она необходима для осуществления прав и законных интересов оператора, третьих лиц или для достижения общественно значимых целей, но при условии ненарушения прав и законных интересов субъекта персональных данных. Это положение дает определенную степень усмотрения оператору при решении вопросов обработки персональных данных, снижая степень его зависимости от согласия субъекта персональных данных. Оператор может оправдать осуществляемую им обработку своими законными правами и интересами либо законными правами и интересами иных лиц, а равно публичным интересом. Однако при этом ему необходимо также продемонстрировать, что такого рода обработка не имеет негативных последствий для субъектов персональных данных, и принять на себя риск возможного несогласия с этой оценкой субъектов или уполномоченных органов по защите персональных данных. Бремя доказывания наличия всех указанных условий лежит на операторе.
На практике данное основание использовалось, в частности, для оправдания права банка, выступающего в качестве собственника здания, получать и обрабатывать информацию о проживающих в нем лицах (Постановление Арбитражного суда Северо-Кавказского округа от 8 сентября 2015 г. N Ф08-6355/2015 по делу N А63-12601/2014). Данное основание также может использоваться для легитимации функционирования пропускного режима на территории оператора, поскольку в таком случае можно говорить об общественно полезной цели - обеспечении безопасности работников оператора и посетителей (Апелляционное определение Московского городского суда от 18 июня 2015 г. по делу N 33-20949/2015). Примером обработки персональных данных для целей защиты прав и законных интересов третьих лиц служит предоставление оператором имеющихся у него сведений о сособственнике такого третьего лица, которые необходимы последнему для защиты своих прав и законных интересов в отношении совместного имущества.
Интерес вызывает и вопрос о допустимости использования данного основания для обоснования введения системы видеонаблюдения за деятельностью работников на рабочем месте. Как отмечает Роскомнадзор в своих разъяснениях, при соблюдении определенных условий это возможно. К таким условиям относится отражение в локальном нормативном акте организации (например, в правилах внутреннего трудового распорядка) факта наличия систем слежения с обоснованием производственной необходимости в их установке <1>. Кроме того, целесообразно обеспечить наличие в каждом рабочем помещении, где установлено видеооборудование, соответствующей таблички-предупреждения о видеозаписи. Примечательно, что недавняя практика ЕСПЧ также исходит из наличия у работодателя права контролировать, как работники исполняют свои трудовые обязанности, в том числе с использованием технических средств <2>.
--------------------------------
<1> Разъяснения Роскомнадзора от 2 сентября 2013 г. "О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки" // СПС "КонсультантПлюс".
<2> Постановление ЕСПЧ от 12 января 2016 г. по делу Бэрбулеску (Barbelescu) против Румынии (жалоба N 61496(08)). В данном случае речь шла о праве работодателя осуществлять контроль за использованием трафика и просматривать аккаунт мессенджера, используемого работником на рабочем компьютере.
Отечественные суды порой также решают вопрос в пользу работодателя, однако используя более прямолинейную логику. Так, один из судов в своем решении указал, что "использование работодателем средств видеофиксации не нарушает основные конституционные права истца, поскольку видеозапись рабочего процесса не является раскрытием персональных данных работника и не используется для того, чтобы установить обстоятельства его частной жизни либо его личную и семейную тайну" (Апелляционное определение Московского городского суда от 4 августа 2016 г. N 33-30048/2016). Другой суд пришел к выводу о том, что "установка системы видеонаблюдения... связана с обеспечением безопасности, в силу чего не является источником получения персональных данных работника по смыслу, заложенному в Федеральном законе "О персональных данных" (Апелляционное определение Свердловского областного суда от 25 марта 2016 г. по делу N 33-5427(2016)). Как видно, суды в таких случаях вообще рассматривают подобные действия как выходящие за рамки законодательства о персональных данных. Это вряд ли можно признать корректным, на что косвенно указывает и отсутствие каких-либо аргументов у суда, кроме беспомощной ссылки на "смысл закона". При таких обстоятельствах, как представляется, даже если они и признают применимость закона, вряд ли будут возражать против применения положений п. 7 ч. 1 ст. 6 Закона о персональных данных для ее легитимации.
В Регламенте 2016 г. аналогичное основание, содержащееся в Директиве 1995 г., дополнено положениями, согласно которым оно не может быть использовано в случаях, когда речь идет об обработке персональных данных несовершеннолетних (ст. 6 (1) (f)).
9. Обработка персональных данных допустима без согласия субъекта в тех случаях, когда она осуществляется в общественном интересе, таком как реализация права на свободу слова (ст. 29 Конституции РФ) профессиональным журналистом и (или) в рамках законной деятельности средства массовой информации, а также для реализации права на свободу литературного, художественного, научного, технического и других видов творчества, преподавания (ст. 44 Конституции РФ). Однако при этом в положении п. 8 ч. 1 ст. 6 Закона о персональных данных делается оговорка о недопустимости нарушения прав и законных интересов субъекта персональных данных.
Следует отметить, что комментируемое основание формально относится только к профессиональным журналистам, т.е. лицам, занимающимся редактированием, созданием, сбором или подготовкой сообщений и материалов для редакции зарегистрированного средства массовой информации, связанным с ней трудовыми или иными договорными отношениями либо занимающимся такой деятельностью по ее уполномочию <1>. Данный статус не распространяется на так называемых блогеров, в том числе тех из них, которые обозначены как таковые в ст. 10.2 Закона об информации и внесены в соответствующий реестр Роскомнадзора (согласно указанной статье к ним относится "владелец сайта и (или) страницы сайта в сети Интернет, на которых размещается общедоступная информация и доступ к которым в течение суток составляет более трех тысяч пользователей сети Интернет).
--------------------------------
<1> См.: ст. 2 Закона РФ от 27 декабря 1991 г. N 2124-1 "О средствах массовой информации".
Под средством массовой информации понимается "периодическое печатное издание, сетевое издание, телеканал, радиоканал, телепрограмма, радиопрограмма, видеопрограмма, кинохроникальная программа, иная форма периодического распространения массовой информации под постоянным наименованием (названием)". Интернет-сайт по общему правилу СМИ не является, хотя в добровольном порядке может быть зарегистрирован как сетевое издание (см. ст. 8 Закона РФ "О средствах массовой информации"). Поэтому если интернет-ресурс не имеет регистрации в качестве СМИ, он не может воспользоваться комментируемым основанием для обработки персональных данных без согласия субъекта. Невозможность использования рассматриваемого основания блогерами и интернет-ресурсами в определенной степени компенсируется достаточно широким понятием литературной и иной творческой деятельности, формально охватывающим блоги и иные заметки, которые размещаются на интернет-ресурсах. Однако данное основание не безгранично: соответствующие публикации не должны влечь нарушений прав субъектов персональных данных, иными словами, они не должны являться вторжением в частную жизнь таких субъектов. Поэтому для различного рода "разоблачений" и расследований деятельности чиновников и иных публичных лиц оно подходит мало. В этой связи европейская практика подходит к данному вопросу гораздо более либерально, понимая под обработкой персональных данных в журналистских целях все случаи, когда соответствующие действия имеют своей целью "раскрытие общественности информации, мнений или идей, безотносительно к используемым средствам коммуникации и носителям информации, а также наличию или отсутствию факта получения прибыли за указанную деятельность" (Tietosuojavaltuutettu v. Satakunnan Markkinaporssi Oy and Satamedia Oy, ECJ, C-73/07, 16 December 2008).
Обработка персональных данных авторов научных работ или иных лиц, осуществляемая при написании работ, имеющих учебную или научную направленность, охватывается комментируемым основанием для обработки персональных данных как осуществляемая в рамках "научной, литературной или иной творческой деятельности".
Следует отметить, что комментируемое основание для обработки персональных данных может быть использовано только в той мере, в которой не нарушаются права и законные интересы субъекта персональных данных. Такое нарушение может иметь место, например, при описании события преступления с указанием персональных данных обвиняемого, потерпевшего и иных участников процесса (Постановление Верховного суда Республики Саха (Якутия) от 29 октября 2015 г. N 4а-547/2015). Кроме того, необходимо принимать во внимание положения ст. 41 Закона РФ "О средствах массовой информации", в частности об обязанности редакции разглашать в распространяемых сообщениях и материалах сведения, прямо или косвенно указывающие на личность несовершеннолетнего, совершившего преступление либо подозреваемого в его совершении, а равно совершившего административное правонарушение или антиобщественное действие, без согласия самого несовершеннолетнего и его законного представителя.
10. Допустимость обработки персональных данных без согласия их субъекта для статистических или иных исследовательских целей при условии обезличивания таких данных является важным проявлением направленности законодательства о персональных данных не только на защиту неприкосновенности частной жизни, но и на защиту интересов оператора и общества в целом. Фактически это главное легитимирующее основание (помимо согласия субъекта и законных интересов оператора) для различного рода действий с "большими данными", которые включают в себя персональные данные, учитывая, что использование "больших данных" всегда так или иначе сопряжено с деятельностью, которую специалисты по статистике определили бы как "статистическую" <1>. Однако в силу прямого указания п. 9 ч. 1 ст. 6 Закона о персональных данных такая обработка не должна использоваться для целей продвижения товаров, работ или услуг, а также для политической агитации. Таким образом, профайлинг, осуществляемый в коммерческих целях, рассматриваемое основание само по себе не может легитимировать.
--------------------------------
<1> Так, статистику определяют как отрасль знаний, объединяющую принципы и методы работы с числовыми данными, характеризующими массовые явления. См.: Елисеева И.И., Юзбашев М.М. Общая теория статистики. М., 2004. С. 13.
Кроме того, следует отметить, что данное основание касается только "обычных" персональных данных, не затрагивая специальные их категории (например, данные о здоровье), а ст. 10 Закона о персональных данных, посвященная основаниям для обработки таких данных без согласия субъекта, в свою очередь, не содержит аналогичного положения (об обезличивании см. комментарий к ст. 3 настоящего Закона).
Следует отметить, что схожее основание не было предусмотрено в Директиве 1995 г. и нашло свое отражение лишь в Регламенте 2016 г. (ст. 9 (2) (j)), правда, в отличие от российского подхода, в Европе оно прямо распространяется на обработку персональных данных специальных категорий и несколько расширено включением в перечень оснований не только статистических и исследовательских целей, но также "архивирования данных в публичном интересе" и осуществления "исторических исследований". При этом должны обеспечиваться гарантии защиты прав субъектов персональных данных (в частности, посредством обезличивания данных), а также уважаться право на защиту персональных данных (essence of the right to data protection). К сожалению, Регламент 2016 г. не конкретизирует, в чем состоит существо данного права, оставляя этот вопрос на усмотрение правоприменительной практики.
11. Закон о персональных данных разрешает обработку общедоступных персональных данных без согласия их субъекта (п. 10 ч. 1 ст. 6), правда, при условии, что они стали таковыми по воле субъекта персональных данных, т.е. в результате его самостоятельных действий или действий иных лиц, но по его просьбе. Примером общедоступных данных являются сведения, размещенные пользователем в социальной сети или на специализированных ресурсах по поиску работы. Такого рода сведения могут обрабатываться потенциальными работодателями при рассмотрении кандидатуры соискателя на должность без получения согласия с его стороны <1>.
--------------------------------
<1> См.: абз. 12 п. 5 разъяснений Роскомнадзора "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве" // СПС "КонсультантПлюс".
В некоторых случаях общедоступными персональные данные становятся в результате действий других лиц, например работодателя субъекта. Так, в соответствии с требованиями законодательства образовательное учреждение должно размещать на своем официальном сайте в сети Интернет информацию, содержащую следующие персональные данные: фамилию, имя, отчество учредителя образовательного учреждения, его место нахождения, график работы, адрес электронной почты; фамилию, имя, отчество руководителя образовательного учреждения, его место нахождения, график работы, адрес электронной почты; справочные телефоны, фамилии, имена, отчества, должности руководителей структурных подразделений, включая филиалы и представительства, места их нахождения, графики работы, адреса электронной почты; информацию о персональном составе педагогических (научно-педагогических) работников, их фамилии, имена, отчества, занимаемые должности, уровень образования, квалификацию, наличие ученой степени, ученого звания <1>. В данном случае, принимая во внимание, что работник приобретает персональный статус в результате своего волеизъявления и что именно с возникновением указанного статуса связана публикация информации о нем в общедоступных источниках, можно говорить о том, что данная информация стала общедоступной по воле этого работника.
--------------------------------
<1> Постановление Правительства РФ от 10 июля 2013 г. N 582 "Об утверждении Правил размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети Интернет и обновления информации об образовательной организации".
Наличие в Законе о персональных данных специального основания для обработки общедоступных данных не означает, что оно освобождает оператора от необходимости соблюдать иные положения Закона о персональных данных, в частности принципы обработки таких данных. Из того факта, что данные оказались в сети Интернет, не следует, что любое лицо может с ними делать все, что хочет. В частности, то, что соответствующие сведения размещаются в сети Интернет в связи с осуществлением субъектом трудовой деятельности, не означает, что такие данные могут использоваться оператором в иных целях, не связанных с такой деятельностью. При этом показательным является спор, в котором суд признал недопустимым использование доступного в сети Интернет номера телефона, который был размещен в связи с осуществлением субъектом профессиональной деятельности, для звонков с целью погашения его задолженности по кредитному договору. Суд не принял во внимание довод ответчика о том, что "информация с телефонным номером истца размещена в сети Интернет, что исключает необходимость получения согласия субъекта на обработку его общедоступных персональных данных", поскольку "телефонный номер истца был размещен в сети Интернет в целях оказания юридических услуг, в то время как ответчик воспользовался персональными данными истца с другой целью, а именно с целью доведения до Г.А.В. через К. информации в связи с задолженностью по кредиту" (Апелляционное определение Нижегородского областного суда от 11 октября 2016 г. по делу N 33-12355/2016).
Если субъект персональных данных оспаривает факт размещения им или иным лицом по его просьбе соответствующих сведений в сети Интернет, то рассматриваемое основание для обработки персональных данных не может применяться. В одном из споров суд указал в этой связи, что "факт волеизъявления субъекта персональных данных на размещение персональных данных для доступа неограниченного круга лиц материалами дела не подтвержден, напротив, именно... являлся инициатором возбуждения дела об административном правонарушении по факту незаконной публикации его персональных данных" (Постановление Хабаровского краевого суда от 5 марта 2015 г. по делу N 4-А-44/15).
12. Последнее основание для обработки персональных данных в отсутствие согласия субъекта персональных данных касается случаев обязательного раскрытия информации в соответствии с требованиями федерального закона. Данное основание представляется излишним, поскольку лицо, которое обязано раскрывать или публиковать персональные данные в силу закона, могло бы это делать на основании п. 2 ч. 1 ст. 6 Закона о персональных данных "для выполнения возложенных законодательством РФ на оператора обязанностей".
Примером такого рода требований законодательства являются положения, обязывающие граждан, претендующих на замещение должностей государственной или муниципальной службы, раскрывать сведения о своих доходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера своих супругов и несовершеннолетних детей (ст. 8 Федерального закона от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции"). Другим примером являются требования законодательства о банкротстве, в соответствии с которыми подлежат публикации сведения о наименовании должника, его адресе и идентифицирующих сведениях (государственный регистрационный номер записи о государственной регистрации юридического лица, государственный регистрационный номер записи о государственной регистрации индивидуального предпринимателя, идентификационный номер налогоплательщика, страховой номер индивидуального лицевого счета) (п. 8 ст. 28 Федерального закона от 26 октября 2002 г. N 127-ФЗ "О несостоятельности (банкротстве)"). Достаточно много требований подобного рода в законодательстве о выборах.
После того как соответствующие сведения, составляющие персональные данные, опубликованы в общедоступных источниках, они могут обрабатываться иными лицами на основании п. 10 ч. 1 ст. 6 Закона о персональных данных.
13. Часть 3 комментируемой статьи регулирует статус лица, осуществляющего обработку персональных данных по поручению оператора, которое в европейской практике именуется "обработчиком" (data processor).
В качестве лиц, выступающих обработчиками персональных данных, могут выступать, в частности, провайдеры "облачных" сервисов; организации, осуществляющие расчеты заработной платы на условиях аутсорсинга (payroll companies); организации, в чьих дата-центрах размещаются серверы оператора персональных данных (co-location); агенты, привлеченные кредитором для взыскания задолженности по договору (Постановление Арбитражного суда Северо-Западного округа от 6 мая 2015 г. N Ф07-488/2015 по делу N А21-4273/2014).
Комментируемая норма указывает ряд условий, при которых лицо приобретает статус оператора. В поручении оператора обработчику (1) должен быть дан перечень действий (операций) с персональными данными, которые будут совершаться обработчиком; (2) определены цели обработки, а также (3) должны быть установлены обязанности обработчика соблюдать конфиденциальность персональных данных и обеспечивать их безопасность с указанием требований к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона о персональных данных.
Отсутствие одного из указанных условий может быть истолковано как нарушение законодательства о персональных данных (Постановление ФАС Северо-Западного округа от 29 апреля 2013 г. по делу N А44-5910/2012).
Закон никак не конкретизирует форму и характер такого поручения, которое может представлять собой отдельный договор или совокупность условий в ином договоре. При этом, несмотря на использование законодателем слова "поручение", данное соглашение не может быть квалифицировано в качестве договора поручения, поскольку предметом этого договора является совершение юридических действий (ст. 971 ГК РФ), в то время как предметом поручения оператора является совершение преимущественно фактических действий, а именно действий по обработке данных. В некоторых случаях такое поручение оператора будет отвечать квалифицирующим признакам агентского соглашения (в соответствии с п. 1 ст. 1005 ГК РФ по агентскому договору одна сторона (агент) обязуется за вознаграждение совершать по поручению другой стороны (принципала) юридические и иные действия от своего имени, но за счет принципала либо от имени и за счет принципала). В иных случаях, например в "облачных" сервисах или при хостинге, данный договор будет скорее договором возмездного оказания услуг (гл. 39 ГК РФ). В принципе в некоторых случаях не исключена возможность квалификации такого договора и как договора особого рода (sui generis).
Вторым условием законности привлечения обработчика является получение оператором согласия от субъекта персональных данных на такое действие, за исключением случаев, установленных федеральными законами (см., например, абз. 6 ч. 1 ст. 53 Федерального закона от 7 июля 2003 г. N 126-ФЗ "О связи"). Согласие субъекта персональных данных может быть выражено как в самом договоре <1>, так и отдельно. Например, в одном деле условие договора, предусматривавшее, что лицо "дает банку право обрабатывать его персональные данные различными способами, в том числе привлекая другие организации", было признано судом достаточным для данной цели (Апелляционное определение Верховного суда Республики Татарстан от 28 января 2016 г. по делу N 33-1566/2016). Однако, как представляется, данное согласие не соответствует в полной мере требованиям ст. 9 Закона о персональных данных (см. комментарий к указанной статье). При этом в качестве предусмотренного федеральным законом легитимирующего основания привлечения обработчика без согласия субъекта могут выступать соответствующие положения Закона о персональных данных о допустимости обработки оператором персональных данных без согласия субъекта, поскольку привлечение обработчика представляет собой разновидность обработки в виде предоставления персональных данных. Такой подход в большинстве случаев разделяется судебной практикой (Постановление ФАС Уральского округа от 28 ноября 2013 г. N Ф09-12778/13 по делу N А60-6044/2013; Апелляционные определения Санкт-Петербургского городского суда от 4 декабря 2014 г. N 33-16220/2014 по делу N 2-2991/2014; Ульяновского областного суда от 15 июля 2014 г. по делу N 33-2368/2014; Московского городского суда от 14 мая 2014 г. по делу N 33-9801; Рязанского областного суда от 19 февраля 2014 г. N 33-358).
--------------------------------
<1> См.: Определение Конституционного Суда РФ от 28 января 2016 г. N 100-О, в котором сказано: "В силу приведенных законоположений управляющая организация, с тем чтобы иметь возможность осуществлять деятельность по управлению многоквартирным домом, обязана получить у собственников и нанимателей жилых помещений согласие на обработку персональных данных, в том числе на их передачу третьим лицам, причем данное согласие может быть включено в качестве условия в договор управления многоквартирным домом".
Привлечение обработчика персональных данных в отсутствие согласия их субъекта или разрешения закона представляет собой нарушение оператором законодательства о персональных данных (Постановление ФАС Уральского округа от 18 марта 2014 г. N Ф09-1152/14 по делу N А34-3659/2013). Сам обработчик не может быть привлечен к ответственности за отсутствие такого согласия в силу прямого указания закона (ч. 4 ст. 6 Закона о персональных данных).
Отличительной особенностью статуса обработчика персональных данных является то, что он не имеет обязанностей непосредственно перед субъектом персональных данных, ответственность за его действия несет именно оператор (ч. 5 ст. 6 Закона о персональных данных). Иными словами, субъект персональных данных не может предъявлять свои требования напрямую обработчику, такие требования должны быть предъявлены непосредственно оператору. Однако не следует забывать, что одно и то же лицо может выступать по отношению к различным персональным данным и в роли оператора, и в роли лица, осуществляющего обработку персональных данных по поручению оператора, в связи с чем оно все равно будет вынуждено соблюдать все основные положения законодательства о персональных данных. Так, организация, привлеченная для расчета зарплаты, будет выступать обработчиком в отношении персональных данных субъектов - работников заказчика, однако в отношении своих собственных работников такая организация будет выступать оператором.
