Актуальные проблемы защиты персональных данных при их обработке в информационных системах

В эпоху активного развития интернет-технологий вопрос правовой защиты персональных данных граждан стоит особенно остро. При этом одной из главных проблем, на которую обращают внимание исследователи, является: «… латентный характер посягательств на частную жизнь граждан» [1, с. 62]. Речь идет о том, что в ряде случаев субъект персональных данных вполне может не догадываться о том, что соответствующие сведения о нем незаконным образом собираются, обрабатываются, хранятся, изменяются и/или передаются третьим лицам.

Актуальным примером такого неправомерного использования персональных данных является распространение в сети Интернет соответствующих адресно-телефонных справочников. Увы, год от года количество таких нарушений только растет. Так, согласно публичному докладу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в 2016 году был заблокирован 21 адресно-телефонный справочник и прекращена неправомерная обработка персональных данных 70 млн человек, а уже через год, в 2017-м, Роскомнадзор внес в реестр нарушителей 59 адресно-телефонных справочников, которые распространяли персональные данные пользователей без правовых оснований, и данные справочники обрабатывали личные данные уже более 100 млн человек [2, с. 70].

С учетом роста количества нарушений, по нашему мнению, целесообразно говорить о расширении полномочий органов Роскомнадзора по проведению внеплановых проверок по жалобам граждан. При этом только ужесточением ответственности вряд ли можно решить проблему — необходимо также использовать дополнительные меры информирования граждан и операторов персональных данных о требованиях закона и о возможных последствиях его нарушений.

Еще одной важной проблемой в рассматриваемой сфере является отсутствие четкой правовой регламентации процесса трансграничной передачи персональных данных российских граждан — в глобальной информационной среде нет географических и геополитических границ, что закономерно способствует появлению неурегулированных правом общественных отношений и влияет на отсутствие надлежащей правовой защиты их участников.

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» [3], придерживаясь общей тенденции российского законодательства, определяет некие направления в сфере пресечения противоправной деятельности интернет-ресурсов за пределами Российской Федерации. Так, он устанавливает, что трансграничная передача персональных данных на территории иностранных государств может быть запрещена или ограничена в целях обеспечения защиты конституционных основ Российской Федерации, обеспечения нравственности, здоровья, прав и законных интересов граждан, а также государственной безопасности (п. 1 ст 12 ФЗ). Оператор персональных данных в этом случае, соответственно, обязан осуществлять адекватную защиту прав субъектов, чьи персональные данные подвергаются трансграничной передаче (п. 3 ст. 12 ФЗ).

При этом, несмотря на использование такой терминологии, закон не содержит определения понятия «адекватная защита». В связи с этим, по нашему мнению, возникает возможность неоднозначного толкования действий (бездействия), связанных с трансграничной передачей персональных данных, что становится благодатной почвой для различного рода злоупотреблений.

Определяя смысл и содержание понятия «адекватная защита», следует учитывать, что в ряде случаев при трансграничной передаче персональных данных государства-участники Конвенции о защите физических лиц при автоматизированной обработке персональных данных [4] вправе в некоторой степени отступать от принципов адекватности в пользу обеспечения собственной национальной безопасности. В связи с этим логично не просто определить на законодательном уровне адекватную защиту, но и ввести критерии, позволяющие провести границу между адекватной и неадекватной защитой субъектов персональных данных.

Обращаясь к судебной практике по рассматриваемой теме, отметим, что в ряде случаев суды сталкиваются с низкой юридической грамотностью истцов, ошибочно трактующих размещение информации о себе в качестве нарушения соответствующего законодательства; кроме того, нередко они неверно определяют круг сведений, относимых к охраняемой информации.

Так, в апелляционном определении Верховного Суда Республики Татарстан по делу № 33–6211/2015 от 27 апреля 2015 г. [5] указано, что, в частности, голос человека не отнесен к числу биометрических персональных данных, защита которых осуществляется в соответствии с законом, в связи с чем истцу было отказано во взыскании компенсации морального вреда.

Четвертый арбитражный апелляционный суд, рассматривая дело, связанное с персональными данными граждан, которые откликались и/или претендовали на вакантное место в организации, указал на то, что работодатель имеет право обрабатывать персональные данные соискателей на вакантные должности и хранить их резюме, формируя в том числе электронную базу данных («кадровый резерв»), но лишь в случае получения от них письменного согласия на соответствующие действия. При этом если кандидату отказывают в приеме на работу, все предоставленные им данные подлежат уничтожению [7].

Таким образом, имеющееся в законодательстве определение субъекта персональных данных в настоящее время не в полной мере отвечает запросам современного общества и, очевидно, назрела необходимость легальной конкретизации его содержания с учетом сложившихся тенденций правоприменения.

На основании изложенного можно сделать вывод о том, что в настоящее время гарантии защиты персональных данных, а также прав и законных интересов граждан в должной мере не обеспечиваются, а в рассматриваемой сфере имеется множество как теоретических, так и правоприменительных проблем.

Литература:

1. Даукаев И. М., Журавленко Н. И. Проблемы правовой и организационной защиты персональных данных (монография) // Международный журнал экспериментального образования. — 2013. — № 9. — С. 62–63;
2. Публичный доклад Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, 2017 г. // Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. URL: https://rkn.gov.ru/docs/doc_2326.pdf (дата обращения: 20.01.2020).
3. Федеральный закон от 27.07.2006 N 152-ФЗ (в ред. от 31.12.2017) «О персональных данных» // Российская газета. — N 165. — 29.07.2006.
4. «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» (Заключена в г. Страсбурге 28.01.1981) (вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999) // Собрание законодательства РФ. — 03.02.2014. — N 5, ст. 419.
5. Апелляционное определение Верховного Суда Республики Татарстан № 33–6211/2015 от 27 апреля 2015 г. по делу № 33–6211/2015 // Судебные и нормативные акты РФ. URL: https://sudact.ru/regular/doc/xfPJzn4JSDxq/ (дата обращения: 21.01.2020).
6. Определение Верховного Суда РФ от 05.03.2018 N 307-КГ18–101 по делу N А42–342/2017 // СПС «КонсультантПлюс».
7. Постановление Четвертого арбитражного апелляционного суда от 07.02.2018 N 04АП-127/2018 по делу N А19–17054/2017 // СПС «КонсультантПлюс».