Действующее законодательство о персональных данных и практика его применения не играет какой бы то ни было существенной роли в юридическом сопровождении избирательных и политических кампаний. При этом надо подчеркнуть, что всегда нельзя исключать перспективы очередного изменения действующего законодательства в плане ужесточения и уточнения ответственности за незаконное использование и обработку персональных данных или, как минимум активного применения имеющих возможностей в рамках Кодекса об административных правонарушений. Кроме того, немаловажен тот фактор, что использование персональных данных, например в программном обеспечении на выборах пока не получило того развития, как в других странах, особенно если говорить о «белой» составляющей. «Чёрную» и «серую» составляющие данного вопроса юридически отрегулировать и отработать, как минимум, в вопросе сбора доказательной базы значительно тяжелее, и то при привлечении правоохранительных органов, то есть при только наличии «административной» поддержки.
Основной закон, регулирующий данный вопрос: Федеральный закон от 27.07.2006 N 152-ФЗ"О персональных данных" (далее по тексту – ФЗ-152).
Напрямую политических кампаний в законе касаются три статьи:
1. статья 3, где даются основные понятия:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2. статья 10, где говорится о специальных категориях персональных данных:
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2.
2. Обработка указанных в части 1 специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные сделаны общедоступными субъектом персональных данных;
2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения";
2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;
10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.
3. статья 15, где говорится о правах субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации:
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено. Таким образом, обработка персональных данных допускается только при условии предварительного согласия субъекта персональных данных. Причем обязанность по доказыванию получения такого согласия лежит на операторе.
В то же время если персональные данные обрабатываются в целях исполнения договора, одной из сторон которого является субъект персональных данных, то в соответствии с п. 5 ч. 1 ст. 6 ФЗ-152 согласия этого субъекта не требуется.
На практике встречаются случаи, когда оператор, ссылаясь на п. 5 ч. 1 ст. 6 ФЗ-152, заключая договор с физическим лицом, использует данные физического лица (номер телефона) для рекламной рассылки в целях продвижения товаров без получения согласия физического лица.
Однако, исходя из положений ст. 6 ФЗ-152, получение согласия субъекта на обработку персональных данных не требуется, если это непосредственно связано с исполнением и (или) заключением договора. Последующее использование персональных данных в маркетинговых целях никак не связано с исполнением договора, стороной или выгодоприобретателем которого является физическое лицо, если это специально не прописано в договоре. Таким образом, оператору персональных данных требуется получение согласия на использование данных в целях продвижения своих товаров. При нарушении указанного требования оператор персональных данных подлежит привлечению к ответственности на основании ст. 13.11 КоАП РФ.
Из примеров: в судебной практике возникают споры, когда управляющая организация многоквартирными домами рассылает по почтовым ящикам жильцов счета-квитанции на оплату жилья и коммунальных услуг, на обратной стороне которых содержится реклама товаров, работ и услуг различных организаций.
Указанная деятельность судом не воспринимается, как нарушение законодательства о персональных данных, как деятельность, направленная на передачу персональных данных каким-либо третьим лицам. Доведение же персональных данных до их обладателя распространением по смыслу вышеуказанных положений ФЗ -152 не является.
В практике избирательных и политических кампаний наиболее часто встречаются случаи сбора и передачи персональных данных субъектов в целях политической агитации (рассылка, разноска агитационных печатных материалов) без предварительного согласия субъектов персональных данных, в нарушение ФЗ-152. При этом агитационные материалы направляются избирателям с указанием их персональных данных, что является нарушением положений ФЗ-152.
Таким образом, в случае поступления соответствующего требования от субъекта персональных данных оператор будет обязан немедленно прекратить обработку его персональных данных, осуществляемую в целях политической агитации.
Законодатель ограничил возможность обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации, установив, что обработка информации в таких целях допускается только при условии предварительного согласия субъекта.
На практике случаи запрашивания предварительного согласия субъекта персональных данных на рассылку рекламной или иной подобной корреспонденции крайне редки.
В некоторых европейских государствах, в частности в Испании, лиц, занимающихся рассылкой рекламной и иной подобной корреспонденции, закон обязывает в каждом письме субъекту указывать не только источник получения персональных данных субъекта и его права в отношении их использования, но также и сведения о личности держателя (т.е. автора корреспонденции) (Защита персональных данных. Опыт правового регулирования / Сост. Е.К. Волчинская. М., 2001.)
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную выше, в том числе тогда, когда такая обработка проводится в рекламных целях или для политической агитации.
Прямая ответственность за нарушение законодательства о персональных данных предусмотрена статьёй 13.11 КоАП РФ: «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей».
Кроме законодательства о персональных данных, использование баз данных в избирательных/политических кампаниях регулируется законодательством о защите интеллектуальных прав.
Составителю/ автору базы данных принадлежат авторские права на осуществленные ими подбор или расположение материалов (составительство). То есть незаконное использование баз данных может повлечь за собой ответственность, предусмотренную п. 1.1 ст.56 ФЗ-67 (Федеральный закон от 12.06.2002 N 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации"), вплоть до отмены регистрации кандидата.
Гражданский кодекс (ст. 1260) дает определение базы данных, понимая под таковой представленную в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).
Из данного определения следует, что составное произведение - база данных может включать в себя как неохраняемые объекты ИС (сведения, информацию), так и созданные другими авторами результаты интеллектуальной деятельности, имеющими на них интеллектуальные права.
В соответствии с ФЗ-152 право обработки персональных данных имеют два вида субъектов:
1) оператор;
2) посредник - лицо, которому оператор поручил производить для него такую обработку.
Отношения оператора с посредником должны производиться на основании поручения оператора (оформлены договором, в том числе государственным или муниципальным контрактом либо путем принятия государственным или муниципальным органом соответствующего акта).
В этом поручении должны быть определены: перечень действий (операций) с персональными данными, которые будут совершаться, цели обработки, должна быть установлена обязанность обработчика соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ -152.
Важно отметить, что независимо от того, кто осуществляет действия по обработке данных - лично оператор или третье лицо по его поручению, субъектом ответственности за нарушение правил обработки данных всегда будет сам оператор, посредник ответственен лишь перед оператором.
Закон определяет, что обработка должна проводиться в отношении персональных данных определенного круга субъектов, строго в определенных целях и обработке при этом подлежат только персональные данные, которые отвечают целям их обработки. Эти цели указываются при направлении уведомления в Роскомнадзор о намерении стать оператором, обработка в иных целях не считается разрешенной, кроме того, в уведомлении указываются и категории персональных данных, и категории субъектов, персональные данные которых обрабатываются.
Обработка персональных данных будет являться законной, если в соответствии со статьей 6 ФЗ 152:
1) осуществляется с согласия субъекта персональных данных на обработку его персональных данных - общее условие, наиболее часто применяемое;
2) необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
3) необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
4) необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных ФЗ от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";
5) необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) осуществляется в статистических или иных исследовательских целях, за рядом исключений, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных).
В этом случае персональные данные являются общедоступной информацией, а общедоступная информация согласно закону может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Использовать такую информацию возможно только при условии, что есть доказательства того, что информация сделана общедоступной, действительно, самим ее обладателем.
К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен, в частности информация, размещаемая ее обладателями в сети Интернет в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования. При этом если обладатель информации, ставшей общедоступной по его решению, указал, чтобы лица, распространяющие такую информацию, указывали его в качестве источника такой информации, то это требование должно соблюдаться при использовании этой информации;
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Таким образом, если лицо собирается при осуществлении своей деятельности создавать базы данных, включающие персональные данные граждан, то она должна не только соблюдать нормы ГК РФ об авторских и смежных правах, но и получить статус оператора с включением в реестр операторов персональных данных Роскомнадзора.
Для этого необходимо подать уведомление о намерении стать оператором с указанием целей обработки и субъектного состава предполагаемых баз данных, а перед его заполнением - продумать (и указать в заявлении) перечень мер, направленных на обеспечение защиты персональных данных, подлежащих обработке.
К таким мерам могут быть отнесены технические меры защиты (пароли) и организационные (определение перечня лиц (отделов), имеющих доступ к данным, и оформление этих действий внутренними документами)
Например, положение о персональных данных, приказ о назначении ответственных за обработку персональных данных, приказ о назначении ответственных за обеспечение безопасности персональных данных и т.п.
К сожалению, нередкой является ситуация, когда субъекты предпочитают заниматься созданием и использованием баз данных, включающих персональные данные граждан, без приобретения статуса оператора. Таким субъектам следует учитывать, что за подобные действия предусмотрена административная ответственность.
С учётом сжатых сроков проведения избирательных/политических кампаний, сложности их финансирования, иными организационными сложностями, сложностями привлечения к ответственности не приходится говорить о резком скачке количества желающих «вывести из тени» работу с персональными данными.
Президент Ассоциации политических юристов,
член правления Российской ассоциации политических консультантов,
кандидат политических наук, электоральный юрист,
учредитель профессионального сообщества "Юристы на выборах"
Роман Смирнов
