1.3. Примером квази-автоматизированной обработки, подпадающей под действие комментируемого Закона, являются действия оператора, связанные с ведением различного рода картотек личных дел сотрудников организации; договоров, заключенных с физическими лицами; медицинских карт пациентов в регистратурах поликлиник; журналов выдачи одноразовых пропусков на территорию и т.п. При этом если персональные данные, содержащиеся в «бумажных» документах и систематизированные в картотеках, параллельно используются, уточняются, распространяются или уничтожаются с помощью средств вычислительной техники (например, при использовании программных продуктов по расчету зарплат и управлению персоналом), то имеет место так называемая смешанная обработка ‒ обработка, осуществляемая оператором без использования средств автоматизации и автоматизированным способом одновременно. Данный термин хотя и не фигурирует в законе, но используется на практике контрольно-надзорными органами и судами (см.: Постановление Четвертого арбитражного апелляционного суда от 17 января 2011 г. по делу № А19-25289/2009; Апелляционное определение Владимирского областного суда от 20 января 2015 г. по делу № 33-139/2015; п. 9 Рекомендаций Роскомнадзора по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных от 29 января 2016 г.). Несмотря на то что в данном случае оба средства обработки подпадают под действие Закона о персональных данных, существуют определенные отличия в правовых последствиях их осуществления, которые необходимо учитывать, например, в части наличия или отсутствия обязанности по уведомлению Роскомнадзора об обработке персональных данных ( см. подробнее комментарий к ст. 22 настоящего Закона). При этом следует учитывать п. 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствии с которым «обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее».
1.4. Если деятельность по обработке персональных данных не сопряжена с использованием автоматизированных или квази-автоматизированных средств обработки, то она в соответствии с ч. 1 комментируемой статьи не подпадает под действие Закона о персональных данных. Например, если осуществляется обработка персональных данных контрагента по «бумажному» договору при оформлении дополнительных документов к нему (актов, дополнительных соглашений, договоров уступки) без использования вычислительных средств, а также без внесения этих документов в систематизированные картотеки (Постановление Двадцатого арбитражного апелляционного суда от 12 июля 2016 г. № 20АП-3775/2016 по делу № А23-4903/2012).
По тем же причинам не подпадают под действие Закона о персональных данных устное разглашение личных сведений о физическом лице в присутствии третьих лиц (Апелляционное определение Курганского областного суда от 27 марта 2014 г. по делу № 33-929/2014) и разглашение личных данных посредством направления письма, содержащего их, в адрес третьих лиц (Кассационное определение Саратовского областного суда от 7 февраля 2012 г. по делу № 33-697). Однако если указанные действия совершались с использованием вычислительных средств, например, посредством сети «Интернет», то они по общему правилу подпадают под действие Закона о персональных данных.
1.5. В судебной практике сформировалась позиция, согласно которой действие Закона о персональных данных не распространяется на «отношения по собиранию, проверке, хранению сведений в процессе возбуждения, расследования и рассмотрения уголовных дел и сам по себе он (указанный Закон. – А.С.) не может ограничивать права участников уголовного процесса и заявителей о преступлениях на ознакомление с материалами уголовных дел и проверок сообщений о преступлениях»5 (Определение Конституционного Суда РФ от 29 сентября 2011 г. № 1251-О-О; Апелляционное определение Санкт-Петербургского городского суда от 1 октября 2014 г. № 33-14325/2014 по делу № 2-1111/2014). Таким образом, наличие в материалах проверки по заявлению о правонарушении персональных данных иных лиц при отсутствии в них сведений об их частной жизни и иных конфиденциальных сведений, не может ограничивать право гражданина на ознакомление с этими материалами, непосредственно затрагивающими его права и свободы (Апелляционное определение Верховного суда Республики Башкортостан от 18 мая 2016 г. № 33а-9145/2016).
1.6. Хотя Конвенция 1981 г. формально касается лишь автоматизированной обработки персональных данных, она допускает возможность распространения ее положений не только на случаи автоматизированной обработки, но и на обработку без использования средств автоматизации, что было учтено Российской Федерацией при ратификации этой Конвенции6.
Аналогичные положения содержатся и в европейском законодательстве, оперирующем понятием «система учета документов» (filling system), под которой понимается любой структурированный массив персональных данных, доступных в соответствии с определенными критериями, безотносительно к тому, является ли он централизованным, децентрализованным или распределенным на функциональной или географической основе. В соответствии со ст. 3 Директивы 1995 г. ее положения распространяются как на автоматизированную обработку персональных данных, так и на их обработку иными способами, при которых персональные данные являются частью системы учета документов. При этом отмечается, что «досье (файлы) или их наборы, а также их обложки, не являющиеся структурированными в соответствии с определенными критериями, ни при каких обстоятельствах не охватываются рамками настоящей Директивы» (п. 27 Преамбулы).
Примечательно, что данные положения не были затронуты реформой законодательства о персональных данных и в неизменном виде содержатся также в Регламенте 2016 г. (ст. 2, п. 15 Преамбулы). Как следствие, судебная практика отдельных европейских стран не относит к системе учета документов неструктурированные массивы документов, которые по своему характеру несопоставимы с автоматизированными средствами обработки данных, например, набор документов, который бессистемно хранится в коробках (Smith v. Lloyds TSB Bank Plc, [2005] EWHC 246 (Ch)), или недостаточно объемные массивы документов (например, четыре досье) (Durant v. Financial Services Authority, [2003] EWCA Civ. 1746).
1.7. Следует отметить, что цели обработки персональных данных по общему правилу не имеют значения для решения вопроса о распространении на нее положений Закона о персональных данных, за исключением случаев, прямо указанных в ч. 2 комментируемой статьи. Поэтому безотносительно к тому, осуществляется ли обработка данных в коммерческих, политических, научно-исследовательских, статистических и прочих целях, она подпадает под действие Закона о персональных данных.
Равным образом для определения сферы применения Закона о персональных данных не имеет значения статус субъекта, осуществляющего обработку персональных данных: в качестве такового может выступать любое лицо, обладающее правоспособностью. Часть 1 комментируемой статьи относит к указанным лицам государственные и муниципальные органы власти, юридических и физических лиц. Таким образом, российское законодательство о персональных данных имеет универсальный характер и в равной степени распространяется на частный и публичный секторы, что, правда, не означает отсутствия специальных норм в отношении последнего.
2. Часть 2 комментируемого Закона содержит закрытый перечень видов отношений по обработке персональных данных, которые не подпадают под его действие независимо от того, какие средства используются при их обработке (автоматизированная или квази-автоматизированная). Таким образом, ставить вопрос о применимости каких-либо из данных видов исключений можно лишь после того, как положительно решен вопрос о применимости Закона о персональных данных к соответствующим отношениям в соответствии с положениями ч. 1 комментируемой статьи.
2.1. Закон о персональных данных не распространяется на обработку персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных. Появление данного исключения в российском законодательстве является следствием оговорки, сделанной Россией при ратификации Конвенции 1981 г., о неприменении ее положений к определенным категориям автоматизированных данных7, в связи с чем это исключение не противоречит международным обязательствам Российской Федерации. Аналогичное извлечение из сферы действия законодательства о персональных данных существует и в Европейском Союзе (ст. 3 (2) Директивы 1995 г., ст. 2 (2) (с) Регламента 2016 г.).
2.2. Понятия личных и семейных нужд в комментируемом Законе не конкретизируются. Представляется, что для толкования этих понятий можно обратиться к гражданскому законодательству и законодательству о защите прав потребителей, в которых также используются указанные термины. Так, одним из условий квалификации гражданина в качестве потребителя является приобретение товаров (работ, услуг) «исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности»8. Как следствие, не является потребителем гражданин, приобретающий товары (работы, услуги) или использующий их в деятельности, которую он осуществляет самостоятельно на свой риск с целью извлечения прибыли. При этом под предпринимательской деятельностью понимается «самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке» (п. 1 ст. 2 ГК РФ). Таким образом, если процесс обработки персональных данных физическим лицом направлен на осуществление предпринимательской деятельности, он не охватывается понятием «личных» и «семейных» нужд и подпадает под действие Закона о персональных данных. Факт получения разовой прибыли от деятельности, связанной с обработкой персональных данных физическим лицом, не должен сам по себе лишать возможности применения рассматриваемого исключения из сферы действия Закона о персональных данных, при условии, что отсутствуют нарушения прав субъектов персональных данных.
2.3. В отечественной доктрине отмечается, что понятие «личные нужды» следует понимать как «потребности, которые существуют у самого гражданина или лиц, связанных с ним личными (например, семейными) связями, и их удовлетворение никак не связано с удовлетворением потребностей неопределенного круга третьих лиц»9. Данная идея находит отражение в практике Суда ЕС. В деле Bodil Lindquist Суд указал, что распространение физическим лицом персональных данных третьих лиц в сети «Интернет» не подпадает под действие исключения об обработке данных для личных нужд, поскольку такие данные становятся доступными неопределенному кругу лиц (Bodil Lindqvist v. Åklagarkammaren i Jönköping, ECJ, Case C-101/01. 6 November 2003, [47]). Представляется, что данный подход вполне укладывается в нормы российского Закона о персональных данных, который содержит положение о неприменении исключения об обработке персональных данных для личных нужд с условием о ненарушении прав субъектов персональных данных. Распространение данных в сети «Интернет», их доступность неопределенному кругу лиц означают утрату контроля над дальнейшим использованием таких данных, что в совокупности с потенциальной возможностью их последующей обработки инструментами аналитики «больших данных» определенно затрагивает права субъектов персональных данных и в ряде случаев может их нарушать (например, при публикации одним лицом совместных фотографий в отсутствие согласия других присутствующих на них лиц). Следует отметить, что Регламент 2016 г. содержит несколько иной подход, согласно которому исключение об обработке персональных данных для личных нужд может применяться и к онлайн деятельности лица, в том числе при использовании социальных сетей (п. 18 Преамбулы). Пока не очень понятно, как будет соотноситься данное положение с правовой позицией Европейского Суда Справедливости, учитывая, что положения преамбулы формально не имеют юридической силы.
Представляется, что решение о применении или неприменении исключения об обработке персональных данных для личных нужд должно приниматься с учетом всех обстоятельств конкретного случая, при этом целесообразно учитывать степень доступности содержимого интернет-ресурса, в частности, настройки приватности (при их наличии)10.
2.4. В европейской судебной практике возник вопрос о возможности применения исключения об обработке для личных нужд персональных данных применительно к случаям установки лицом для целей охраны своей собственности камеры видеонаблюдения, которая осуществляет циклическую запись на жесткий диск происходящего, например, на улице перед домом. В деле František Ryneš Суд ЕС признал недопустимым распространение рассматриваемого исключения на подобного рода ситуации, поскольку такая обработка данных не ограничена пределами частных владений лица, направлена за его пределы и касается данных, полученных из публичных мест (улица), в связи с чем не является их обработкой, осуществляемой исключительно для личных и семейных нужд (František Ryneš v. Úřad pro ochranu osobních údajů, ECJ, Case C-212/13, 11 December 2014). Тем самым была подтверждена правомерность решения национального уполномоченного органа по защите персональных данных о нарушении субъектом, установившим камеру, положений об обработке персональных данных (отсутствие согласия прохожих на обработку, непредоставление им информации о целях и иных условиях обработки, неподача уведомления об обработке в уполномоченный орган).
Фактически Суд ЕС исходил из максимально ограничительного толкования исключения об обработке для личных нужд и высказался о несовместимости личных и семейных нужд с обработкой данных из публичных мест, особенно в тех случаях, когда она осуществляется на систематической основе. Следует отметить, что согласно действующему российскому законодательству граждане и юридические лица, не уполномоченные на проведение оперативно-розыскных мероприятий, не вправе устанавливать и использовать скрытые видеокамеры (технические средства для негласного визуального наблюдения)11. В этой связи вряд ли можно рассматривать установку камер видеонаблюдения за публичными местами в качестве обработки персональных данных, осуществляемой для личных и семейных нужд.
Кроме того, возникает вопрос о правовом статусе доказательств, полученных посредством такой камеры, в случаях, когда положения законодательства о персональных данных были нарушены. Формально такие доказательства могут считаться полученными с нарушениями требований закона и, как следствие, недопустимыми в рамках производства по делу об административном правонарушении. Согласно ч. 3 ст. 26.2 КоАП РФ не допускается использование доказательств по делу об административном правонарушении, в том числе результатов проверки, проведенной в ходе осуществления государственного контроля (надзора) и муниципального контроля, если указанные доказательства получены с нарушением закона. Что касается уголовного процесса, то здесь все не так очевидно, поскольку ст. 75 УПК РФ признает недопустимыми доказательства, полученные с нарушением требований именно данного Кодекса , а не любого закона (ч. 1 ст. 75 УПК РФ). Однако нельзя совсем исключать ситуации, в которых нарушение требований законодательства о персональных данных в отношении участника уголовного процесса может быть «подогнано» под нарушение какого-либо требования УПК РФ.