Только не смейтесь…

Автор: Павел Протасов, Duralex.org

Наблюдение за российской законотворческой и судебной практикой у далеких от нее людей часто вызывает реакцию вида «я такого и в цирке не видел!». Но если зритель немного задумывается, веселое удивление сменяется если и не ужасом, то состоянием глубокого замешательства. И это правильно: тот, кто знаком с нашей правовой системой, не должен смеяться. Даже в цирке.

Сейчас я попробую провести вас от одного состояния до другого максимально коротким путем…

Продукт при полном непротивлении сторон Роскомнадзору

Начнем мы издалека: с одного из недавних процессов из-за «персональных данных» по иску к жителю Обнинска Артему Майнасу. Совсем недавно суд по этому делу удовлетворил требования истцов. Сейчас решение еще не опубликовано, поэтому о требованиях мы знаем только из искового заявления. Впрочем, скорее всего, текст решения не будет сильно от него отличаться.

Началось все с того, что Артем создал сайт, посвященный Обнинску, на котором собирал, среди прочего, сведения о знаменитых земляках. Для тех из них, кто умер, иллюстрировал статьи фотографиями могил.

Опубликованная фотография надгробия ученого Феликса Кашина стала причиной претензии от сына умершего, которому ее публикация не понравилась. Фотография была удалена, но позже сыновья (да, уже вдвоем) потребовали удалить всю страницу с теми сведениями, которые были взяты с могильного камня. Майнас отказался. Слово за слово, потомки привлекли Роскомнадзор, но отказано было и ему. Потому что — ну а с чего бы тут что-то удалять?

В конце концов РКН пошел в суд с требованием «признать деятельность интернет-страниц … незаконной». А также обязать самого себя включить страницы с данными отца и сына Кашиных в «реестр запрещенной информации», за нарушение права «на неприкосновенность частной жизни, личную и семейную тайну».

Такое впечатление, что, если сотрудник РКН в иске о персональных данных ритуально не употребит эту традиционную формулировку, у него вычтут денег из зарплаты. Никаких других причин считать «тайной частной жизни» общеизвестную информацию, вообще-то нет: в силу прямого указания ГК (второй абзац ч. 1 ст. 152.2), такая информация статус «тайны» утрачивает, даже если речь идет о настоящей «тайне», а не о сведениях типа фамилии и имени, к которым этот статус откровенно притягивается за уши.

Но не это самое забавное в исковом заявлении (за предоставление которого хочу сказать Артему Майнасу отдельное спасибо). Основной повод к подаче иска — то, что данные «обрабатываются без согласия». Что популярно разъясняется в комментарии Калужского управления РКН «Известиям» по этому делу:

«…в соответствии с федеральным законом „О персональных данных“ гражданин принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе вне зависимости от формы фиксации персональных данных (фото, документ и т.п.). В отдельных случаях после смерти субъекта персональных данных согласие на обработку персональных данных дают наследники, если такое согласие не было получено при его жизни».

Общее правило закона «О персональных данных» действительно в этом и состоит. Правда, в 6-й статье закона, есть много исключений из него, одно из них такое:

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).

Исключение — это частный случай общего правила обработки общедоступной информации, сформулированного в законе «Об информации…»: такая информация может использоваться кем угодно. Вполне логичный и понятный принцип.

Почему же РКН не считает это разрешение применимым в данном случае? А черт его знает. В исковом про это — всего пара абзацев:

«Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или наличия оснований, указанных в п.п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 №152-ФЗ „О персональных данных“, возлагается на оператора персональных данных.

Вместе с тем, согласно заявлению Кашина Глеба Феликсовича, он не давал согласия на обработку его персональных данных, а также персональных данных его отца, и не предоставлял иных законных оснований на обработку персональных данных…»

Странно: вроде бы никем не оспаривается то, что весь этот процесс начался из-за фото вполне общедоступной могилы. Доступ «неограниченного круга лиц» к которой предоставлен хотя и не «субъектом персональных данных», но как раз теми лицами, которые могут распоряжаться данными после его смерти.

Что же касается второй страницы, деятельность которой РКН требует признать незаконной, то она содержит ФИО, дату рождения и утверждение о том, что Глеб Кашин руководит танцевальным коллективом. Не знаю, как насчет последнего факта, но ФИО и дата опубликованы для всеобщего обозрения на странице самого Кашина «ВКонтакте». То есть, РКН здесь в упор не видит исключения, дающего право на обработку данных без согласия.

Как говорит сам Артем, он «уже ссылался на всё, что только можно. На Конституцию РФ (статья 29), на Гражданский Кодекс (152.2), на закон о похоронном деле, на закон о СМИ, на закон об информации. И даже на отдельные положения того самого ФЗ 152 о персональных данных. Однако РКН твердит, что всё это меркнет на фоне отсутствия согласия самого человека».

В общем, «в любой непонятной ситуации требуй согласие на обработку» — это, похоже, еще одно ритуальное требование, наличие которого в иске нужно несмотря ни на что и независимо ни от чего.

А ведь когда-то специалисты РКН проявляли прямо-таки чудеса доказательной эквилибристики при обосновании того, почему согласие для обработки таких данных из соцсетей все-таки жизненно необходимо…

Взаимоисключающие параграфы в действии

Я имею в виду еще одно дело, касающееся обработки персональных данных из социальных сетей: А40-5250/17-144-51 по иску «Национального бюро кредитных историй» к РКН.

В решении по делу подробно сформулирована «правовая позиция», весьма похожая на то, в чем РКН пытается убедить суд в «деле Майнаса». Непонятно правда, придумал это все суд или просто переписал из искового. Но нам сейчас неинтересны вопросы авторства, припишем его условному «роскомнадзору».

Так вот, РКН в этом деле умудрился запретить обработку общедоступной информации из социальных сетей при помощи совершенно нетривиальных умозаключений:

«Применительно к настоящему делу, следует отметить, что обработка персональных данных допускается в частности в следующих случаях:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1);
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных) (п. 10 ч. 1);

Таким образом, говоря о персональных данных, сделанных субъектом персональных данных общедоступными, необходимы два условия:

  1. персональные данные доступны неопределенному кругу лиц.
  2. персональные данные предоставлены непосредственно самим субъектом.

Без письменного согласия субъекта персональных данных не представляется возможным утверждать, что они предоставлены именно указанным субъектом».

Как мы видим, в этом отрывке неявно смешиваются друг с другом два самостоятельных основания для обработки данных, каждого из которых в отдельности достаточно для законной обработки. И делается вывод: согласие нужно даже тогда, когда согласие не нужно.

Почему именно согласие? Почему нельзя каким-то другим способом убедиться в том, что данные размещены самим субъектом?

Кстати, у суда есть возможность вообще ничего не выяснять и не доказывать, а просто презюмировать правомерность размещения в общем доступе сведений из соцсетей. ГПК (ч. 1 ст. 61) освобождает суд от доказывания тех сведений, которые признаны «общеизвестными». У кого-то есть сомнения в том, что сведения в профилях соцсетей выложены туда самими обладателями профилей? Не говоря уже об именах на могилах, как в случае с Майнасом…

Бывают, конечно, «фейковые» профили, в которых личные данные используются без ведома их обладателя, но именно этот факт и следует доказывать отдельно. Но РКН не ищет легких путей для ответчика и заставляет его подтверждать то, что и так очевидно и для подтверждения чего у него вообще нету никакой возможности (сомневаюсь, что «ВКонтакте» выдаст данные об авторе профиля по письму не из правоохранительных органов).

В случае с иском НБКИ все эти сложные умозаключения приводят к выводу, который прямо противоречит тексту закона. А вот в «деле Майнаса» они не фигурируют, авторы искового заявления просто обходят молчанием вопрос о том, почему без согласия обойтись решительно невозможно.

Но сразу же после этого отрывка следует другой смелый вывод, который нас к «делу Майнаса» возвращает:

«Таким образом, персональные данные, сделанные общедоступными субъектом персональных данных могут содержаться только в общедоступных источниках персональных данных».

Общеобязательный «источник»

Подробно Калужское управление РКН про «источник» разъясняет в том же комментарии «Известиям»:

«Данным законом также предусмотрена возможность создания общедоступных источников персональных данных и их обработки. При этом сведения о субъекте должны обрабатываться с соблюдением принципов законности и целеполагания обработки персональных данных, предусмотренных ст. 5 закона „О персональных данных“, а также могут быть исключены из общедоступных источников по требованию самого субъекта, его законного представителя либо по решению суда или иных уполномоченных государственных органов…»

В исковом заявлении, как и в решении по иску НБКИ, фрагмент про «источник» практически дословно переписан из статьи 8 Закона «О персональных данных»:

«1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных».

По смыслу этого описания, данные становятся общедоступными только после публикации в «источнике», на которую нужно согласие субъекта. Такая публикация — способ обнародовать их, передав кому-то для этого. При обработке данных, которые уже и так общедоступны, согласие, как мы помним, не нужно, в силу п. 10 ч. 1 ст. 6 Закона. Поэтому тот, кто их обрабатывает, никак не подходит под определение «источника».

И, если вы внимательно читали, то у вас должен возникнуть вопрос: почему, по мнению РКН, такие данные могут содержаться только в «источниках»? Ведь закон предусматривает еще и ситуацию, когда доступ «неограниченного круга лиц» к данным предоставлен самим субъектом, без чьей-либо помощи.

А вот это и есть та самая сова-на-глобусе, ради которой все затевалось. Объявить «источником» всех, кто обрабатывает общедоступные данные — это просто способ возложить на них обязанность владельца «источника», предусмотренную той же 8-й статьей:

«2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов».

Или можно еще провозгласить информацию, размещенную самими пользователями в соцсетях, «не общедоступной», как это было сделано в решении по иску НБКИ:

«…суд приходит к выводу, что информация о субъекте (в том числе персональные данные), содержащиеся в социальных сетях (в сети Интернет), не может быть отнесена к персональным данным, сделанным субъектом общедоступными, поскольку социальные сети не являются источником общедоступных персональных данных применительно к положению ст. 8 Закона».

Вообще, Роскомнадзор всегда был заводилой среди государственных органов, на которые законом возложены обязанности по осуществлению цензуры. Видимо, поэтому он и стал в этой сфере лучшим учеником.

Ведь такая «правовая позиция» дает возможность цензурировать не только то, что опубликовано о человеке кем-то, но и то, что публиковалось им самим или с его согласия. То есть, просто взять и запретить кому-то обрабатывать эту общедоступную информацию. А кому-то — не запрещать. Удобно же!

И процесс по иску НБКИ, и «дело Майнаса» направлены на формирование и закрепление именно такой практики. Причем, если вы думаете, что это было «инициативой на местах», то нет: еще в августе предводитель нашего главного цензурного органа жаловался на то, что нет никакого механизма удаления такой общедоступной информации, и предлагал его разработать.

Но РКН даже без нужного закона уже выполняет указания шефа явочным порядком, при помощи фигурного цитирования. И все это, разумеется, очень плохо, потому что «источник» этот действительно «общедоступный»: им может быть объявлен чуть ли не каждый из нас.

Правда, сейчас для этого требуется решение суда, но ситуацию предлагается исправить…

Сплошная видимость

В ноябре в Думу был внесен законопроект, задачей которого является регулирование как раз обработки общедоступных персональных данных. Внесен он хорошо знакомым читателям «Роема» депутатом Антоном Горелкиным. Он уже прошел все чтения в Думе, был подписан Президентом и вступит в силу в марте.

С его помощью планируется закрепить в законе нечто, близкое к описанной в этой статье «правовой позиции», которую сейчас Роскомнадзор в поте лица добывает в суде, фигурно цитируя законы. И, похоже, именно судебному решению по «делу НБКИ» законопроект обязан своим появлением.

Почему я так думаю? Во-первых, потому что решение стало хрестоматийным в среде «специалистов по защите персональных данных». Оно моментально разошлось по всяким методичкам и «обучающим вебинарам» и теперь серьезные вроде бы люди с серьезным видом читают другим серьезным людям лекции о том, что данные, опубликованные для всеобщего обозрения в сети, на самом деле, «общедоступными» не являются. Так, видимость…

Во-вторых, законопроект описывает процедуру, в которой есть вещи, необъяснимые с точки зрения общечеловеческой логики, но вполне понятные, если мы знаем обо всех натяжках, которые сделал суд в этом решении. Они перекочевали в законопроект даже несмотря на отсутствие какой-либо согласованности между всеми частями этой судейско-законотворческой конструкции.

Текст проекта ко второму чтению очень сильно отличается от того, что было изначально внесено в Думу. Это довольно частая ситуация: перед вторым чтением текст перерабатывается, и принимается нечто совершенно иное. А чтобы никто не не успел опомниться, сразу же следует и третье. Как и в этом случае: два этих чтения разделяют одни сутки.

Еще в законопроекте есть прочие милые мелочи, к которым все уже давно привыкли: например, в финансово-экономическом обосновании, как всегда, говорится, что принятие закона «не повлечет расходов». При этом в тексте упоминается некая «информационная система уполномоченного органа по защите прав субъектов персональных данных», которая непонятно на какие шиши будет создана или доработана.

…Если верить самому депутату Горелкину, это «законопроект об общедоступных персональных данных», принятый для более качественной их защиты. Но это — всего лишь видимость.

Потому что само понятие «общедоступных ПДн» из закона будет исключено вообще. Планируется убрать из текста тот самый десятый пункт шестой статьи, который разрешает свободную обработку «общедоступных персональных данных», а также содержит их определение.

Вместо них у нас теперь будут «персональные данные, разрешенные субъектом персональных данных для распространения». Так в тексте названа разновидность данных, обрабатываемых на общих основаниях, с согласия субъекта, правда, данного не только «оператору», но и «неограниченному кругу лиц».

Термин «общедоступный» в законе сохраняется, но только применительно к «общедоступным источникам». При этом по смыслу новой редакции закона те данные, которые содержатся в них, тоже будут всего лишь «данными, разрешенными для распространения». Проект определяет их как данные, «доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

В таком согласии могут содержаться также «запреты на обработку или условия обработки … этих персональных данных неограниченным кругом лиц». Правда, никакого механизма по доведению условий согласия до этого «неограниченного круга лиц» проект не предусматривает: их может узнать только сам оператор и тот, кто получил данные непосредственно от него.

Непонятно также, как планируется заставить «неограниченный круг лиц» соблюдать ограничения, которые содержатся в согласии, данном не им, а оператору. Но этого и не нужно: по замыслу авторов законопроекта, у субъекта будет право запретить кому угодно обрабатывать свои персональные данные: тому, кому было дано согласие — путем его отзыва, а всем остальным — потому что не получили согласия.

Кстати, в связи с этим возникает вопрос: а зачем в этой схеме вообще «согласие»? Ведь запретить обработку можно что с ним, что без него, разница только в формальной процедуре. Помните: «согласие нужно даже тогда, когда согласие не нужно»?

Изначально проектом предлагалось вообще исключить такое основание «общедоступности» данных как самостоятельная публикация их субъектом — все только через «источники», путем дачи согласия оператору на их обработку и предоставление к ним доступа «неограниченному кругу лиц».

Ко второму чтению авторы такую возможность предусмотрели, но только для того, чтобы обязать тех, кто такие данные обрабатывает, «предоставить доказательства законности последующего распространения или иной обработки». То есть, сама по себе такая публикация не дает никому права на дальнейшую обработку, для которой требуется отдельное основание. Помните: «персональные данные, сделанные общедоступными субъектом персональных данных могут содержаться только в общедоступных источниках персональных данных»?

Даже когда авторы пытаются разрешить что-то делать с данными, все равно у них не получается ничего, кроме создания видимости. К примеру, в число исключений, когда ПДн могут обрабатываться без согласия, входит ситуация, когда «обработка персональных данных осуществляется в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации».

Но сейчас нормативного акта, определяющего, что относится к таким «интересам», нет, да он и не требуется: их перечень жестко никогда не задавался, существуя в виде судебных толкований. В самом законопроекте такого перечня также не содержится и не говорится о том, кто и в какие сроки должен его принять.

Принятие проекта с «разрешением», данным в таком виде, просто исключит для кого-либо возможность ссылаться на «обработку в публичных интересах», оставив только прямо упомянутые «государственные» и «общественные». То есть, фактически под видом «разрешения» вводится ограничение.

Еще в законе говорится о том, что требования к содержанию согласия на обработку таких данных должны быть установлены «уполномоченным органом». До тех пор, пока они не появятся, обрабатывать их будет невозможно. То есть, если Роскомнадзор до вступления закона в силу не сформулирует таких требований, применять его будет просто нельзя, пока они не появятся. Не такая уж невероятная ситуация, кстати.

Думаю, нововведениям очень обрадуются всякие мелкие жулики: сейчас к их услугам только «право на забвение», при помощи которого можно удалять результаты поиска. При новом порядке это станет можно сделать с любым упоминанием, удалив его непосредственно из первоисточника.

Рекомендую российским СМИ и блогерам приготовиться к нашествию самодеятельных цензоров. При этом если у «солидных» СМИ сослаться на «интересы» может быть и получится, то у всяких там мелких блогеров — уже вряд ли. А «иностранных агентов» и прочих врагов государства будут подвергать цензуре пачками…

Как можно видеть на этом примере, «окно Овертона», хотя и не существует, но действует. Еще полгода назад кому сказать про «ограничения на обработку» общедоступной информации — засмеяли бы. Сейчас идея такие ограничения ввести уже почти превращена в закон, причем в кратчайшие сроки.

Довольно забавно наблюдать за всем этим созданием видимости, но только до тех пор, пока не понимаешь, что после вступления в силу законопроекта само существование общедоступных персональных данных станет невозможным. Сбудется пророчество серьезных людей: общедоступность открыто опубликованных в сети персональных данных станет видимостью. Как и было сказано в их «обучающих вебинарах».

10 комментариев | Подписаться на комментарии | Комментировать