Судебные споры по законодательству о персональных данных

В июле 2011 года вступила в силу новая редакция Федерального закона «О персональных данных» (далее – «Закон»), которая в ряде случаев коренным образом изменила подход к некоторым важным проблемам, связанным с обработкой персональных данных. Однако с момента принятия закона прошло всего несколько месяцев. Кроме того, пока не издан целый ряд подзаконных актов, предусмотренных новой редакцией Закона. В этой связи практика применения новой редакции Закона (в том числе, судебная практика) пока не сформировалась. Но даже несмотря на это 2011 год был богат на громкие инциденты с персональными данными, многие их которых дошли до суда. Это и дело rusleaks.com, и опубликование «чувствительных» данных о клиентах интернет-магазинов, и прослушивание телефонных разговоров известных политиков, и многое другое.

В этой статье речь пойдет о нескольких не столь громких, но тем не менее интересных прецедентах, связанных с исками обладателей (субъектов) персональных данных в отношении неправомерного разглашения персональных данных в Интернете. Данные решения позволяют, в первую очередь, понять подходы судов к законодательству о персональных данных, глубину их понимания и восприятия проблематики регулирования. Кроме того, в статье будет затронуто известное дело о передаче данных должников «коллекторам».

1) Администратор домена обязан обеспечивать конфиденциальность обрабатываемых на сайте персональных данных

Решение Мещанского районного суда г. Москвы от 5 октября 2010 года по делу № 2-2340/2010/Определение Московского городского суда от 14 февраля 2011 года по делу № 33-2064/Решение Мещанского районного суда г. Москвы от 10 мая 2011 года по делу № 2-3518/2011

Истцом в деле является физическое лицо, ответчиком – администратор (физическое лицо) интернет-сайта. В соответствии с материалами дела в разделе сайта «Форум» были размещены персональные данные истца, включая фамилию, имя, дату рождения, место работы, должность, образование, домашний телефон (другими словами, резюме). При этом истец утверждает, что согласия на размещение этих данных он не давал, и просит суд обязать ответчика уничтожить данные и компенсировать ему моральный вред и судебные расходы (включая стоимость услуг нотариуса, который составил протокол осмотра сайта).

Первоначально суд первой инстанции отказал истцу в удовлетворении иска, однако это решение было отменено в кассационной инстанции (еще до введения апелляционной инстанции), и в дальнейшем при новом рассмотрении дела в новом составе требования истца были частично удовлетворены. На трех страницах решения суд практически полностью цитирует старую редакцию Закона и приходит к выводу, что администратор домена, как оператор персональных данных, обязан обеспечивать конфиденциальность собираемых и обрабатываемых им персональных данных. В этой связи суд, в частности, обязал ответчика «уничтожить персональные данные… и запретить их обработку и распространение в сети Интернет». Во взыскании компенсации морального ущерба Истцу было отказано, поскольку факт причинения Истцу нравственных страданий, с точки зрения суда, последним не был доказан.

Из этого решения суда следует три основных вывода:

• Во-первых, если пользователи сайта имеют возможность публиковать на нем какую–либо информацию (например, в разделе «гостевая», на форумах и т. д.), то администратор домена может понести ответственность за такого рода публикации, если при этом раскрываются чьи-то персональные данные! Этот прецедент является весьма опасным для таких интернет-компаний как операторы социальных сетей и т. д. В качестве рекомендации в этой связи можно отметить необходимость размещения на сайте подробной и составленной в соответствии с требованиями Закона политики в отношении обработки и защиты персональных данных.
• Во-вторых, по результатам рассмотрения иска о прекращении обработки персональных данных можно получить предписание, выполнить которое практически невозможно (как это произошло в данном деле). Речь идет о вышеуказанном предписании запретить обработку персональных данных и их распространение в сети Интернет. С учетом того, как функционирует «всемирная паутина», тиражирование данных, которые однажды попали в сеть (даже если они пробыли там недолгое время), происходит достаточно быстро. Остается непонятным, каким образом можно администратору домена (который не имеет властных полномочий, кроме как в отношении своей собственности) обеспечить прекращение обработки данных на других независимых ресурсах, и может ли администратор домена понести ответственность, если где-то еще «всплывут» удаленные с сайта данные. Безусловно, этот риск необходимо учитывать при ведении в России бизнеса с использованием Интернета.
• В-третьих, как правило истцам (субъектам персональных данных) не удается обосновать какой-то реальный ущерб, причиненный им незаконным использованием их персональных данных, в связи с чем они требуют возмещения морального вреда. Однако суды либо отказывают им в таком возмещении, либо присуждают крайне малозначительные суммы. Поэтому по состоянию на настоящее время можно осторожно предположить, что вала исков субъектов персональных данных ждать не приходится, поскольку никакой финансовой выгоды такие иски для их заявителей, как правило, не приносят, а иногда ведение такого процесса (рассмотренное дело длилось с момента подачи иска до момента вынесения окончательного решения больше 2 лет) является просто убыточным.

2) Работодателя наказали за внесение бывшего работника в «черный список»

Решение Симоновского районного суда г. Москвы от 9 сентября 2010 года по делу № 2-5042/10/Определение Мосгорсуда от 2 февраля 2011 года по делу № 33-2643

Истцом в деле является бывший продавец в аптеке, а ответчиком, соответственно, бывший работодатель, ветеринарная клиника. Суть спорной ситуации заключалась в том, что компания-работодатель после увольнения сотрудника разместила на профессиональном интернет-форуме информацию о неблагонадежности этого работника. В частности, последний был обвинен в воровстве. Обнаружив это, работник обратилась в суд за защитой чести и достоинства, требованием обязать бывшего работодателя опровергнуть порочащие его сведения, признать незаконной обработку его персональных данных и т. д. Суд частично удовлетворил иск бывшего работника.

В первую очередь, данное решение является прецедентом, который ставит под сомнение законность любых «черных списков» неблагонадежных работников, поскольку даже если информация, которая содержится в таких списках, соответствует действительности и может быть подтверждена доказательствами, опубликование этой информации является незаконным.

Кроме того, особенностью данного решения, оставленного в силе судом кассационной инстанции, является то, что истец заявлял требование, среди прочего, о признании незаконной обработки его персональных данных, однако суд проигнорировал это требование, основывал свое решение исключительно на нормах гражданского законодательства, связанных с защитой чести и достоинства, и не ссылался на законодательство о персональных данных. Это отражает общую тенденцию – суды общей юрисдикции, в ведении которых находится большое количество споров, связанных с обработкой персональных данных граждан, до настоящего момента имеют весьма ограниченное представление о соответствующем законодательстве. В качестве интересного факта можно отметить, что в электронных картотеках решений на сайтах судов такая категория дел как дела, вытекающие из нарушения законодательства о персональных данных, вообще отсутствует.

Таким образом, если говорить о содержании решения, то из него следует вывод о том, что распространять персональные данные можно только при условии наличия на то законных оснований (например, не является нарушением  конфиденциальности публикация решения суда, в котором содержатся персональные данные бывшего работника – при этом фактически такая публикация как нельзя лучше отвечает целям, которые преследует работодатель, предупреждая сообщество о нелояльном сотруднике). Если же говорить о косвенном выводе, который следует из решения (недостаточно хорошее знание судами законодательства о персональных данных), то это также необходимо учитывать компаниям при совершении тех или иных действий (особенно если речь идет об опубликовании) с персональными данными (либо тщательно обосновывать свою позицию в случае обработки персональных данных, если это может вызвать споры, либо изначально искать дополнительные аргументы в пользу своих прав и законных интересов в этой связи (помимо закрепленных в законодательстве о персональных данных)).

3) Передача персональных данных должника «коллектору» признана законной

Решение Арбитражного суда Пермского края от 14 декабря 2011 № дела А50-22009/2011

Теперь обратимся к практике арбитражных судов, в которой уже начинаются складываться определенные подходы к принятым этим летом новеллам законодательства о персональных данных.
Арбитражным судом Пермского края принято решение, которое можно считать прецедентным. Изменит ли оно сложившуюся невыгодную для бизнеса практику?

Истцом в деле выступает ОАО «Вымпел-Коммуникации» (компания группы Билайн), а ответчиком – Управление Роспотребнадзора [1] по Пермскому краю. Истец оспорил предписание Роспотребнадзора (выданное по результатам проверки) об исключении из стандартного договора на оказание услуг связи условия о предоставлении третьим лицам, привлеченным оператором связи для взыскания задолженности, информации об абоненте, полученной в рамках договоров и необходимой для взыскания задолженности. Суд встал на сторону оператора связи и принял решение об отмене вышеуказанного предписания.

В обоснование своей позиции суд ссылается на новую норму Закона, закрепленную в ч. 3 ст. 6, касающейся права оператора персональных данных поручить обработку данных другому лицу с согласия субъекта персональных данных третьему лицу на основе заключенного с последним договора. Примечательно, что суд фактически признает в качестве такого согласия общим образом сформулированное положение договора относительно того, что в случае образования задолженности по оплате услуг связи оператор вправе привлекать к взысканию задолженности третьих лиц, и передача персональных данных таким третьим лицам не будет являться нарушением договора и законодательства.

До этого сложилась целая практика (правда с участием банков), в соответствии с которой суды отказывали банкам в обжаловании предписаний Роспотребнадзора об исключении положений о передаче информации о должниках соответствующим агентствам, специализирующимся на взыскании долгов, без согласия субъектов персональных данных. При этом суды ссылались еще на старую редакцию Закона [2]. ВАС РФ встал на сторону банков и признал такую уступку требований законной, однако в обоснование своей позиции ВАС РФ не ссылался на законодательство о персональных данных [3]. Таким образом, вышеуказанное решение Арбитражного суда Пермского края, пожалуй, одно из первых в рассматриваемом контексте вынесено в пользу операторов персональных данных и при этом основано на законодательстве о персональных данных.

Пока рано делать выводы на основе одного этого решения, которое, к тому же, еще может быть оспорено. Ясно одно – бизнесу дан позитивный сигнал, что новая редакция Закона, действительно, может защитить интересы бизнеса.

В виду рассматриваемого решения можно было бы порекомендовать компаниям, которые планируют передавать персональные данные должников «коллекторам», более подробно прописывать соответствующие положения договоров (описывать цели передачи данных, объем передаваемых данных и т. д.) и соотносить их (положения) с формулировками Закона. В этом случае риски оспаривания таких положений будут снижаться.

[1] Само по себе примечательно, что фактически Роспотребнадзор наряду с Роскомнадзором выступает органом, осуществляющим надзор за соблюдением законодательства о персональных  данных.

[2] См., например, Постановление 14 Арбитражного апелляционного суда от 10 августа 2011 года по делу № А13-2205/2011.

[3] См. п. 16 Информационного письма Президиума ВАС РФ от 13.09.2011 № 146 «Обзор судебной практики по некоторым вопросам, связанным с применением к банкам административной ответственности за нарушение законодательства о защите прав потребителей при заключении кредитных договоров».