Только не смейтесь…

Развитие событий: О сложности создания Матрицы в Брянской области (21 января 2022)

Автор: Павел Протасов, Duralex.org

Наблюдение за российской законотворческой и судебной практикой у далеких от нее людей часто вызывает реакцию вида «я такого и в цирке не видел!». Но если зритель немного задумывается, веселое удивление сменяется если и не ужасом, то состоянием глубокого замешательства. И это правильно: тот, кто знаком с нашей правовой системой, не должен смеяться. Даже в цирке.

Сейчас я попробую провести вас от одного состояния до другого максимально коротким путем...

Продукт при полном непротивлении сторон Роскомнадзору

Начнем мы издалека: с одного из недавних процессов из-за «персональных данных» по иску к жителю Обнинска Артему Майнасу. Совсем недавно суд по этому делу удовлетворил требования истцов. Сейчас решение еще не опубликовано, поэтому о требованиях мы знаем только из искового заявления. Впрочем, скорее всего, текст решения не будет сильно от него отличаться.

Началось все с того, что Артем создал сайт, посвященный Обнинску, на котором собирал, среди прочего, сведения о знаменитых земляках. Для тех из них, кто умер, иллюстрировал статьи фотографиями могил.

Опубликованная фотография надгробия ученого Феликса Кашина стала причиной претензии от сына умершего, которому ее публикация не понравилась. Фотография была удалена, но позже сыновья (да, уже вдвоем) потребовали удалить всю страницу с теми сведениями, которые были взяты с могильного камня. Майнас отказался. Слово за слово, потомки привлекли Роскомнадзор, но отказано было и ему. Потому что — ну а с чего бы тут что-то удалять?

В конце концов РКН пошел в суд с требованием «признать деятельность интернет-страниц … незаконной». А также обязать самого себя включить страницы с данными отца и сына Кашиных в «реестр запрещенной информации», за нарушение права «на неприкосновенность частной жизни, личную и семейную тайну».

Такое впечатление, что, если сотрудник РКН в иске о персональных данных ритуально не употребит эту традиционную формулировку, у него вычтут денег из зарплаты. Никаких других причин считать «тайной частной жизни» общеизвестную информацию, вообще-то нет: в силу прямого указания ГК (второй абзац ч. 1 ст. 152.2), такая информация статус «тайны» утрачивает, даже если речь идет о настоящей «тайне», а не о сведениях типа фамилии и имени, к которым этот статус откровенно притягивается за уши.

Но не это самое забавное в исковом заявлении (за предоставление которого хочу сказать Артему Майнасу отдельное спасибо). Основной повод к подаче иска — то, что данные «обрабатываются без согласия». Что популярно разъясняется в комментарии Калужского управления РКН «Известиям» по этому делу:

«...в соответствии с федеральным законом „О персональных данных“ гражданин принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе вне зависимости от формы фиксации персональных данных (фото, документ и т.п.). В отдельных случаях после смерти субъекта персональных данных согласие на обработку персональных данных дают наследники, если такое согласие не было получено при его жизни».

Общее правило закона «О персональных данных» действительно в этом и состоит. Правда, в 6-й статье закона, есть много исключений из него, одно из них такое:

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных).

Исключение — это частный случай общего правила обработки общедоступной информации, сформулированного в законе «Об информации...»: такая информация может использоваться кем угодно. Вполне логичный и понятный принцип.

Почему же РКН не считает это разрешение применимым в данном случае? А черт его знает. В исковом про это — всего пара абзацев:

«Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или наличия оснований, указанных в п.п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 №152-ФЗ „О персональных данных“, возлагается на оператора персональных данных.

Вместе с тем, согласно заявлению Кашина Глеба Феликсовича, он не давал согласия на обработку его персональных данных, а также персональных данных его отца, и не предоставлял иных законных оснований на обработку персональных данных...»

Странно: вроде бы никем не оспаривается то, что весь этот процесс начался из-за фото вполне общедоступной могилы. Доступ «неограниченного круга лиц» к которой предоставлен хотя и не «субъектом персональных данных», но как раз теми лицами, которые могут распоряжаться данными после его смерти.

Что же касается второй страницы, деятельность которой РКН требует признать незаконной, то она содержит ФИО, дату рождения и утверждение о том, что Глеб Кашин руководит танцевальным коллективом. Не знаю, как насчет последнего факта, но ФИО и дата опубликованы для всеобщего обозрения на странице самого Кашина «ВКонтакте». То есть, РКН здесь в упор не видит исключения, дающего право на обработку данных без согласия.

Как говорит сам Артем, он «уже ссылался на всё, что только можно. На Конституцию РФ (статья 29), на Гражданский Кодекс (152.2), на закон о похоронном деле, на закон о СМИ, на закон об информации. И даже на отдельные положения того самого ФЗ 152 о персональных данных. Однако РКН твердит, что всё это меркнет на фоне отсутствия согласия самого человека».

В общем, «в любой непонятной ситуации требуй согласие на обработку» — это, похоже, еще одно ритуальное требование, наличие которого в иске нужно несмотря ни на что и независимо ни от чего.

А ведь когда-то специалисты РКН проявляли прямо-таки чудеса доказательной эквилибристики при обосновании того, почему согласие для обработки таких данных из соцсетей все-таки жизненно необходимо…

Взаимоисключающие параграфы в действии

Я имею в виду еще одно дело, касающееся обработки персональных данных из социальных сетей: А40-5250/17-144-51 по иску «Национального бюро кредитных историй» к РКН.

В решении по делу подробно сформулирована «правовая позиция», весьма похожая на то, в чем РКН пытается убедить суд в «деле Майнаса». Непонятно правда, придумал это все суд или просто переписал из искового. Но нам сейчас неинтересны вопросы авторства, припишем его условному «роскомнадзору».

Так вот, РКН в этом деле умудрился запретить обработку общедоступной информации из социальных сетей при помощи совершенно нетривиальных умозаключений:

«Применительно к настоящему делу, следует отметить, что обработка персональных данных допускается в частности в следующих случаях:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1);
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных) (п. 10 ч. 1);

Таким образом, говоря о персональных данных, сделанных субъектом персональных данных общедоступными, необходимы два условия:

  1. персональные данные доступны неопределенному кругу лиц.
  2. персональные данные предоставлены непосредственно самим субъектом.

Без письменного согласия субъекта персональных данных не представляется возможным утверждать, что они предоставлены именно указанным субъектом».

Как мы видим, в этом отрывке неявно смешиваются друг с другом два самостоятельных основания для обработки данных, каждого из которых в отдельности достаточно для законной обработки. И делается вывод: согласие нужно даже тогда, когда согласие не нужно.

Почему именно согласие? Почему нельзя каким-то другим способом убедиться в том, что данные размещены самим субъектом?

Кстати, у суда есть возможность вообще ничего не выяснять и не доказывать, а просто презюмировать правомерность размещения в общем доступе сведений из соцсетей. ГПК (ч. 1 ст. 61) освобождает суд от доказывания тех сведений, которые признаны «общеизвестными». У кого-то есть сомнения в том, что сведения в профилях соцсетей выложены туда самими обладателями профилей? Не говоря уже об именах на могилах, как в случае с Майнасом…

Бывают, конечно, «фейковые» профили, в которых личные данные используются без ведома их обладателя, но именно этот факт и следует доказывать отдельно. Но РКН не ищет легких путей для ответчика и заставляет его подтверждать то, что и так очевидно и для подтверждения чего у него вообще нету никакой возможности (сомневаюсь, что «ВКонтакте» выдаст данные об авторе профиля по письму не из правоохранительных органов).

В случае с иском НБКИ все эти сложные умозаключения приводят к выводу, который прямо противоречит тексту закона. А вот в «деле Майнаса» они не фигурируют, авторы искового заявления просто обходят молчанием вопрос о том, почему без согласия обойтись решительно невозможно.

Но сразу же после этого отрывка следует другой смелый вывод, который нас к «делу Майнаса» возвращает:

«Таким образом, персональные данные, сделанные общедоступными субъектом персональных данных могут содержаться только в общедоступных источниках персональных данных».

Общеобязательный «источник»

Подробно Калужское управление РКН про «источник» разъясняет в том же комментарии «Известиям»:

«Данным законом также предусмотрена возможность создания общедоступных источников персональных данных и их обработки. При этом сведения о субъекте должны обрабатываться с соблюдением принципов законности и целеполагания обработки персональных данных, предусмотренных ст. 5 закона „О персональных данных“, а также могут быть исключены из общедоступных источников по требованию самого субъекта, его законного представителя либо по решению суда или иных уполномоченных государственных органов...»

В исковом заявлении, как и в решении по иску НБКИ, фрагмент про «источник» практически дословно переписан из статьи 8 Закона «О персональных данных»:

«1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных».

По смыслу этого описания, данные становятся общедоступными только после публикации в «источнике», на которую нужно согласие субъекта. Такая публикация — способ обнародовать их, передав кому-то для этого. При обработке данных, которые уже и так общедоступны, согласие, как мы помним, не нужно, в силу п. 10 ч. 1 ст. 6 Закона. Поэтому тот, кто их обрабатывает, никак не подходит под определение «источника».

И, если вы внимательно читали, то у вас должен возникнуть вопрос: почему, по мнению РКН, такие данные могут содержаться только в «источниках»? Ведь закон предусматривает еще и ситуацию, когда доступ «неограниченного круга лиц» к данным предоставлен самим субъектом, без чьей-либо помощи.

А вот это и есть та самая сова-на-глобусе, ради которой все затевалось. Объявить «источником» всех, кто обрабатывает общедоступные данные — это просто способ возложить на них обязанность владельца «источника», предусмотренную той же 8-й статьей:

«2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов».

Или можно еще провозгласить информацию, размещенную самими пользователями в соцсетях, «не общедоступной», как это было сделано в решении по иску НБКИ:

«…суд приходит к выводу, что информация о субъекте (в том числе персональные данные), содержащиеся в социальных сетях (в сети Интернет), не может быть отнесена к персональным данным, сделанным субъектом общедоступными, поскольку социальные сети не являются источником общедоступных персональных данных применительно к положению ст. 8 Закона».

Вообще, Роскомнадзор всегда был заводилой среди государственных органов, на которые законом возложены обязанности по осуществлению цензуры. Видимо, поэтому он и стал в этой сфере лучшим учеником.

Ведь такая «правовая позиция» дает возможность цензурировать не только то, что опубликовано о человеке кем-то, но и то, что публиковалось им самим или с его согласия. То есть, просто взять и запретить кому-то обрабатывать эту общедоступную информацию. А кому-то — не запрещать. Удобно же!

И процесс по иску НБКИ, и «дело Майнаса» направлены на формирование и закрепление именно такой практики. Причем, если вы думаете, что это было «инициативой на местах», то нет: еще в августе предводитель нашего главного цензурного органа жаловался на то, что нет никакого механизма удаления такой общедоступной информации, и предлагал его разработать.

Но РКН даже без нужного закона уже выполняет указания шефа явочным порядком, при помощи фигурного цитирования. И все это, разумеется, очень плохо, потому что «источник» этот действительно «общедоступный»: им может быть объявлен чуть ли не каждый из нас.

Правда, сейчас для этого требуется решение суда, но ситуацию предлагается исправить…

Сплошная видимость

В ноябре в Думу был внесен законопроект, задачей которого является регулирование как раз обработки общедоступных персональных данных. Внесен он хорошо знакомым читателям «Роема» депутатом Антоном Горелкиным. Он уже прошел все чтения в Думе, был подписан Президентом и вступит в силу в марте.

С его помощью планируется закрепить в законе нечто, близкое к описанной в этой статье «правовой позиции», которую сейчас Роскомнадзор в поте лица добывает в суде, фигурно цитируя законы. И, похоже, именно судебному решению по «делу НБКИ» законопроект обязан своим появлением.

Почему я так думаю? Во-первых, потому что решение стало хрестоматийным в среде «специалистов по защите персональных данных». Оно моментально разошлось по всяким методичкам и «обучающим вебинарам» и теперь серьезные вроде бы люди с серьезным видом читают другим серьезным людям лекции о том, что данные, опубликованные для всеобщего обозрения в сети, на самом деле, «общедоступными» не являются. Так, видимость…

Во-вторых, законопроект описывает процедуру, в которой есть вещи, необъяснимые с точки зрения общечеловеческой логики, но вполне понятные, если мы знаем обо всех натяжках, которые сделал суд в этом решении. Они перекочевали в законопроект даже несмотря на отсутствие какой-либо согласованности между всеми частями этой судейско-законотворческой конструкции.

Текст проекта ко второму чтению очень сильно отличается от того, что было изначально внесено в Думу. Это довольно частая ситуация: перед вторым чтением текст перерабатывается, и принимается нечто совершенно иное. А чтобы никто не не успел опомниться, сразу же следует и третье. Как и в этом случае: два этих чтения разделяют одни сутки.

Еще в законопроекте есть прочие милые мелочи, к которым все уже давно привыкли: например, в финансово-экономическом обосновании, как всегда, говорится, что принятие закона «не повлечет расходов». При этом в тексте упоминается некая «информационная система уполномоченного органа по защите прав субъектов персональных данных», которая непонятно на какие шиши будет создана или доработана.

…Если верить самому депутату Горелкину, это «законопроект об общедоступных персональных данных», принятый для более качественной их защиты. Но это — всего лишь видимость.

Потому что само понятие «общедоступных ПДн» из закона будет исключено вообще. Планируется убрать из текста тот самый десятый пункт шестой статьи, который разрешает свободную обработку «общедоступных персональных данных», а также содержит их определение.

Вместо них у нас теперь будут «персональные данные, разрешенные субъектом персональных данных для распространения». Так в тексте названа разновидность данных, обрабатываемых на общих основаниях, с согласия субъекта, правда, данного не только «оператору», но и «неограниченному кругу лиц».

Термин «общедоступный» в законе сохраняется, но только применительно к «общедоступным источникам». При этом по смыслу новой редакции закона те данные, которые содержатся в них, тоже будут всего лишь «данными, разрешенными для распространения». Проект определяет их как данные, «доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

В таком согласии могут содержаться также «запреты на обработку или условия обработки … этих персональных данных неограниченным кругом лиц». Правда, никакого механизма по доведению условий согласия до этого «неограниченного круга лиц» проект не предусматривает: их может узнать только сам оператор и тот, кто получил данные непосредственно от него.

Непонятно также, как планируется заставить «неограниченный круг лиц» соблюдать ограничения, которые содержатся в согласии, данном не им, а оператору. Но этого и не нужно: по замыслу авторов законопроекта, у субъекта будет право запретить кому угодно обрабатывать свои персональные данные: тому, кому было дано согласие — путем его отзыва, а всем остальным — потому что не получили согласия.

Кстати, в связи с этим возникает вопрос: а зачем в этой схеме вообще «согласие»? Ведь запретить обработку можно что с ним, что без него, разница только в формальной процедуре. Помните: «согласие нужно даже тогда, когда согласие не нужно»?

Изначально проектом предлагалось вообще исключить такое основание «общедоступности» данных как самостоятельная публикация их субъектом — все только через «источники», путем дачи согласия оператору на их обработку и предоставление к ним доступа «неограниченному кругу лиц».

Ко второму чтению авторы такую возможность предусмотрели, но только для того, чтобы обязать тех, кто такие данные обрабатывает, «предоставить доказательства законности последующего распространения или иной обработки». То есть, сама по себе такая публикация не дает никому права на дальнейшую обработку, для которой требуется отдельное основание. Помните: «персональные данные, сделанные общедоступными субъектом персональных данных могут содержаться только в общедоступных источниках персональных данных»?

Даже когда авторы пытаются разрешить что-то делать с данными, все равно у них не получается ничего, кроме создания видимости. К примеру, в число исключений, когда ПДн могут обрабатываться без согласия, входит ситуация, когда «обработка персональных данных осуществляется в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации».

Но сейчас нормативного акта, определяющего, что относится к таким «интересам», нет, да он и не требуется: их перечень жестко никогда не задавался, существуя в виде судебных толкований. В самом законопроекте такого перечня также не содержится и не говорится о том, кто и в какие сроки должен его принять.

Принятие проекта с «разрешением», данным в таком виде, просто исключит для кого-либо возможность ссылаться на «обработку в публичных интересах», оставив только прямо упомянутые «государственные» и «общественные». То есть, фактически под видом «разрешения» вводится ограничение.

Еще в законе говорится о том, что требования к содержанию согласия на обработку таких данных должны быть установлены «уполномоченным органом». До тех пор, пока они не появятся, обрабатывать их будет невозможно. То есть, если Роскомнадзор до вступления закона в силу не сформулирует таких требований, применять его будет просто нельзя, пока они не появятся. Не такая уж невероятная ситуация, кстати.

Думаю, нововведениям очень обрадуются всякие мелкие жулики: сейчас к их услугам только «право на забвение», при помощи которого можно удалять результаты поиска. При новом порядке это станет можно сделать с любым упоминанием, удалив его непосредственно из первоисточника.

Рекомендую российским СМИ и блогерам приготовиться к нашествию самодеятельных цензоров. При этом если у «солидных» СМИ сослаться на «интересы» может быть и получится, то у всяких там мелких блогеров — уже вряд ли. А «иностранных агентов» и прочих врагов государства будут подвергать цензуре пачками…

Как можно видеть на этом примере, «окно Овертона», хотя и не существует, но действует. Еще полгода назад кому сказать про «ограничения на обработку» общедоступной информации — засмеяли бы. Сейчас идея такие ограничения ввести уже почти превращена в закон, причем в кратчайшие сроки.

Довольно забавно наблюдать за всем этим созданием видимости, но только до тех пор, пока не понимаешь, что после вступления в силу законопроекта само существование общедоступных персональных данных станет невозможным. Сбудется пророчество серьезных людей: общедоступность открыто опубликованных в сети персональных данных станет видимостью. Как и было сказано в их «обучающих вебинарах».

Добавить 15 комментариев

  • Ответить

    Интресно было бы подать заявление на роскомнадзор в сам роскомнадзор за нарушение этого закона — ведь персональные данные он то обрабатывает а вот разрешения ему ни кто не давал.

    А если серьёзно это ведь прекрасный способ затрахать любую компанию до полусмерти.

  • Ответить

    На самом деле даже любопытно посмотреть будет на новый дивный мир, который вернется к истокам. Подумать только — телефонный справочник сможет издать только сама телефонная компания! Впрочем, слабо верится, что сейчас в принципе возможен такой откат на 40 лет назад.

    На практике я очень часто не понимаю, зачем вообще разные компании копят у себя персональные данные. Это фетишь, который сидит в головах у маркетологов, что надо хапать все, до чего дотянулись. Даже Госуслуги зачем-то шлют мне пару поздравлений с днем рождения — вот прямо надо, надо мне это. Во многих сценариях реального бизнеса персональные данные вообще не нужны — никакие (не только с точки зрения клиента, но и исходя из целей самого бизнеса), а их сбор всеми участниками рынка — пустая трата сил, времени, которые только порождают риски и дают работу юристам.

    Но победив бизнес в вопросах сбора и обработки ПД, Роскомнадзор упрется в дилемму — некоторые участники блогов, соц. сетей и пр. сами предпочитают оставаться анонимными. И если безымянный аккаунт любого сервиса начинает использоваться для политической агитации (а-ка призывы на митинги внутри игрового чата), то получается, что надо бы обязать бизнес собирать ПД, чтобы идентифицировать такие аккаунты — классическая проблема запятой «собирать нельзя запретить».

  • Ответить
    Игорь Ашманов Сам себе компания

    «На практике я очень часто не понимаю, зачем вообще разные компании копят у себя персональные данные»

    Они продают их на миллиарды долларов в год, для начала. Во-вторых, передают госорганам — на это имеются законы, в том числе требующие собирать.
    Они используют их в Программатике, на своих DMP-платформах в аукционах про продаже пользователя рекламным платформам.
    Там везде агромадные бабки.

    Данные — это новая нефть. Зачем её качают? Ну, потому что это нефть.

    «зачем-то шлют мне пару поздравлений с днем рождения — вот прямо надо, надо мне это.»

    А никому не важно, что вам надо, кроме товаров и услуг.
    А, ну и на митинг затащить, естественно.

    Например, сделав таргетинг на аудиторию 11-15, как сегодня.

  • Ответить

    Я не отрицаю, что есть действительно бизнес на этих данных, их покупают и продают. Но по факту этим занимается 1% от тех, кто их собирает, а остальные 99% просто не насобирали их в нужном объеме или не имеют достаточных компетенций, чтобы их вообще хоть как-то использовать, но все равно мечтают про «агромадные бабки» и продолжают грызть кактус. Ну и в целом получается так, что этот 1% продолжает заниматься своими делами безо всякого внимания РКН (пример письма от менедждера телекома я тоже читал), а вот остальные регулярно и попадают под раздачу то здесь, то там.

  • Ответить
    Игорь Ашманов Сам себе компания

    «этим занимается 1% от тех, кто их собирает, а остальные 99% просто не насобирали их в нужном объеме или не имеют достаточных компетенций»

    Этим занимаются МТС, Билайн, Мегафон, Теле2, Ростелек, Мыло, Яндекс, Гугл, ВК, ОК, ФБ, Инстаграм, у которых 99% трафика, 99% аккаунтов и 99% персональных данных. И достаточно компетенций и схем монетизации.

  • Ответить

    Да, но на ваш взгляд — в какой мере менно их (всех перечисленных) может затронуть вся эта суета РКН и судебные новшества? Случится ли так, что они в какой-то степени поменяются по давлением РКН, судов или каких-то новаций в законоприменении? Сколько раз придется написать «если» при ответе на такой вопрос?

  • Ответить

    Именно поведение и отношение к данным всех перечисленных и придётся менять. Это возможно.
    Вот даст Путин поручение по итогам декабрьской встречи с СПЧ по цифровым правам граждан (одно из десятка), заработает рабочая группа, пригласим туда всех перечисленных, глядишь, и устаканится нормальный сбалансированный вариант.

  • Ответить

    > «.. У кого-то есть сомнения в том, что сведения в профилях соцсетей выложены туда самими обладателями профилей? Не говоря уже об именах на могилах, как в случае с Майнасом…»

    У меня есть сомнения. Нагленькие соцсети и всякие убогие сервисы услуг и т. п. обманом тащат с пользователей не то что ФИО, а очень часто и требуют прислать скан папорта, а особо дебильные требуют и селфи рядом с паспортом. Так что если вы видите в Интернете чьё-то ФИО и фото рядом, то очень сильно не факт, что это было размещено не под принуждением. С ПД трупака ФИО, датой и фото — тоже вроде забавно, но следуя логике, да, это, получается, незаконно, раз наследники возбудились. Так что самое время стрясти с клод’бища компенсацию за расшаринг. А физлицо пожурить, что и было сделано.

    > «.. Думаю, нововведениям очень обрадуются всякие мелкие жулики: сейчас к их услугам только «право на забвение», при помощи которого можно удалять результаты поиска. При новом порядке это станет можно сделать с любым упоминанием, удалив его непосредственно из первоисточника.»

    Скорее уж крупные и сверхкрупные. Мелкота-то что? — Наворовали и ******* уехали. Это крупняку выгодно тащить перманентно, не ероша аудиторию своим ФИО и не отсвечивая делишками.