Ведение домовых чатов в качестве создателя и админа в течение нескольких лет заставило меня задуматься о правовом регулировании этой деятельности. Ряд вопросов, который всё чётче вырисовывается в моём понимании проблемы, выглядит примерно так:
- Попадает ли деятельность админа домового чата по действие Федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ?
- Является ли админ чата дома оператором персональных данных?
- Обязан ли админ чата дома направлять в Роскомнадзор уведомление о начале обработки персональных данных в установленной форме?
- Может ли любой из участников группы (чата) в мессенджере пожаловаться на несоблюдение админами чата положений Федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ?
- Как будет реагировать Роскомнадзор на подобные жалобы?
Хорошо было бы, конечно, подвести законодательное обоснование того, что домовые чаты не попадают под действие закона о персональных данных.
Что такое чат дома и для чего он нужен, мы писали ранее.
Начнём с того, что такое персональные данные.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Это определение из текста закона.
На первый взгляд, под это определение попадает практически любая информация о человеке, однако многие юристы поясняют, что персональными данными могут считаться только те данные, по которым можно однозначно идентифицировать конкретное лицо. То есть, если имеющихся данных для этого явно недостаточно, значит это не персональные данные. Истинность этого довода под вопросом, так как в законе не приведён точный перечень данных и их сочетания, которые считаются персональными данными.
Определённо ясно одно – законодательство и правоприменительная практика в этой сфере сильно отстают от развития технологий.
Теперь второе важно понятие. Что такое обработка персональных данных? Из ФЗ:
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Стоит отметить, что этот перечень не является исчерпывающим и не исключает возможности обработки персональных данных иными способами.
Запись в телефонном справочнике личного смартфона номеров телефонов соседей, их Ф.И.О. и номеров их квартир является обработкой персональных данных? По определению, приведённому в законе, является.
ФЗ «О персональных данных» вводит такое понятие как оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Какие у админа домового чата есть зацепки для обоснования того, что он не является оператором персональных данных по смыслу ФЗ «О персональных данных»?
Во-первых, есть п. 1 ч. 2. ст. 1 того же ФЗ:
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных.
Можно ли отнести запись контактов соседей в личный мобильный телефон и создание потом с их помощью чата дома (группы в мессенджере) к личным нуждам?
Вопрос сложный , дискуссионный. Пожалуй, сделаем запрос пояснений в Роскомнадзор. После получения ответа обновим здесь информацию.
Также стоит обратить внимание на п. 10 ч. 1 ст. 6 этого же ФЗ: Обработка персональных данных допускается в следующих случаях:
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных).
То есть, если ваш сосед сам написал вам, представился и попросил добавить его в чат дома (таким образом выразил согласие на обобществление своих персональных данных), значит, обработка вами его персональных данных производится на основании п. 10 ч. 1 ст. 6 ФЗ № 152-ФЗ - по его просьбе.
Важная особенность домовых чатов заключается в том, что сама информационная система, то есть мессенджер, админу чата не принадлежит и админом не контролируется, следовательно, он не может реализовать требования по защите информации (изложенные в 152-ФЗ, постановлении Правительства РФ от 01.11.2012 N 1119, приказе ФСБ России от 10.07.2014 N 378, приказе ФСТЭК России от 18.02.2013 N 21), поэтому обработка персональных данных в таких системах невозможна. Мы не знаем где Telegram или WhatsApp хранит данные (в Россия или на зарубежных серверах). Админ в данном случае является всего лишь организатором сообщества соседей. Однако в законе пока такое понятие отсутствует и вряд ли когда-нибудь появится.
А что если админ домового чата хранит, систематизирует и периодически актуализирует контакты соседей не только в памяти личного телефона, но и, скажем, в excel-файле на домашнем компьютере? Является ли это уже использованием средств автоматизации?
На этот вопрос нам отвечает п. 1 раздела I Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687):
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
При работе с контактами соседей в excel-файле на домашнем компьютере необходимо непосредственное участие человека, значит, здесь обходимся без использования средств автоматизации. Но что это даёт?
Смотрим ст. 22 Федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ, ч. 2:
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
То есть как с excel-файлом, так и без него – просто контакты в личном телефоне, о такой обработке персональных данных не нужно уведомлять Роскомнадзор. Это уже несколько успокаивает.
Однако при такой обработке, администратор домового чата становится оператором персональных данных, хоть и освобождается от необходимости направлять уведомление.
Оператор - это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона о персональных данных).
Таким образом, любое лицо - физическое или юридическое, к которому попадают персональные данные, становится оператором и должно соблюдать требования по их обработке.
Отсюда выполнение всех требований и ответственность.
Также для случая обработки персональных данных без использования средств автоматизации существуют свои правила, которые утверждены Постановлением Правительства РФ N 687 15 сентября 2008 г.
Формулировки в этом положении также довольно расплывчатые и на мой взгляд, отстают от современных технологий. Например, в нём сказано о необходимости уничтожения физического носителя персональных данных при их удалении. Вы представляете себе уничтожение жёсткого диска после удаления файла с реестром контактов соседей? И я не представляю.
После стольких размышлений всё равно пока в этой теме остаётся больше вопросов, чем ответов. Хотя на один вопрос - о необходимости извещении Роскомнадзора - нам ответить всё-таки удалось. Тем не менее, некоторые эксперты считают, что не стоит здесь раскачивать лодку и обращать взор регулятора в эту сторону.
Но есть и другое мнение – что этот взор туда со временем неизбежно будет обращён, поэтому лучше попытаться подготовиться заранее.
Хорошо было бы иметь обзор судебной практики по этому вопросу, но вряд ли он существует, ведь если и были обращения/жалобы в Роскомнадзор по этой теме, то РКН, скорее всего, принимает постановления по делу об административном правонарушении (если находит состав нарушения), что делается без суда. Данные постановления нигде не публикуются, поэтому их обзор сделать нельзя. А вот оспаривание таких постановлений происходит уже в суде. Понятно, что оспаривается у нас обычно лишь малая доля подобных постановлений, так как штрафы незначительные – проще заплатить.
Теперь давайте разберёмся, а сколько же придётся заплатить физическому лицу при неблагоприятном исходе событий.
КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных:
1. Обработка ПД, несовместимая с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния - предупреждение или штраф от 1000 до 3000 рублей;
2. Обработка ПД без согласия в письменной форме субъекта в случаях, когда согласие должно быть получено в соответствии с законодательством - штраф от 3000 до 5000 рублей;
3. Невыполнение оператором ПД предусмотренной законодательством РФ обязанности по опубликованию документа, определяющему политику оператора в отношении персональных данных, или сведениям о реализуемых требованиях к защите персональных данных - штраф от 700 до 1500 рублей;
4. Невыполнение оператором ПД предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту информации, касающейся его персональных данных, - штраф от 1000 до 2000 рублей;
5. Невыполнение оператором требования субъекта ПД либо уполномоченного органа по защите прав субъектов ПД об уточнении ПД, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, - штраф от 1000 до 2000 рублей;
6. Невыполнение оператором при обработке ПД без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области ПД сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД при отсутствии признаков уголовно наказуемого деяния - штраф от 700 до 2000 рублей;
8. Невыполнение оператором при сборе ПД, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, - штраф от 30 000 до 50 000 рублей;
9. Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи, - штраф от 50 000 до 100 000 рублей.
Подводя итог написанному, скажу, что вопросов в результате написания всех этих размышлений меньше не стало, поэтому хотелось бы публикацией этой статьи начать общественную дискуссию, чтобы окончательно разобраться в этой неоднозначной и сложной теме.
Статья подготовлена специально для телеграм-канала Старший по дому с использованием диалога с подписчиком @Vyacheslav00.
Спасибо автору канала ЖКХ за совет, с кем посоветоваться.
Посмотрите также другие интересные статьи по ЖКХ:
Как получить реестр собственников через ФГИС ЕГРН?
Чат дома – что это такое и для чего он нужен?
Как проверить, не подделали ли вашу подпись на ОСС?
Как актуализировать реестр собственников помещений в МКД?
Выгодно ли платить за отопление по индивидуальным теплосчётчикам (ИПУ)?
База контактов собственников: способы сбора и применение
Друзьям – всё, остальным – закон. Недопуск провайдеров в МКД
Должна ли УК подписывать с собственниками «бумажные» договоры управления? Реальный пример
Общее число голосов на ОСС. Должны ли учитываться голоса не собственников, но правообладателей?
Как МосОблЕИРЦ использует дыру в законе о рекламе
Как ТСЖ зарабатывает на сборах за воду для общедомовых нужд
