Размещение в сми персональных данных. Персональные данные и работа с ними в сми. ​​​ Являются ли фотографии персональными данными

По общему правилу, в силу ФЗ «О персональных данных», при публикации ПД необходимо получать согласие гражданина. По логике закона, данное требование направлено на обеспечение защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Каждую ситуацию надо рассматривать персонально, но мы сейчас приведем один любопытный пример, когда ПД гражданина были распространены на сайте без его согласия (речь идет об имени, отчестве, месте работы и занимаемой должности). Интересный момент: данные были о враче стоматологе, признанном виновным в причинении смерти по неосторожности Сегежским городским судом.

Управление Роскомнадзора по республике Карелии направило в редакцию сайта требование об удалении ПД. Не согласившись с контрольным органом, редактор сайта обратился в Петрозаводский городской суд с требованием о признании требования незаконным. Суд исковое требование редактора удовлетворил.

Не желая забегать вперед, мы не стали додумывать за суд и предполагать его аргументацию.

Сегодня мы получили на руки решение суда (судья Лазарева Е.В.) и приводим его доводы.

1.Суд признал врача-стоматолога Манова А.М. публичной фигурой:

Медицинский работник (тем более медицинский работник государственного учреждения здравоохранения) применительно к правовой позиции, сформулированной в п.25 постановления Пленума ВС РФ от 15.06.2010 г. № 16 «О практике применения судами Закона РФ «О средствах массовой информации», а также исходя из определения «публичная фигура», данного в Резолюции № 1165 (1998) Парламентской ассамблеи Совета Европы «О праве на неприкосновенность частной жизни», занимая должность в ГБУЗ, пользуясь государственными ресурсами и, будучи медицинским работником, т.е лицом, априори пользующимся заслуженным уважением в обществе, играет определённую роль в общественной жизни (в социальной сфере), является публичной фигурой.

2.Суд усмотрел общественный интерес в публикации данных о приговоре Манову:

Суд также полагает необходимым отметить, что сведения о факте совершения преступления, обстоятельствах его совершения (в том числе, о специальности и занимаемой должности), а также фамилии и инициалы лица, совершившего преступление в связи с ненадлежащим исполнение своих профессиональных обязанностей на занимаемой им должности, имели значительный общественный резонанс.

3.По мнению суда, обработка ПД возможна без согласия гражданина, если речь идет об информировании общества по общественно-важным темам.

Это давало заявителю, преследующему, в том числе, цель информирования общества о ненадлежащим образом оказанных медицинских услуг, повлёкших причинение смерти, возможность предупреждения неопределенного круга лиц о ненадлежащей квалификации и профессиональных качествах осужденного, право осуществить обработку его ПД для достижения общественно важных целей и защиты жизни, здоровья и иных жизненно важных интересов других лиц. При этом учитывается, что получение согласие у субъекта ПД от него самого, исходя из конкретных обстоятельств, было очевидно невозможно.

4.Суд отметил, что обязывающая часть требований, сформулирована нечетко, неконкретно, не содержала указание на то, в отношении каких именно ПД Манова должно быть обеспечено прекращение неправомерной обработки.

Отсутствие конкретных указаний очевидно не позволяло лицу, которому оно адресовано, правильно исполнить его, не ограничивая себя в правах, установленных ч.4 ст.29 Конституции РФ, п.1 ст.3 ФЗ «О персональных данных» , нарушает установленный ч.5 ст.29 Конституции РФ запрет на цензуру (выделено автором).

Роскомнадзор является контрольно-надзорным органом за СМИ и интернет сайтами. Основанная его задача – контролировать исполнение законов и в случае их несоблюдения привлекать к ответственности. Но контроль не должен быть формальным, не должен вести к замалчиванию общественно-важной информации, не должен ограничивать сайты и СМИ в праве на получение и на распространение информации. Инициируя данный судебный спор, мы именно эту позицию и хотели довести до Роскомнадзора.

Суд выступил в нашем споре независимым арбитром и усмотрел, что требование РКН о прекращении неправомерной обработки ПД вынесено в отсутствие фактических оснований и его содержание не соответствует нормативным правовым актам, регулирующих спорные правоотношения.

Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре.
Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.

Миф 1. Я поставил антивирус, межсетевой экран, огородил стойки забором. Я же соблюдаю закон?

152-ФЗ – не про защиту систем и серверов, а про защиту персональных данных субъектов. Поэтому соблюдение 152-ФЗ начинается не с антивируса, а с большого количества бумажек и организационных моментов.
Главный проверяющий, Роскомнадзор, будет смотреть не на наличие и состояние технических средств защиты, а на правовые основания для обработки персональных данных (ПДн):

• с какой целью вы собираете персональные данные;
• не собираете ли вы их больше, чем нужно для ваших целей;
• сколько храните персональные данные;
• есть ли политика обработки персональных данных;
• собираете ли согласие на обработку ПДн, на трансграничную передачу, на обработку третьими лицами и пр.

Ответы на эти вопросы, а также сами процессы должны быть зафиксированы в соответствующих документах. Вот далеко не полный список того, что нужно подготовить оператору персональных данных:

• Типовая форма согласия на обработку персональных данных (это те листы, которые мы сейчас подписываем практически везде, где оставляем свои ФИО, паспортные данные).
• Политика оператора в отношении обработки ПДн ( есть рекомендации по оформлению).
• Приказ о назначении ответственного за организацию обработки ПДн.
• Должностная инструкция ответственного за организацию обработки ПДн.
• Правила внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям закона.
• Перечень информационных систем персональных данных (ИСПДн).
• Регламент предоставления доступа субъекта к его ПДн.
• Регламент расследования инцидентов.
• Приказ о допуске работников к обработке ПДн.
• Регламент взаимодействия с регуляторами.
• Уведомление РКН и пр.
• Форма поручения обработки ПДн.
• Модель угроз ИСПДн.

После решения этих вопросов можно приступать к подбору конкретных мер и технических средств. Какие именно понадобятся вам, зависит от систем, условий их работы и актуальных угроз. Но об этом чуть позже.

Реальность: соблюдение закона – это налаживание и соблюдение определенных процессов, в первую очередь, и только во вторую – использование специальных технических средств.

Миф 2. Я храню персональные данные в облаке, дата-центре, соответствующем требованиям 152-ФЗ. Теперь они отвечают за соблюдение закона

Когда вы отдаете на аутсорсинг хранение персональных данных облачному провайдеру или в дата-центр, то вы не перестаете быть оператором персональных данных.
Призовем на помощь определение из закона:

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Источник: статья 3, 152-ФЗ

Из всех этих действий сервис-провайдер отвечает за хранение и уничтожение персональных данных (когда клиент расторгает с ним договор). Все остальное обеспечивает оператор персональных данных. Это значит, что оператор, а не сервис-провайдер, определяет политику обработки персональных данных, получает от своих клиентов подписанные согласия на обработку персональных данных, предотвращает и расследует случаи утечки персональных данных на сторону и так далее.

Следовательно, оператор персональных данных по-прежнему должен собрать документы, которые были перечислены выше, и выполнить организационные и технические меры для защиты своих ИСПДн.

Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако. Он также собирает пакет документов, принимает организационные и технические меры для своего куска инфраструктуры в соответствие с 152-ФЗ.

Некоторые провайдеры помогают с оформлением документов и обеспечением технических средств защиты для самих ИСПДн, т. е. уровня выше инфраструктуры. Оператор тоже может отдать эти задачи на аутсорсинг, но сама ответственность и обязательства по закону никуда не исчезают.

Реальность: обращаясь к услугам провайдера или дата-центра, вы не можете передать ему обязанности оператора персональных данных и избавиться от ответственности. Если провайдер вам это обещает, то он, мягко говоря, лукавит.

Миф 3. Необходимый пакет документов и мер у меня есть. Персональные данные храню у провайдера, который обещает соответствие 152-ФЗ. Все в ажуре?

Да, если вы не забыли подписать поручение. По закону оператор может поручить обработку персональных данных другому лицу, например, тому же сервис-провайдеру. Поручение – это своего рода договор, где перечисляется, что сервис-провайдер может делать с персональными данными оператора.

Тут же закрепляется обязанность провайдера соблюдать конфиденциальность персональных данных и обеспечивать их безопасность в соответствии с указанными требованиями:

За это провайдер несет ответственность перед оператором, а не перед субъектом персональных данных:

В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Источник: 152-ФЗ .

В поручении также важно прописать обязанность обеспечения защиты персональных данных:

Реальность: если отдаете персональные данные провайдеру, то подписывайте поручение. В поручении указывайте требование по обеспечению защиты ПДн субъектов. Иначе вы не соблюдаете закон в части передачи работ обработки персональных данных третьим лицом и провайдер в части соблюдения 152-ФЗ вам ничего не обязан.

Миф 4. За мной шпионит Моссад, или У меня непременно УЗ-1

Некоторые заказчики настойчиво доказывают, что у них ИСПДн уровня защищенности 1 или 2. Чаще всего это не так. Вспомним матчасть, чтобы разобраться, почему так получается.
УЗ, или уровень защищенности, определяет, от чего вы будете защищать персональные данные.
На уровень защищенности влияют следующие моменты:

• тип персональных данных (специальные, биометрические, общедоступные и иные);
• кому принадлежат персональные данные – сотрудникам или несотрудникам оператора персданных;
• количество субъектов персональных данных – более или менее 100 тыс.
• типы актуальных угроз.

Про типы угроз нам рассказывает Постановление Правительства РФ от 1 ноября 2012 г. № 1119 . Вот описание каждого с моим вольным переводом на человеческий язык.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Если вы признаете этот тип угроз актуальным, значит вы свято верите в то, что агенты ЦРУ, МИ-6 или МОССАД разместили в операционной системе закладку, чтобы воровать персональные данные конкретных субъектов именно из ваших ИСПДн.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Если считаете, что угрозы второго типа – это ваш случай, то вы спите и видите, как те же агенты ЦРУ, МИ-6, МОССАД, злобный хакер-одиночка или группировка разместили закладки в каком-нибудь пакете программ для офиса, чтобы охотиться именно за вашими персональными данными. Да, есть сомнительное прикладное ПО типа μTorrent, но можно сделать список разрешенного софта к установке и подписать с пользователями соглашение, не давать пользователям права локальных администраторов и пр.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Вам не подходят угрозы 1 и 2 типов, значит, вам сюда.

С типами угроз разобрались, теперь смотрим, какой же уровень защищенности будет у нашей ИСПДн.

Таблица на основе соответствий, прописанных в Постановлении Правительства РФ от 1 ноября 2012 г. № 1119 .

Если мы выбрали третий тип актуальных угроз, то в большинстве случаев у нас будет УЗ-3. Единственное исключение, когда угрозы 1 и 2 типа не актуальны, но уровень защищенности все равно будет высоким (УЗ-2), – это компании, которые обрабатывают специальные персональные данные несотрудников в объеме более 100 000. Например, компании, занимающиеся медицинской диагностикой и оказанием медицинских услуг.

Есть еще УЗ-4, и он встречается в основном у компаний, чей бизнес не связан с обработкой персональных данных несотрудников, т. е. клиентов или подрядчиков, либо базы персональных данных малы.

Почему так важно не переборщить с уровнем защищенности? Все просто: от этого будет зависеть набор мер и средств защиты для обеспечения этого самого уровня защищенности. Чем выше УЗ, тем больше всего надо будет сделать в организационном и техническом плане (читай: тем больше денег и нервов нужно будет потратить).

Вот, например, как меняется набор мер обеспечения безопасности в соответствии с тем же ПП-1119.

Теперь смотрим, как, в зависимости от выбранного уровня защищенности, меняется список необходимых мер в соответствии с Приказом ФСТЭК России № 21 от 18.02.2013 г. К этому документу есть длиннющее приложение, где определяются необходимые меры. Всего их 109, для каждого УЗ определены и отмечены знаком "+" обязательные меры – они как раз и рассчитаны в таблице ниже. Если оставить только те, которые нужны для УЗ-3, то получится 41.

Реальность: если вы не собираете анализы или биометрию клиентов, вы не параноик боитесь закладок в системном и прикладном ПО, то, скорее всего, у вас УЗ-3. Для него предусмотрен вменяемый список организационных и технических мер, которые реально выполнить.

Миф 5. Все средства защиты (СЗИ) персональных данных должны быть сертифицированы ФСТЭК России

Если вы хотите или обязаны провести аттестацию, то скорее всего вам придется использовать сертифицированные средства защиты. Аттестацию будет проводить лицензиат ФСТЭК России, который:

• заинтересован продать побольше сертифицированных СЗИ;
• будет бояться отзыва лицензии регулятором, если что-то пойдет не так.

Если аттестация вам не нужна и вы готовы подтвердить выполнение требований иным способом, названным в Приказе ФСТЭК России № 21 «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных», то сертифицированные СЗИ для вас не обязательны. Постараюсь кратко привести обоснование.

Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.
При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:

Пункт 12 Приказа № 21 ФСТЭК России .

Реальность: закон не требует обязательного использования сертифицированных средств защиты.

Миф 6. Мне нужна криптозащита

Тут несколько нюансов:

1. Многие считают, что криптография обязательна для любых ИСПДн. На самом деле использовать их нужно лишь в случае, если оператор не видит для себя иных мер защиты, кроме как применение криптографии.
2. Если без криптографии никак, то нужно использовать СКЗИ, сертифицированные ФСБ.
3. Например, вы решили разместить ИСПДн в облаке сервис-провайдера, но не доверяете ему. Свои опасения вы описываете в модели угроз и нарушителя. У вас ПДн, поэтому вы решили, что криптография – единственный способ защиты: будете шифровать виртуальные машины, строить защищенные каналы посредством криптозащиты. В этом случае придется применять СКЗИ, сертифицированные ФСБ России.
4. Сертифицированные СКЗИ подбираются в соответствии с определенным уровнем защищенности согласно Приказу № 378 ФСБ .

Для ИСПДн с УЗ-3 можно использовать КС1, КС2, КС3. КС1 – это, например, C-Терра Виртуальный шлюз 4.2 для защиты каналов.

KC2, КС3 представлены только программно-аппаратными комплексами, такими как: ViPNet Coordinator, АПКШ «Континент», С-Терра Шлюз и т. д.

Если у вас УЗ-2 или 1, то вам нужны будут средства криптозащиты класса КВ1, 2 и КА. Это специфические программно-аппаратные комплексы, их сложно эксплуатировать, а характеристики производительности скромные.

Реальность: закон не обязывает использовать СКЗИ, сертифицированные ФСБ.

Защита персональных данных в России стремительно набирает обороты. СМИ и интернет-операторы вынуждены доказывать в судах, что размещенная информация является достоверной и не нарушает права граждан или организаций. В обзоре судебной практики - дела по защите персональных данных бизнесменов и простых граждан.

1. Закон о защите персональных граждан не противоречит Конституции РФ

Конституционный Суд РФ решил, что норма "О персональных данных", согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, не противоречит Конституции РФ .

Суть спора

В Конституционный Суд РФ с жалобой на несоответствие Конституции РФ статьи 7 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, обратилась гражданка. Заявительнице было отказано в предоставлении данных на третьих лиц, которые ранее являлись ее коллегами в образовательном учреждении. Гражданка сочла, что эта норма противоречит части 4 статьи 29 Конституции РФ , поскольку позволяет правоприменительным органам отказывать в предоставлении информации, необходимой для защиты нарушенных прав гражданина.

Решение суда

Конституционный Суд определением от 26 мая 2016 г. N 1158-О отказал гражданке в принятии жалобы к рассмотрению. Судьи отметили, что КС РФ уже неоднократно указывал, что в понятие "частная жизнь" включается только та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если носит непротивоправный характер. Поэтому ограничение на раскрытие и распространение информации, относящейся к персональным данным, направлено на обеспечение разумного баланса конституционно-защищаемых ценностей. В связи с этим оспариваемая заявительницей норма закона не может рассматриваться как нарушающее ее конституционные права в указанном в жалобе аспекте.

2. За распространение материалов, содержащих персональные данные, СМИ может быть закрыто

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может прекратить деятельность средства массовой информации, если были установлены факты распространения материалов, содержащих персональные данные, и другие систематические нарушения требований закона, допущенные редакцией издания. Так решил Верховный суд РФ.

Суть спора

За нарушение требований статьи 4 и опубликование редакцией газеты "Лабинские вести" материалов, которые содержали персональные данные несовершеннолетней гражданки, а именно фамилии, имени, сведений о школе, в которой обучается несовершеннолетняя, без ее согласия и согласия ее законного представителя, а также ряда других статей с персональными данными несовершеннолетних, Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций вынесло письменное предупреждение о недопустимости распространения через средство массовой информации сведений, составляющих специально охраняемую законом тайну, главному редактору СМИ газеты "Лабинские вести". Однако, главный редактор не отреагировала на это предупреждение и продолжала публиковать персональные данные граждан без их согласия. Поэтому Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций обратилось в Краснодарский краевой суд с исковым заявлением о прекращении деятельности газеты "Лабинские вести".

Решение суда

Решением суда первой инстанции исковое заявление Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций было удовлетворено и деятельность газеты прекращена. В качестве апелляционной инстанции в этом процессе Судебная коллегия по административным делам Верховного Суда Российской Федерации. В определении Верховного Суда РФ от 24.06.2015 N 18-АПГ15-7 судьи не нашли оснований для отмены решения суда первой инстанции. Причиной для такого решения послужил тот факт, что в силу статьи 4 не допускается использование средств массовой информации для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну. Новелла статьи 16 данного закона определяет, что основанием для прекращения судом деятельности средства массовой информации являются неоднократные нарушения редакцией требований данного закона. Такие нарушения должны происходить не менее, чем в течение двенадцати месяцев. Как это происходило в спорной ситуации, по поводу чего регистрирующий орган делал письменные предупреждения учредителю и главному редактору. Кроме того, судьи отметили, что по нормам статьи 3 такими данными признается любая информация, которая относится к прямо или косвенно определенному субъекту персональных данных. К этим сведениям, в частности, относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. В соответствии с требованиями закона обработка персональных данных может осуществляться только с письменного согласия в письменной форме субъекта персональных данных. Поэтому, редакция, получившая доступ к персональным данным, должна обеспечить конфиденциальность персональных данных путем их обезличивания. Объективных доказательств того, что у редакции газеты были исключительные обстоятельства для распространения персональных данных в связи с защитой общественных интересов судами получено не было.

3. Требование о предъявлении паспорта на кассе не является нарушением

Нарушение установленного законом порядка сбора, хранения и использования информации о гражданах подлежит административному наказанию. Однако у покупателя в магазине при возврате товара кассир обязан проверить паспорт и заполнить финансовую документацию, в соответствии с требованием законодательства. Верховный суд РФ, что такие действия не являются нарушением закона о защите персональных данных.

Суть спора

В отношении торгующей организации постановлением прокуратуры было возбуждено дело об административном правонарушении, предусмотренном статьей 13.11 КоАП РФ . Данное нарушение выразилось в том, что в магазине организации в ходе проверки на предмет соблюдения законодательства о персональных данных было установлено, что организация осуществляет обработку персональных данных физических лиц путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи. При этом осуществляемая организацией обработка персональных данных покупателей не подпадает под исключения, установленные в статье 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных". Проверка была проведена по заявлению гражданина, который изъявил желание вернуть товар в магазине "Покупочка". При этом ему было предложено заполнить в обязательном порядке заявление, в котором необходимо указывать персональные данные для возврата денежных средств, при наличии чека. В силу статьи 5 Федерального закона "О персональных данных" истребование персональных данных является избыточным. На основании этого организация была привлечена мировым судьей к административной ответственности за совершение административного правонарушения, предусмотренного статьей 13.11 КоАП РФ в виде предупреждения. Однако организация свою вину не признала и обжаловала решение мирового судьи.

Решение суда

Вышестоящие судебные инстанции согласились с выводами мирового судьи о наличии в действиях общества состава данного административного правонарушения. Однако Верховный суд РФ, куда обратилась с жалобой организация, постановлением от 15 июня 2016 г. N 25-АД15-3 отменил все принятые по делу судебные акты и признал организацию невиновной. Судьи отметили, что в соответствии с законом о персональных данных обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных законодательством. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Однако, по нормам покупатель вправе отказаться от исполнения договора купли-продажи и потребовать возврата уплаченной за товар денежной суммы. Постановлением Правительства РФ от 19 января 1998 г. N 55 утверждены Правила продажи отдельных видов товаров, согласно которым которых покупатель вправе возвратить приобретенный товар продавцу и получить уплаченную за него денежную сумму. При этом, продавец обязан соблюдать Положение о порядке ведения кассовых операций с банкнотами и монетой Банка России на территории Российской Федерации, утвержденное Банком России от 12 октября 2011 г. N 373-П (утратило силу с 1 июня 2014 года в связи с изданием Указания Банка России от 11 марта 2014 г. N 3210-У). В соответствии с которым, порядок ведения кассовых операций в целях организации на территории РФ наличного денежного обращения предусматривает выдачу наличных денег кассиром непосредственно получателю, указанному в расходном кассовом ордере, только при предъявлении им паспорта или другого документа, удостоверяющего личность в соответствии с требованиями законодательства Российской Федерации. Исходя из этих норм, ситуация с возвратом денег покупателю из кассы организации на основании его письменного заявления с указанием фамилии, имени, отчества и данных документа, удостоверяющего личность, не противоречит требованиям законодательства. Истребование указанных персональных данных избыточным не является. Поэтому отсутствуют основания для привлечения организации к административной ответственности.

4. Организации обязаны предоставлять ФАС сведения о персональных данных клиентов

Федеральная антимонопольная служба имеет право наказать организацию за отказ предоставить по запросу документы, которые содержат персональные данные физических лиц. Так решил Верховный суд РФ.

Суть спора

Решение суда

5. Журналисты должны получать согласие на использование изображений и персональных данных граждан

Если журналист не получил согласия гражданина на публикацию информации о нем и фотографии в СМИ, то он нарушил закон и должен компенсировать гражданину моральный вред. Так решил Санкт-Петербургский городской суд.

Суть спора

Гражданин обратился в районный суд Санкт-Петербурга с исковым заявлением к ЗАО "Издательский дом "Комсомольская правда" о признании незаконным распространение газетой "Комсомольская правда" персональных данных, а также его личного изображения. Кроме того гражданин просил взыскать с редакции газеты компенсацию морального вреда и опубликовать в ближайшем планируемом выпуске газеты "Комсомольская правда" опровержение. Причиной для такого обращения в суд послужил тот факт, что газета "Комсомольская правда", зарегистрированная как электронное средство массовой информации в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций опубликовала в сети интернет статью. В этой статье содержалось интервью журналиста с гражданином с размещением его личной фотографии. В статье упоминаются сведения о личной жизни гражданина, по большей части не соответствующие действительности, а также его персональные данные. Поскольку, гражданин уверен, что не давал такого интервью, не принимал какого-либо участия в размещении статьи, а также не давал кому-либо разрешения на опубликование своего изображения, в том числе, в данной газете, он обратился в суд.

Решение суда

Суд первой инстанции частично удовлетворил исковые требования гражданина. Суд постановил признать незаконным распространение газетой "Комсомольская правда" персональных данных, а также использование изображения гражданина в оспариваемой статье. Кроме того, судья взыскал с редакции газеты "Комсомольская правда" в пользу истца компенсацию морального вреда. Санкт-Петербургский городской суд с выводами коллег согласился и апелляционным определением от 09.07.2015 N 33-11751/2015 по делу N 2-1510/2014 оставил решение суда первой инстанции без изменения. Основанием для такого решения послужили выводы судей о том, что по нормам статьи 152.1 Гражданского кодекса РФ обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. Кроме того, действиями ответчика допущено нарушение такого нематериального права, как право на неприкосновенность личной жизни, поэтому требование истца о взыскании компенсации морального вреда подлежит удовлетворению. В силу статьи 151 Гражданского кодекса РФ , причинение морального вреда гражданину (физических или нравственных страданий) действиями, нарушающими его личные неимущественные права, либо посягающими на принадлежащие гражданину другие нематериальные блага, предполагает обязанность денежной компенсации такого вреда. Истребовать такую компенсацию пострадавший гражданин может в судебном порядке.

С 1 июля для СМИ наступит новая эпоха ограничений – вступает в силу закон, ужесточающий ответственность за несогласованное разглашение персональных данных граждан. Изданиям позволят свободно публиковать только фамилию и должность героя материала, не вдаваясь в подробности о его прошлом, семейных связях, имущественном положении и так далее. Журналистские расследования о коррупционных схемах и преступлениях должностных лиц рискуют умереть как жанр.

Как передает корреспондент NDNews.ru, сегодня в управлении Роскомнадзора по УрФО прошел семинар для прессы с разъяснениями новаций в законодательстве. В ведомстве отметили, что если журналисты допустили «утечку» персональных данных, это будет расцениваться как злоупотребление свободой СМИ. В таком случае редакция рискует получить предупреждение Роскомнадзора. Два предупреждения за год – повод для обращения в суд с иском о прекращении деятельности издания. О том, как не допустить такой ситуации, и шла речь на семинаре.

Инициалы, фамилия, должность – и все на этом

Одна из главных новаций заключается в том, что теперь журналисты имеют право брать из открытых источников только ограниченную информацию. К примеру, допускается упоминание имени и фамилии (без отчества) героя материала, а также его должность или место работы. Но описание где и как он живет, с кем общается – уже считается нарушением закона, даже если человек сам опубликовал эту информацию в социальных сетях. Или журналист может поступить наоборот: максимально подробно рассказать о жизни человека, но «обезличить» текст – изменить имя или «зашифровать» его инициалами. Как пояснила начальник отдела по защите прав субъектов персональных данных управления Роскомнадзора по УрФО Анастасия Гоголева, главным критерием является объем опубликованных сведений о человеке. Если информация не способствует идентификации личности, ее можно свободно размещать в СМИ.

В любом другом случае автор материала должен взять согласие того, чьи персональные данные он собирается опубликовать. Причем в некоторых ситуациях согласие должно быть дано в письменной форме – эти случаи перечисляются в статьях 8, 10, 11, 12 и 16 федерального закона «О персональных данных». Например, по закону разглашение сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни возможно только с разрешения человека. Аналогичная ситуация с фото и видеоматериалами. Если на них можно опознать человека, это считается распространением биометрических данных и требует согласия субъекта. Исключением является только публикация фотографий во время розыскных и следственных действий. Для СМИ есть один выход – публиковать фотографии без подписей или давать минимальную информацию под ними. «Если читатель не может идентифицировать человека, изображенного на фотографии, претензий не будет», – заверили представители Роскомнадзора.

Конец расследованиям

Конечно, новая трактовка защиты персональных данных возмутила журналистов. Ограничения практически ставят «крест» на расследованиях о коррумпированных чиновниках, политиках и других публичных персонах. Как можно описывать злодеяния должностного лица, скрывая от читателей его имя? Представители Роскомнадзора заявили, что не дают оценку общественно-значимой информации, а лишь проверяют соблюдение закона «О персональных данных». К примеру, если обиженный чиновник пожалуется на незаконное распространение его личных данных в каком-либо издании, Роскомнадзор будет обязан направить запрос в СМИ. Журналисты вправе ответить, что разглашение данных было в интересах общества. Тогда в этом споре будет разбираться суд. Кстати, на Урале пока таких прецедентов не было.

В то же время в Роскомнадзоре привели пример из жизни, когда публикация о доходах госслужащего была определена как нарушение закона. Журналист взял сведения из официальной декларации чиновника, где также был указан доход его супруги, и в своем тексте дописал должность жены служащего и «бэкграунд». От властной семьи незамедлительно последовала жалоба.

Претензии могут возникнуть даже к таким безобидным публикациям, где дается справка о карьерной историии чиновника – где учился и работал. В таком случае журналисту также необходимо брать согласие у «субъекта персональных данных». Хотя тут тоже есть нюансы. Как отметила Анастасия Гоголева, Роскомнадзор в основном следит за соблюдением закона в отношении несовершеннолетних, а проверка публикаций с персональными данными взрослых обычно проводится по заявлениям граждан. За год в ведомство поступает около 40 подобных обращений.

О детях – почти ничего

О жестких ограничениях Роскомнадзора относительно публикаций данных несовершеннолетних NDNews.ru уже писал . Сегодня сотрудники ведомства в очередной раз напомнили, что журналистский материал должен защищать права ребенка. Распространение личных данных пострадавших в результате противоправных действий детей запрещается. Причем противоправные действия могут укладываться в КоАП, то есть банальная драка в школе тоже относится к этим случаям. Публиковать фотографию несовершеннолетнего можно только с согласия его родителей или законного представителя. Если ребенок достиг 14 лет, разрешение нужно спрашивать и у него. Если совершено преступление против половой неприкосновенности несовершеннолетнего, публиковать фото жертвы нельзя, даже после окончания следственных действий. Единственным исключением может быть фото ребенка, который потерялся и его ищет полиция. После того, как ребенка нашли, СМИ лучше ограничится минимальной информацией о «потеряшке», чтобы не навлечь на себя санкции.

Практика будет нарабатываться

Представители Роскомнадзора отметили, что полномочия по наложению штрафов за несоблюдение закона «О персональных данных» переходят к ним с 1 июля. На данный момент судебной практики по разрешению спорных вопросов в этой сфере практически нет, но, как следует из вышеописанного, она не заставит себя долго ждать. По новому закону существенно увеличиваются размеры штрафов за нарушения публикаций персональных данных. Если сейчас денежные санкции составляют 5-10 тысяч рублей, то со второго полугодия штрафы для юридических лиц уже будут от 20 до 75 тысяч рублей. При этом важно помнить, что в КоАП внесено семь дополнительных составов правонарушений по персональным данным, то есть суммы штрафов за нарушения будут суммироваться.

Екатеринбург, Валентина Ярославцева

Составлять протоколы по нарушениям будет Роскомнадзор

С 1 июля 2017 года в России вступает в силу обновленный закон «О персональных данных». Вместо одного штрафа в 10 тысяч рублей депутаты Государственной думы ввели семь общей суммой до 275 тысяч рублей, соответственно увеличив количество типов нарушении и предоставив Роскомнадзору право выписывать протоколы по ним. Под действие закона попадают любые организации, собирающие и использующие персональные данные, от интернет-магазинов до СМИ. В случае с первыми все относительно прозрачно. Но работу вторых измененный закон может полностью парализовать. Подробности – в материале «ФедералПресс».

Закон не содержит перечня сведений, которые попадают под определение «персональные данные», есть только общая формулировка – «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Эксперты сходятся в том, что такое толкование касается следующих данных в любых комбинациях: ФИО, адрес, электронная почта, телефон, дата рождения, фотография, профессия. За нарушение требований по обезличиванию персональных данных юридическим лицам грозит штраф от трех до шести тысяч рублей.

Чтобы использовать персональные данные без последствий, нужно получить письменное согласие их владельца; опубликовать собственную политику в части обработки этой информации; предоставлять желающим информацию о том, какие именно их данные у вас есть; уточнять, блокировать или уничтожать персональные данные по требованию владельца; защитить данные от утечки и хранить их на территории России.

Сегодня практически каждая публикация российских СМИ нарушает требования по обезличиванию данных, которые вступят в силу завтра. Получить письменное разрешение от каждого героя публикаций (особенно, если речь идет о критическом материале) также не представляется возможным.

«ФедералПресс» предположил, как будут выглядеть новости, полностью соответствующие обновленному закону .