Статья 3. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 08.08.2024) "О персональных данных"

1. Понятие персональных данных. Понятие персональных данных является наиболее фундаментальным для всего законодательства в указанной сфере, поскольку именно квалификация информации в качестве персональных данных выступает своего рода "спусковым механизмом", приводящим его в действие.

До 1 сентября 2011 г. под персональными данными понималась "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация" <1>. Новая дефиниция расширила понятие персональных данных за счет (1) добавления возможности косвенной идентификации лица; (2) удаления словосочетания "на основе такой информации", что обусловило необходимость принятия во внимание не только данного конкретного массива данных для решения вопроса об их квалификации как персональных, но и иной информации; (3) удаления "приблизительного" перечня персональных данных. Тем самым новое понятие персональных данных, используемое в комментируемой статье, было приведено в соответствие с положениями Конвенции 1981 г., согласно ст. 2 (a) которой термин "персональные данные" означает любую информацию об определенном или поддающемся определению физическом лице ("субъект данных").

--------------------------------

<1> Федеральный закон от 25 июля 2011 г. N 261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных".

Таким образом, дефиниция данного понятия, выступающая предметом довольно острой критики в силу ее недостаточной определенности, является не изобретением российского законодателя, а следствием имплементации в российское право положений международного договора. Схожая дефиниция персональных данных содержится и в европейском праве. Так, в Директиве 1995 г. персональные данные означают "любую информацию, связанную с определенным или определяемым физическим лицом ("субъектом данных"); лицо признается определяемым, если оно может быть определено прямо или косвенно, в частности посредством ссылки на его идентификационный номер либо один или несколько факторов, характерных для его физической или физиологической, ментальной, экономической, культурной или социальной идентичности" (ст. 2 (a)). Данная дефиниция была уточнена в ст. 4 (1) Регламента 2016 г. за счет дополнительной конкретизации возможных видов идентификаторов физического лица: "персональные данные означают любую информацию, связанную с определенным или определяемым физическим лицом ("субъектом данных"); лицо признается определяемым, если оно может быть определено прямо или косвенно, в частности, посредством ссылки на идентификаторы, такие как его имя, идентификационный номер, данные о местоположении, онлайн-идентификатор (выделено мной. - А.С.). либо один или несколько факторов, характерных для его физической или физиологической, ментальной, экономической культурной или социальной идентичности". Таким образом, файлы cookie, являющиеся онлайн-идентификатором, и геолокационные данные прямо отнесены Регламентом 2016 г. к числу персональных данных.

Следует отметить, что еще одна дефиниция персональных данных содержится в Указе Президента РФ от 6 марта 1997 г. N 188 "Об утверждении Перечня сведений конфиденциального характера", согласно которому под персональными данными понимаются "сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях". Как видно, данное определение имеет более узкий характер и не охватывает информацию, по которой можно определить лицо косвенным образом. Несмотря на то что данный Указ формально не отменен, рассматриваемая дефиниция не подлежит применению, поскольку противоречит положениям нормативного правового акта более высокой юридической силы, имеющего специальный характер и принятого позднее. К этому следует также добавить, что более узкая дефиниция персональных данных вступила бы в противоречие с международными обязательствами Российской Федерации, вытекающими из ее присоединения к Конвенции 1981 г.

2. Дефиниция персональных данных состоит из нескольких составных частей: а) любая информация, б) имеющая отношение к в) прямо или косвенно определенному или определяемому г) физическому лицу. Рассмотрим их более подробно.

а) Персональные данные представляют собой информацию, т.е. "сведения (сообщения, данные) независимо от формы их представления" <1>. Форма отображения информации не имеет значения: это могут быть сведения в текстовой, графической, звуковой форме, воспринимаемой человеком или устройством. Носитель таких данных также иррелевантен: они могут быть зафиксированы на бумаге, в иной аналоговой форме (например, на видеокассете) или существовать в электронном виде. При этом неважно, является такая информация достоверной или нет, а равно имеет она объективный или оценочный характер. Например, информация о том, что у Ивана Ивановича Иванова диагностирован рак головного мозга, имеет объективный характер и является персональными данными специальной категории (данные о состоянии здоровья; см. комментарий к ст. 10 Закона о персональных данных). Информация о том, что Иван Иванович Иванов является ненадежным партнером и недобросовестным должником, имеет оценочный характер, но при этом также охватывается понятием персональных данных.

--------------------------------

<1> См.: п. 1 ст. 2 Закона об информации.

Сам по себе носитель данных не относится к персональным данным, хотя в некоторых случаях разделить их весьма сложно. Главным образом речь идет о биологическом материале (ткани, выделениях человека), который содержит геномную информацию - персональные данные, включающие кодированную информацию об определенных фрагментах дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, не характеризующих их физиологические особенности (п. 3 ст. 1 Федерального закона от 3 декабря 2008 г. N 242-ФЗ "О государственной геномной регистрации в Российской Федерации"). Принимая во внимание, что единственной причиной сбора и хранения подобного рода биологического материала является наличие в нем информации, составляющей персональные данные, приравнивание биологического материала к персональным данным не лишено определенной логики. Так, ЕСПЧ в одном из решений указал, что, "учитывая характер и объем информации личного характера, которая содержится в образцах клеток, их хранение должно само по себе считаться вмешательством государства в осуществление человеком права на уважение его личной жизни. В связи с этим не имеет значения, что в действительности из них извлекается или используется властями для создания профиля ДНК лишь ограниченная часть этой информации и что в каком-то конкретном случае не произошло немедленного ухудшения положения человека". Как следствие, указанные объекты были отнесены к персональным данным (§ 68, 73 Постановления ЕСПЧ от 4 декабря 2008 г. по делу "S. и Марпер (S. and Marper) против Соединенного Королевства", жалобы N 30562/04, 30566/04).

В контексте российской правовой системы рассматриваемые вопросы могут быть не столь актуальны по причине наличия специального регулирования порядка сбора, хранения и использования биологического материала. Однако его проработанность сильно уступает степени детализации законодательства о персональных данных, в связи с чем приравнивание биологического материала к персональным данным могло бы способствовать восполнению возможных пробелов в регулировании.

б) Информация должна иметь определенное отношение к физическому лицу. Такое отношение может иметь место в случаях, когда такая информация:

1) в силу своего содержания касается определенного лица (например, результаты медицинских анализов конкретного лица);

2) имеет своей целью оценку деятельности некоего лица или может повлиять на статус такого лица, в том числе посредством принятия каких-либо решений в отношении его (например, сведения о посещенных лицом страницах в сети Интернет и (или) об участии в определенных группах в социальных сетях в тех случаях, когда они используются для целей составления профайла пользователя для направления ему таргетированной рекламы, принятия решения о его трудоустройстве или определения индивидуальной цены товара (услуги));

3) имеет технический характер (например, данные устройств, используемых физическим лицом) и используется для технических целей, но может при желании оператора применяться для целей, которые имеют влияние на права и обязанности индивида. Например, геолокационные данные машин, входящих в таксопарк, могут использоваться преимущественно для целей обеспечения бизнес-процессов таксопарка - сокращения времени ожидания, оптимизации маршрутов, экономии бензина и пр. Однако одновременно они могут использоваться для оценки качества труда таксистов. В этой связи указанные данные также "имеют отношение" к физическому лицу <1>. Вместе с тем документы, представляющие собой правовой анализ соответствия индивида требованиям законодательства для целей получения им определенного статуса, по мнению Суда ЕС, не являются персональными данными, представляя собой акт правоприменения и толкования закона (см.: YS v. Minister voor Immigratie, ECJ Joined Cases C-141/12 & C-372/12. 17 July 2014.).

--------------------------------

<1> Opinion 4/2007 on the Concept of Personal Data. WP 136, 20 June 2007. Article 29 Data Protection Working Party. P. 11. URL: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf.

в) Информация относится прямо или косвенно к определенному или определяемому лицу, т.е. обладает определенным идентифицирующим потенциалом. Данный элемент является самым сложным и запутанным для понимания и интерпретации. В самом общем виде предполагается, что на основании информации либо можно точно идентифицировать лицо ("прямо определенное" лицо), либо имеется возможность это сделать с привлечением иных данных ("косвенно определяемое" лицо). Точная идентификация лица будет иметь место в случае соотнесения соответствующей информации с фамилией, именем и отчеством (при наличии) лица. Именно данные сведения являются основным идентификатором гражданина в гражданском обороте, поскольку гражданин приобретает и осуществляет права и обязанности под своим именем (п. 1 ст. 19 ГК РФ). Косвенная идентификация предполагает возможность отнесения к персональным данным информации, которая сама по себе хотя и не указывает однозначно на имя конкретного лица, но содержит описание каких-либо его индивидуальных характеристик, позволяющих отграничить его от других субъектов, выделить из круга лиц, к которому он принадлежит, или по крайней мере сузить такой круг лиц <1>. Например, лицо может быть косвенно идентифицировано на основании данных о трафике (метаданных), в частности, сведений об установленных соединениях с указанием времени и продолжительности соединения, номеров или IP-адресов устройств, участвующих в коммуникации <2>. Также лицо может быть косвенно идентифицировано на основании данных его логина (никнейма), используемых в различных интернет-сервисах; данных с камер видеонаблюдения, реквизитов банковской карты, сведений о принадлежащей лицу собственности и пр. Все это позволяет отнести указанные данные к категории персональных данных, учитывая существующие формулировки их дефиниции. В качестве консервативного и относительно безопасного ориентира для определения критерия косвенной идентификации можно предложить следующий: если данные позволяют выделить некоего индивида из множества лиц и использовать в отношении его особую модель взаимодействия, то такое лицо является определяемым, а соответствующая информация - его персональными данными.

--------------------------------

<1> В некоторых странах, например в Финляндии и Норвегии, законодательство о персональных данных допускает признание информации персональными данными, даже если она относится не к конкретному индивиду, а к семье или домовладению. См.: Bygrave A. Data Privacy Law: An International Perspective. Oxford: University Press. 2014. P. 135.

<2> Так, Стэнфордский университет опубликовал исследование, согласно которому метаданные телефонных переговоров (номера телефонов абонентов, время и продолжительность звонка либо время и количество символов sms-сообщений) позволяют без особых проблем идентифицировать личность абонента, устанавливать его связи с другими лицами, а также выводить "чувствительные" персональные данные: политические, религиозные, сексуальные взгляды и предпочтения субъекта, состояние его здоровья и ряд других. См.: Mayer J. et al. Evaluating the Privacy Properties of Telephone Metadata. Stanford University. 1 March 2016. URL: http://www.pnas.org/content/113/20/5536.

Ключевую роль в квалификации информации, дающей возможность косвенно определить физическое лицо, в качестве персональных данных играет анализ средств, которые позволяют это сделать. К сожалению, Закон о персональных данных не содержит никаких указаний на них, в этой связи целесообразно обратиться к положениям европейского права. В п. 26 Преамбулы Директивы 1995 г. указано, что "для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть вероятно (likely) и разумно (reasonably) использованными либо оператором, либо любым иным лицом для идентификации указанного лица". Исходя из анализа этого положения можно сделать два основных вывода:

1) в качестве идентифицирующего лица может выступать любое лицо, а не только оператор, что расширяет понятие "персональные данные", поскольку не требуется концентрироваться исключительно на анализе возможностей отдельно взятого оператора;

2) в качестве критериев, которыми надо руководствоваться при анализе вероятности отнесения данных к личности субъекта таким "любым лицом", фигурируют (а) вероятность и (б) разумность их использования.

Вероятность использования данных должна оцениваться с учетом всех обстоятельств. К примеру, она гораздо выше у компаний, использующих продвинутые технологии анализа данных в своих бизнес-процессах (финансовые организации, организации связи, социальные сети, крупные онлайн-магазины и др.), чем у небольших организаций, которые не могут позволить себе использование таких технологий (риск-ориентированный подход в действии). Разумность по общему правилу должна предполагать возможность идентификации лица с привлечением правомерных средств, т.е., например, без взлома компьютерных систем или незаконного доступа к базам данных третьих лиц, в том числе государственных органов <1>.

--------------------------------

<1> См.: Bygrave A. Data Privacy Law: An International Perspective. Oxford: University Press, 2014. P. 132. См. также: Patrick Breyer v. Bundesrepublik Deutschland, ECJ, Case C-582/14. 19 October 2016.

Если у оператора есть два набора данных, каждый из которых не позволяет определить лицо, но в совокупности они могут это сделать, то каждый из таких наборов данных может быть квалифицирован как персональные данные, поскольку может рассматриваться в качестве информации, относящейся к косвенно определяемому лицу.

В этой связи возникает вопрос: следует ли при решении вопроса о квалификации данных в качестве персональных принимать во внимание массивы данных, находящиеся во владении у конкретного оператора, или же следует учитывать потенциальную возможность совместного использования их с информацией, находящейся во владении других операторов? Согласно позиции Суда ЕС данные о динамических IP-адресах, собранные онлайн-сервисом, являются персональными данными при одновременном выполнении следующих условий:

1) они могут идентифицировать конкретного субъекта в совокупности с данными, которые имеются у интернет-провайдера такого субъекта, и

2) у онлайн-сервиса есть потенциальный доступ к таким данным интернет-провайдера.

В рассматриваемом случае Суд счел, что такой доступ у онлайн-сервиса был, поскольку указанные сведения могли быть запрошены у интернет-провайдера при возникновении необходимости расследования неправомерных действий третьих лиц в отношении онлайн-сервиса, например, DDoS-атак <1>. Учитывая, что благодаря технологиям "больших данных" существует потенциальная возможность сотрудничества в сфере совместной обработки массивов данных, которые могут принадлежать различным операторам, данное решение выглядит вполне логичным. Однако не менее очевидно, что оно чрезмерно расширяет понятие персональных данных, увеличивая как издержки операторов, связанные с исполнением законодательства о персональных данных, так и риски принятия ими неправильных решений о статусе обрабатываемой информации.

--------------------------------

<1> Patrick Breyer v. Bundesrepublik Deutschland, ECJ, Case C-582/14. 19 October 2016. Следует отметить, что ранее Европейский суд справедливости уже указывал, что IP-адрес относится к персональным данным. См.: Scarlet Extended SA v. SABAM, ECJ, Case C 70/10. 24 November 2011.

г) Субъектами персональных данных могут выступать только физические лица. Контактные данные и реквизиты юридического лица, а также иные сведения, по которым можно его определить, не охватываются понятием персональных данных. Во многом это связано с тем, что основной вид персональных данных юридического лица - фирменное наименование обладает защитой в рамках специального правового режима, а данные о представителях юридического лица - физических лицах охватываются общим правовым режимом законодательства о персональных данных. Кроме того, отнесение юридических лиц к числу субъектов персональных данных могло бы повлечь негативные последствия для коммерческого оборота как посредством создания дополнительных условий для недобросовестной конкуренции, так и вследствие дополнительных ограничений на трансграничный обмен информацией.

Персональными данными могут признаваться сведения не только о живом, но и об умершем физическом лице. Данный вывод следует из положений ст. 9 Закона о персональных данных, в которой говорится, что "в случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни". Материалы судебной практики демонстрируют актуальность вопроса об обеспечении надлежащей защиты персональных данных умерших лиц. В ряде случаев соответствующая организация на основании достигнутых с медицинскими учреждениями договоренностей на безвозмездную перевозку тел умерших получает приоритетный доступ к персональным данным умерших и их родственников, что дает ей возможность в первоочередном порядке предлагать свои услуги родственникам умерших. И хотя судами данная ситуация рассматривается преимущественно через призму законодательства о защите конкуренции (см. Постановления Семнадцатого арбитражного апелляционного суда от 28 августа 2014 г. по делу N А50-2319/2014; ФАС Уральского округа от 26 марта 2013 г. по делу N А60-25035/2012; решения Арбитражного суда Республики Бурятия от 29 декабря 2014 г. по делу N А10-4767/2014; Арбитражного суда Свердловской области от 26 декабря 2013 г. по делу N А60-22167/2013), она неплохо иллюстрирует возможную ценность персональных данных умерших лиц и возможное их использование для вторжения в личную сферу родственников умершего и причинения им моральных страданий.

С учетом вышеизложенного персональные данные можно разделить на три группы:

1) персональные данные, которые предоставляются самим субъектом (например, размещаются им в социальной сети);

2) персональные данные, которые появляются в процессе использования субъектом определенного сервиса (например, геолокационные данные или метаданные);

3) персональные данные, которые являются результатом анализа данных первых двух групп, в том числе посредством инструментов аналитики "больших данных", и представляют собой оценку субъекта персональных данных (например, его кредитный рейтинг) <1>.

--------------------------------

<1> Personal Data: The Emergence of a New Asset Class. World Economic Forum, January 2011. URL: https://www.weforum.org/reports/personal-data-emergence-new-asset-class; Recommendation 1/2001 on Employee Evaluation Data. Article 29 Data Protection Working Party. 22 March 2001.

3. Судебная практика по вопросам квалификации персональных данных не отличается единообразием. Многие суды исходят из основанного на устаревших нормативных актах узкого понимания понятия персональных данных как информации, которая позволяет однозначно идентифицировать лицо. В частности, они не признают персональными данными ИНН (Апелляционное определение Санкт-Петербургского городского суда от 3 февраля 2015 г. по делу N 2-3097/2014), СНИЛС (решение Белоглинского районного суда Краснодарского края от 22 июня 2014 г. по делу N 2-300/2014 N 2-300/2014), номер паспорта (Определение Московского городского суда от 29 февраля 2012 г. N 33-6709; Постановление Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу N А56-4788/2010), поскольку, по их мнению, на основании такой информации нельзя идентифицировать конкретное лицо.

В качестве яркой иллюстрации данной логики можно привести мотивировку одного из решений, в котором суд пришел к выводу об отсутствии нарушений Закона о персональных данных, "поскольку запрашиваемая сотрудниками банка информация в отношении В., высказывания работников ответчиков не содержат персонифицированных и детализированных данных, работниками ответчиков не назывались ни адрес места проживания лица, ни год, месяц, дата и место рождения, семейное, социальное, имущественное положение, образование, профессия, доходы, а также другая информация, по которой возможно идентифицировать конкретное лицо" (Апелляционное определение Московского городского суда от 28 января 2014 г. по делу N 33-5461).

В другом деле суд не признал персональными данными имя, отчество, название улицы и номер дома, где проживает данное лицо, поскольку в совокупности они не позволяют достоверно установить, о каком именно человеке идет речь на страницах форума, а также поскольку "отсутствует указание на фамилию, что не позволяет идентифицировать лицо, о котором идет речь" (Определение Приморского краевого суда от 9 сентября 2013 г. по делу N 33-7063).

Напротив, информация, включающая Ф.И.О. субъекта, обычно признается судами персональными данными, например, информация о задолженности по коммунальным платежам, включающая в себя Ф.И.О. лица, адрес его проживания и размер задолженности по оплате коммунальных платежей (Постановление Нижегородского областного суда от 12 мая 2015 г. по делу N 4а-288/2015; Кассационное определение Пермского краевого суда от 1 августа 2011 г. по делу N 33-7668); данные в заявке на выдачу кредита, в которой фигурировали Ф.И.О. лица, его паспортные данные, место жительства, дата рождения и другие данные (Апелляционное определение Тульского областного суда от 28 апреля 2015 г. по делу N 33-850); информация, содержащаяся в техническом паспорте на дом, включающая Ф.И.О. лица, паспортные данные, документ о праве собственности (Определение Приморского краевого суда от 28 апреля 2014 г. по делу N 33-3718).

Следует отметить, что существует и иная судебная практика, которая исходит из широкого понимания понятия персональных данных, согласно которому под персональными данными понимаются сведения, хотя и не позволяющие однозначно определить конкретное лицо, но дающие возможность сделать это косвенным образом. Например, персональными данными была признана информация о соединениях и трафике конкретного абонента, хотя имя конкретного абонента не фигурировало. При этом довод ответчика о том, что указанные данные являлись обезличенными, поскольку не позволяли определить личности конкретных абонентов, был отклонен судом как противоречащий закону (решение Арбитражного суда г. Москвы от 25 мая 2016 г. по делу N А40-51869/2016-145-449).

Аналогичным образом другой суд признал персональными данными статистическую информацию, необходимую для последующего предоставления адресной рекламы физическому лицу, состоящую из сведений о его поисковых запросах и просмотренных страницах. При этом данные о Ф.И.О. конкретного абонента также не фигурировали, а использовался хеш-ID пользователя (уникальный идентификатор активного пользователя) (Постановление Тринадцатого апелляционного арбитражного суда от 1 июля 2016 г. по делу N А56-6698/2016). Существуют решения, в которых суды более определенно указали, что такого рода сведения представляют собой персональные данные, поскольку относятся к "определенному или определяемому косвенно (выделено мной. - А.С.) лицу" (решение Арбитражного суда г. Москвы от 11 марта 2016 г. по делу N А40-14902/2016-84-126), а также что предоставляемая информация является персональными данными даже несмотря на то, что "не позволяет однозначно идентифицировать пользователя или конкретное физическое лицо... Такой информации достаточно для того, чтобы третьи лица смогли определить, к кому данная информация относится, в целях направления ему определенной рекламы. На этом основании не представляется возможным квалифицировать такие сведения в качестве обезличенных данных, поскольку они предоставляют возможность косвенно определить субъекта, к которому они относятся" (решение Арбитражного суда г. Москвы от 29 марта 2016 г. по делу N А40-14900/2016-94-126).

В другом случае суд признал, что номер лицевого счета, площадь помещения, сумма начисления и (или) задолженности, показания и номер электрического счетчика являются персональными данными, поскольку указанная информация относится к определяемому физическому лицу (Постановление Восемнадцатого арбитражного апелляционного суда от 9 декабря 2013 г. N 18АП-13107/2013 по делу N А34-3659/2013).

По аналогичным соображениям адрес электронной почты, привязанный к принадлежащему лицу телефонному номеру, был признан судом персональными данными с распространением на порядок обработки такого адреса электронной почты требований законодательства о персональных данных и признанием незаконным направления сообщений рекламного характера после отзыва согласия субъектов персональных данных (Апелляционное определение Новосибирского областного суда от 27 сентября 2016 г. по делу N 33-9626/2016).

Таким образом, выводы отдельных специалистов о том, что отечественная судебная практика исходит из консервативной позиции при определении объема понятия "персональные данные" <1>, нуждаются в некотором уточнении.

--------------------------------

<1> См.: Наумов В.Б., Архипов В.В. Понятие персональных данных: интерпретация в условиях развития информационно-телекоммуникационных технологий // Российский юридический журнал. 2016. N 2; см. также: Буркова А.Ю. Определение понятия "персональные данные" // Право и экономика. 2015. N 4.

4. В отечественной доктрине встречаются различные мнения относительно содержания понятия "персональные данные". Ряд специалистов высказываются в пользу "узкого" толкования данного термина, относя к персональным данным лишь информацию, которая позволяет однозначно идентифицировать лицо. Помимо ссылок на некоторые устаревшие или отмененные нормы в качестве аргументов приводятся соображения об обеспечении таким подходом сформулированных Конституционным Судом РФ требований правовой определенности норм, предполагающих точность, ясность и недвусмысленность правовых норм, без чего не может быть обеспечено единообразное понимание и применение таких норм, а значит, и равенство всех перед законом <1>. Кроме того, предпринимаются попытки "увязать" понятие персональных данных с целями законодательства о персональных данных, указанных в ст. 2 Закона о персональных данных: если обработка соответствующих данных не может привести к нарушению права на неприкосновенность частной жизни (а это актуально для обезличенных данных или данных, которые не позволяют однозначно определить индивида), то нет оснований квалифицировать такую информацию как персональные данные с распространением на нее соответствующего правового режима <2>.

--------------------------------

<1> См., например: Постановление Конституционного Суда РФ от 8 апреля 2014 г. N 10-П. Данный аргумент упоминается в комментарии представителей Роскомнадзора к Закону о персональных данных при изложении результатов деятельности рабочей группы Консультативного совета при Роскомнадзоре "по определению матрицы персональных данных". См.: Федеральный закон "О персональных данных": Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 15.

<2> См.: Наумов В.Б., Архипов В.В. Понятие персональных данных: интерпретация в условиях развития информационно-телекоммуникационных технологий // Российский юридический журнал. 2016. N 2.

Приведенные аргументы безусловно представляют интерес, но в целом не выглядят очень убедительными. Сложно оправдать намеренное игнорирование отдельных элементов данной в законе дефиниции стремлением к обеспечению правовой определенности нормы. Можно ли оправдать "узкий" подход к определению объема понятия персональных данных как информации, позволяющей однозначно идентифицировать лицо, в условиях, когда дефиниция прямо указывает на возможность отнесения к персональным данным информации, касающейся косвенно определяемого лица? Здесь уместно привести толкование Суда ЕС по данному поводу, согласно которому использование слова "косвенно" в дефиниции персональных данных означает, что "для квалификации информации в качестве персональных данных не обязательно, чтобы ее самой по себе было достаточно для идентификации индивида" (Patrick Breyer v. Bundesrepublik Deutschland, ECJ, Case C-582/14. 19 October 2016. § 41).

Что касается аргумента о взаимосвязи понятия персональных данных с целями законодательства о персональных данных, то он также не представляется убедительным, поскольку, во-первых, как было продемонстрировано в комментарии к ст. 2 Закона о персональных данных, исключительно защитой неприкосновенности частной жизни, личной и семейной тайны цели законодательства о персональных данных не исчерпываются, а во-вторых, непонятно, почему только понятие персональных данных должно "увязываться" с целями данного законодательства, ведь, следуя логике сторонников вышеуказанной позиции, надо все дефиниции и положения Закона о персональных данных соотносить с целями, указанными в ст. 2, тем самым сводя его юридическое содержание к политико-правовым соображениям.

Также сложно согласиться с тем, что при использовании "широкого" подхода к дефиниции персональных данных практически любая информация приобретет статус персональных данных. Абстрактная информация, статистическая информация, исключительно техническая информация (если только она не связана с устройствами, принадлежащими конкретным физическим лицам), как правило, не будут охватываться понятием персональных данных. Иллюстрацией служит дело, рассматривая которое суд вполне обоснованно не признал персональными данными информацию о количестве зарегистрированных жителей в почтовых адресах в цифровом значении, поскольку это не "конкретная информация, прямо или косвенно относящаяся к какому-либо конкретному лицу" (Апелляционное определение Московского областного суда от 12 октября 2016 г. по делу N 33а-25712/2016).

5. Немногочисленные разъяснения представителей Роскомнадзора, которые являются доступными публично, также позволяют сделать вывод о том, что отдельные представители данного ведомства поддерживают "узкий" подход к понятию персональных данных. Так, на интернет-сайте Управления Роскомнадзора по Центральному федеральному округу в разделе "Часто задаваемые вопросы" указано, что "размещение на страницах сайтов в сети Интернет фотографии без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица" <1>. Также на данном сайте отмечено, что "размещение на страницах сайтов в сети Интернет фамилии, имени и отчества без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица" <2>.

--------------------------------

<1> https://77.rkn.gov.ru/p3852/p13239/

<2> Там же.

Существуют и более путаные комментарии территориальных подразделений Роскомнадзора, которые не позволяют однозначно определить, являются данные о фамилии и инициалах гражданина персональными данными или нет. Например, такие: "Фамилия и инициалы гражданина - это, несомненно, персональные данные субъекта. Однако без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно... Характер сведений, опубликованных в статье, не позволяет определить пол человека, его имя и отчество. Фамилия гражданки С. не является уникальной и довольно распространена" <1>.

--------------------------------

<1> См.: п. 1 Обзора обращений граждан за II квартал 2012 года / Управление Роскомнадзора по Республике Карелия. URL: http://10.rkn.gov.ru/queries/lookup/people_2kv_2012/p1/.

Оценивая приведенные разъяснения представителей Роскомнадзора по существу, помимо ранее высказанных аргументов против "узкого" подхода к понятию персональных данных хотелось бы отметить, что фамилия, имя и отчество лица прямо отнесены Законом о персональных данных к числу персональных данных. Так, в соответствии с п. 6 ч. 2 ст. 22 данного Закона оператор вправе осуществлять без уведомления Роскомнадзора "обработку персональных данных... включающих только фамилии, имена и отчества (выделено мной. - А.С.) субъектов персональных данных". Из данного положения вполне можно сделать вывод о том, что только фамилия, имя и отчество лица безотносительно к степени их распространенности признаются персональными данными, это подтверждается и судебной практикой <1>. Кроме того, приведенные ранее материалы судебной практики о признании информации о посещаемых пользователем страницах в сети Интернет персональными данными, так как по ней можно косвенно идентифицировать физическое лицо, были сформированы при непосредственном участии Роскомнадзора, который привлекал операторов связи к административной ответственности за несоблюдение лицензионных условий (ч. 3 ст. 14.1 КоАП РФ). Да и выводы представителей Роскомнадзора об отнесении IP-адресов пользователей к категории персональных данных, сделанные в отдельных ситуациях <2>, также свидетельствуют о неоднозначности позиции ведомства по вопросу толкования данного понятия. Таким образом, можно заключить, что позиция Роскомнадзора относительно толкования понятия "персональные данные" может быть весьма гибкой в зависимости от стоящих перед ним целей.

--------------------------------

<1> См., например: Апелляционное определение Московского городского суда от 6 сентября 2012 г. по делу N 11-17136. Даже английское право, на которое нередко ссылаются как на более определенное с точки зрения понятия персональных данных, рассматривает имя лица, взятое само по себе, в качестве персональных данных. См.: Edem v. IC & Financial Services Authority [2014] EWCA Civ. 92.

<2> См.: Как проходит проверка персональных данных - глазами Superjob и Роскомнадзора. 23 июня 2016 г. URL: https://m.roem.ru/23-06-2016/227249/kak-prohodit-proverka-personalnyh-dannyh-glazami-superjob-i-roskomnadzora/.

6. Принимая во внимание многообразие отношений, связанных с обработкой персональных данных, а также их высокую динамику, характеризующуюся появлением новых субъектов и технологий обработки персональных данных, невозможно дать исчерпывающий перечень данных, которые могут признаваться персональными. В силу самого существа этой категории она предполагает контекстный и индивидуальный подход. Как справедливо отмечается в литературе, "понимание бесперспективности законодательно установленного "перечневого" подхода к определению понятия "персональные данные", взаимосвязи и взаимодополняемости разных данных, относящихся к частной жизни и участию индивида в социальной жизни... обусловило преимущественное развитие международного и национальных законодательств в направлении обобщающего института персональных данных" <1>. В этой связи вряд ли имеют перспективу попытки разработки неких обобщающих таблиц или "матриц" персональных данных, которые позволили бы четко ответить на вопрос: является ли тот или иной набор данных персональными данными или нет?

--------------------------------

<1> Бачило И.Л. и др. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск, 2006. С. 19.

7. Квалификация информации, позволяющей косвенно определить физическое лицо, в качестве персональных данных дает возможность решить вопрос о так называемых пользовательских данных, которые обрабатываются посредством инструментов аналитики "больших данных". Если абстрагироваться от не соответствующего легальной дефиниции и европейской практике "узкого" подхода к толкованию понятия "персональные данные", то такие пользовательские данные подпадают под действие режима персональных данных и создания какого-либо специального правового механизма sui generis для их регулирования не требуется. Если определенные данные по результатам обработки представляют собой персональные данные, то исходя из существующей дефиниции этого явления исходные данные также относятся к персональным. Это не означает, однако, что существует необходимость разработки специальных норм в отношении обработки тех массивов данных, на основе которых могут быть созданы персональные данные. В этой связи целесообразно упомянуть высказанное в литературе замечание о проблеме возможной коллизии прав субъектов персональных данных и прав интернет-компаний на большой объем данных как базу данных, которая может получить отдельную правовую защиту <1>.

--------------------------------

<1> См.: Архипов В.В. Интернет-право: Учебник и практикум для бакалавриата и магистратуры. М., 2016. С. 120 - 121.

Признавая наличие указанной проблемы, хотелось бы отметить, что подобного рода коллизии различных правовых режимов информации ограниченного доступа существуют и сейчас (например, режимов коммерческой тайны и персональных данных, банковской тайны и персональных данных и т.п.; см. подробнее комментарий к ст. 7 Закона о персональных данных), поэтому и проблематика "больших данных" не добавляет здесь ничего нового. Однако создание в отношении их особого правового режима, отличного от режима персональных данных, лишь усилит остроту данной проблемы, поскольку к обозначенным коллизиям правовых режимов добавится еще один правовой "слой" и коллизионный вопрос обострится в еще большей степени. Поэтому, как представляется, без выявленных реальной правоприменительной практикой неэффективности и неадекватности применения к "большим данным", содержащим пользовательские данные, общего правового режима "персональных данных" с определенными специальными нормами, которые вполне допустимы, разрабатывать "с нуля" специальный правовой режим в отношении их крайне нежелательно. Помимо дополнительных издержек для операторов это будет чревато стагнацией развития данных технологий и их "офшоризацией", т.е. выведением соответствующих операций в более благоприятные с регуляторной точки зрения юрисдикции.

8. Информация, которая относится к нескольким прямо или косвенно определенным или определяемым физическим лицам (например, фотография с изображением нескольких лиц на ней или электронное письмо, в котором есть данные отправителя и получателя), является персональными данными в отношении каждого из таких субъектов. Каждое из этих лиц обладает в отношении указанной информации всей полнотой прав, предоставляемых Законом о персональных данных их субъекту. Закон не предусматривает каких-либо положений, регламентирующих множественность лиц на стороне субъекта персональных данных, а равно не содержит каких-либо положений на случай возможных коллизий между волеизъявлениями отдельных субъектов в отношении "совместных" персональных данных. Представляется, что в случае наличия у одних и тех же персональных данных сразу нескольких субъектов целесообразно руководствоваться следующим подходом. В отношении той части персональных данных, которая относится непосредственно к соответствующему лицу, оно выступает субъектом персональных данных со всеми вытекающими правами, в то время как в отношении той части персональных данных, которая относится к другим лицам, оно будет выступать оператором. Как следствие, для размещения таких персональных данных в сети Интернет или осуществления иной их обработки субъекту необходимо иметь одно из законных оснований для обработки персональных данных других лиц из числа указанных в ст. 6 или ст. 10 Закона о персональных данных. Разумеется, положения об исключении обработки, осуществляемой исключительно для личных нужд, из сферы действия указанного Закона (см. комментарий к ст. 1) также применимы. Например, в случае с фотографией, на которой изображены несколько лиц, лицо, которое выкладывает ее в сеть Интернет, должно получить согласие от других лиц либо воспользоваться иным основанием для обработки, например для осуществления прав и законных интересов оператора (п. 7 ч. 1 ст. 6 Закона о персональных данных).

В качестве определенного обоснования указанного довода можно привести следующие рассуждения. В тех случаях, когда один из субъектов настаивает на прекращении обработки таких данных, а другой субъект, напротив, выражает волю на их дальнейшую обработку, по общему правилу приоритет должен отдаваться требованию первого субъекта. Это следует из основной цели Закона о персональных данных - защищать неприкосновенность частной жизни, личной и семейной тайны, а также обусловлено отсутствием в этом Законе специальных положений, допускающих обработку персональных данных без согласия одного из таких субъектов, и общей парадигмы Закона, исходящей из принципа "запрещено все, что прямо не разрешено". При этом немаловажен и тот факт, что интересы второго субъекта все же могут быть реализованы после удаления из спорной информации сведений, касающихся первого лица, в то время как интересы первого субъекта будут нарушены бесповоротно, в случае если приоритет будет отдан именно волеизъявлению того субъекта, который настаивает на продолжении обработки персональных данных. При этом не следует путать решение указанного вопроса с точки зрения законодательства о персональных данных с регулированием, установленным в ст. 152.1 ГК РФ. В последнем случае по общему правилу, если изображенные на коллективном фотоснимке граждане очевидно выразили свое согласие на фотосъемку и при этом не запретили обнародование и использование фотоснимка, один из этих граждан вправе обнародовать и использовать такое изображение без получения дополнительного согласия на это от иных изображенных на фотоснимке лиц, за исключением случаев, если такое изображение содержит информацию о частной жизни указанных лиц (п. 45 Постановления Пленума ВС РФ от 23 июня 2015 г. N 25 "О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации").

Понятие оператора персональных данных.

1. Понятие оператора персональных данных является одним из краеугольных камней всего правового режима законодательства о персональных данных, поскольку оно определяет круг лиц, ответственных за соблюдение предусмотренных в нем обязанностей, в том числе по реализации прав субъектов персональных данных.

Дефиниция оператора персональных данных состоит из трех основных частей:

1) конкретизации статуса лица, которое может выступать в качестве оператора ("государственный орган, муниципальный орган, юридическое или физическое лицо"). Фактически это любое лицо, обладающее правосубъектностью, безотносительно к его национальной принадлежности;

2) указания на возможность выступления множественности лиц на стороне оператора ("самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку");

3) указания на основной критерий, отграничивающий оператора от иных участников отношений, связанных с персональными данными ("определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными").

Данная дефиниция фактически является заимствованием положений Директивы 1995 г. Она отличается от дефиниции, содержащейся в Конвенции 1981 г., которая оперирует понятием "контроллер файла" (controller of the file), определяемым как "физическое или юридическое лицо, орган государственной власти, учреждение или любой другой орган, компетентный в соответствии с внутренним законодательством решать, какова должна быть цель автоматизированного файла данных, какие категории персональных данных подлежат хранению или какие операции должны производиться с ними". Это связано с тем, что дефиниция Конвенции 1981 г. является устаревшей; оперируя понятием "файл", она слишком сужала круг возможных способов обработки персональных данных. Кроме того, дефиниция Конвенции не предусматривала возможность нескольких лиц одновременно выступать оператором <1>.

--------------------------------

<1> Opinion 1/2010 On the concepts of "controller" and "processor". Article 29 Data Protection Working Party. 16 February. P. 3.

Ключевым отличием дефиниции, содержащейся в Законе о персональных данных, от той, которая содержится в Директиве 1995 г. и Регламенте 2016 г., является использование в Законе о персональных данных словосочетания "состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" вместо обобщенного понятия "средства обработки" (means of the processing of personal data). Однако это не меняет существа используемого критерия, поскольку понятие "средства обработки" в европейском праве охватывает и состав обрабатываемых данных, и действия, которые осуществляются с ними <1>. В этой связи можно говорить о том, что понятие "оператор персональных данных" в российском и европейском праве является по существу идентичным.

--------------------------------

<1> Opinion 1/2010 On the concepts of "controller" and "processor". Article 29 Data Protection Working Party. 16 February. P. 14.

2. Для решения вопроса о том, является ли конкретное лицо оператором персональных данных, необходимо принимать во внимание все обстоятельства, поскольку данный вопрос является вопросом факта. Простого указания в тексте договора на то, что определенная сторона выступает в качестве оператора персональных данных, недостаточно. Как правило, в качестве оператора будет выступать любое лицо, которое решило осуществлять обработку персональных данных в своих интересах и имеет правовую и (или) фактическую возможность определять существенные условия такой обработки. При этом осуществлять непосредственные действия по обработке персональных данных такому лицу для признания его оператором не требуется, на что указывает использование предлогов "и (или)" в выражении "организующие и (или) осуществляющие обработку персональных данных".

Представляется, что именно определение цели обработки является основным квалифицирующим признаком оператора персональных данных. Определение состава персональных данных и конкретных способов их обработки, включая используемые программно-аппаратные средства, нередко требует наличия специальной квалификации, в связи с чем данные элементы могут по факту определяться привлеченными оператором лицами. Однако предоставление оператору информации о них, а также последующее продолжение его взаимоотношений с таким привлеченным лицом могут рассматриваться как согласие с указанными действиями и проявление контрольных функций в отношении таких действий. Таким образом, в указанных случаях лицо будет признаваться оператором персональных данных даже несмотря на то, что отдельные аспекты обработки данных были определены иным лицом.

3. Типичными примерами операторов персональных данных являются организации, которые осуществляют обработку данных своих работников (и) или клиентов - физических лиц; лица, которые осуществляют сбор и анализ общедоступных данных в сети Интернет; государственные органы и учреждения, которые обрабатывают персональные данные граждан в процессе предоставления государственных услуг; онлайн-сервисы, которые предусматривают регистрацию пользователей и (или) собирают данные о них в процессе использования такого сервиса.

4. В случае если цели обработки, состав персональных данных и способы обработки определяются работником организации, например лицом, специально назначенным в качестве ответственного за обработку данных, оператором будет признаваться сама организация, а не такое физическое лицо. При этом если такое физическое лицо будет использовать персональные данные в своих целях без ведома организации, то его можно будет признать оператором с возложением всех соответствующих обязанностей и ответственности, однако сама организация также будет нести ответственность за действия такого работника на основании п. 1 ст. 1068 ГК РФ. В данном случае можно говорить о вине организации, выразившейся в том, что она не смогла принять необходимые меры безопасности, направленные на предотвращение несанкционированного доступа и обработки персональных данных своими работниками.

5. На стороне оператора персональных данных может выступать множественность лиц, на что указывает формулировка о возможности организации и (или) осуществления обработки персональных данных, а также определения ее целей и иных существенных аспектов обработки "самостоятельно или с другими лицами". Такая множественность может иметь место, к примеру, при совместной обработке в общих целях персональных данных клиентов или работников несколькими операторами, действующими в рамках одной группы компаний.

Кроме того, множественность лиц на стороне оператора может иметь место при создании несколькими лицами (к примеру, туристическим агентством, сетью отелей и авиакомпанией) единого интернет-портала, где клиент может централизованно заказать услуги каждого из указанных лиц. При этом такие лица определяют объем собираемых данных, порядок размещения заказа, кто из них и в каком объеме может иметь доступ к собранным персональным данным. В этом случае все указанные лица будут совместно выступать в качестве оператора ("сооператоры") по отношению к таким персональным данным, что не исключает квалификации каждого из них в качестве самостоятельного оператора по отношению к иным обрабатываемым персональным данным (например, своих работников). Однако если совместного определения целей или иных элементов обработки персональных данных нет, например в случае, когда туристическое агентство само отправляет персональные данные своих клиентов в отель для подтверждения брони, то нет и множественности лиц на стороне оператора. Каждое из указанных лиц является самостоятельным оператором, обрабатывающим персональные данные для собственных нужд.

Множественность лиц на стороне оператора проявляется и в случае размещения пользователями персональных данных в социальной сети: поскольку социальная сеть устанавливает общие цели обработки данных, состав персональных данных и способы обработки, а пользователь - конкретный состав размещаемых персональных данных, также он может выбирать способы обработки из состава сделанных доступными провайдером сервиса социальной сети, оба указанных лица совместно могут признаваться оператором (в единственном числе) в отношении обрабатываемых персональных данных третьих лиц. Конечно, при условии, что в данном случае в отношении пользователя не будет действовать исключение из правил об обработке персональных данных только для личных и семейных нужд (п. 1 ч. 2 ст. 1 Закона о персональных данных, см. также комментарий к ней).

6. Наличие на стороне оператора множественности лиц вызывает вопрос о распределении ответственности между ними. Тот факт, что Закон о персональных данных говорит об операторе в единственном числе, может быть интерпретирован как несение обязанностей и ответственности каждым сооператором в полном объеме. С гражданско-правовой точки зрения такой вид ответственности именуется солидарной обязанностью (ст. 323 ГК РФ устанавливает, что "при солидарной обязанности должников кредитор вправе требовать исполнения как от всех должников совместно, так и от любого из них в отдельности, притом как полностью, так и в части долга"). И хотя Закон о персональных данных не оперирует данным термином и не предполагает возможности субсидиарного применения положений гражданского законодательства, принципы солидарной ответственности вполне могут быть применимы и к распределению ответственности между сооператорами. Европейская практика также исходит из принципа солидарной ответственности сооператоров (jointly and severally liable) <1>. При этом вопросы распределения ответственности и предъявления регрессных требований вполне могут быть решены сооператорами в соглашении между собой.

--------------------------------

<1> Opinion 1/2010 On the concepts of "controller" and "processor". Article 29 Data Protection Working Party. 16 February 2010. P. 24.

7. От оператора персональных данных следует отличать лицо, которое осуществляет обработку данных по его поручению. В европейском законодательстве в этой связи наряду с термином "оператор" (data controller) используется термин "обработчик" (data processor). В российском законодательстве такой термин специально не выделен, однако в ч. 3 ст. 6 Закона о персональных данных упоминается "лицо, осуществляющее обработку персональных данных по поручению оператора". Ключевыми характеристиками такого лица являются: 1) наличие самостоятельной правосубъектности, т.е. это лицо должно быть юридически самостоятельным по отношению к оператору, что позволяет исключить из сферы его работников оператора и обособленные подразделения организации; 2) обработка данных осуществляется таким лицом в интересах оператора.

В качестве лиц, осуществляющих обработку персональных данных по поручению оператора, обычно выступают различного рода аутсорсинговые организации (например, по ведению бухгалтерии или расчету зарплат), а также провайдеры "облачных" сервисов, которые предоставляют оператору вычислительные мощности для обработки персональных данных <1>. Однако если такие провайдеры осуществляют обработку персональных данных своих клиентов для собственных нужд, то они будут выступать в качестве операторов таких данных <2>.

--------------------------------

<1> Подробнее об "облачных" сервисах см.: Савельев А.И. Правовая природа "облачных" сервисов: свобода договора, авторское право и высокие технологии // Вестник гражданского права. 2015. N 5. С. 62 - 99.

<2> Opinion 05/2012 on Cloud Computing. Article 29 Data Protection Working Party. 1 July 2012.

Главным отличием оператора от "лица, осуществляющего обработку персональных данных по поручению оператора", является распределение ответственности между ними. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на их обработку. Оператор несет ответственность перед субъектом персональных данных за действия указанного лица, а оно, в свою очередь, - перед оператором (ч. ч. 4 и 5 ст. 6 Закона о персональных данных). Подробнее о правовом статусе лица, осуществляющего обработку персональных данных по поручению оператора, см. в комментарии к ч. 3 ст. 6 настоящего Закона.

Понятие обработки персональных данных.

1. Приведенная в Законе о персональных данных дефиниция воспроизводит аналогичное положение Директивы 1995 г. Данное определение отличается от понятия автоматизированной обработки, которое содержится в Конвенции 1981 г. и охватывает "следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение". Во многом это связано с тем, что сфера действия Директивы 1995 г. и Закона о персональных данных не ограничивается исключительно автоматизированной обработкой данных. Кроме того, развитие технологий привело к появлению новых способов обработки данных, что сделало нецелесообразным ограничение их видов каким-либо закрытым перечнем.

2. Первоначально в Законе о персональных данных обработка персональных данных понималась несколько иначе, а именно как "действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных". Последующие изменения в дефиницию конкретизировали ее посредством (1) прямого указания на то, что обработка представляет собой любое действие (в данном случае делается акцент на действии человека) или операцию (акцент на автоматизированной обработке) с персональными данными, и (2) пополнения перечня возможных способов обработки записью, извлечением, передачей данных в различных формах (распространение, предоставление, доступ).

В настоящее время под обработкой персональных данных понимается любое действие (операция), совершаемое с персональными данными, как с использованием средств автоматизации, так и без них. К таковым относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В принципе невозможно придумать ни одного действия или операции с персональными данными, которые бы не могли быть охвачены понятием "обработка". Аналогичный и столь же широкий подход к данному понятию используется в Директиве 1995 г. и Регламенте 2016 г.

Таким образом, к обработке персональных данных в полной мере можно отнести любое действие, носящее волевой характер и сопряженное с воздействием на данные в период их жизненного цикла: обычное хранение персональных данных на жестком диске компьютерного устройства; использование компьютерных алгоритмов по глубинному анализу данных (data mining).

3. В отечественной судебной практике встречаются случаи, когда суды некорректно толкуют понятие "обработка персональных данных", стремясь тем самым решить вопрос о применимости к спорным отношениям законодательства о персональных данных.

Так, суды не признают обработкой персональных данных действия по размещению на информационных стендах официальных документов, в которых могут содержаться персональные данные (например, данные о результатах аудита ТСЖ с информацией о фамилии, имени и отчестве истца, замещении им ранее должности председателя ТСЖ и размере получаемого вознаграждения или предписание Ростехнадзора), такие действия не являются обработкой персональных данных лица по смыслу Закона о персональных данных (см. Апелляционные определения Верховного Суда Республики Коми от 13 марта 2014 г. по делу N 33-1148/2014; Липецкого областного суда от 6 июня 2012 г. по делу N 33-1235/2012).

С приведенным толкованием вряд ли можно согласиться, учитывая максимально широкую формулировку понятия "обработка персональных данных", которое охватывает практически любые действия, совершаемые оператором с персональными данными. В указанных выше случаях более правильно говорить о неприменимости законодательства о персональных данных к спорным отношениям в силу отсутствия факта автоматизированной или квазиавтоматизированной обработки, т.е. в силу ст. 1 Закона о персональных данных, а не в силу отсутствия факта обработки как таковой.

Понятие автоматизированной обработки персональных данных.

1. Данное определение отсутствует в Директиве 1995 г. и Регламенте 2016 г., оно отсутствовало и в первоначальной редакции Закона о персональных данных, появившись лишь в 2011 г. В немалой степени его закреплению на законодательном уровне способствовали судебные споры, связанные с определением сферы действия Закона о персональных данных, в котором содержание понятия автоматизированной обработки данных играло ключевую роль (см. комментарий к ст. 1 настоящего Закона). В частности, предпринимались попытки определить указанный термин методом "от противного" применительно к существующему пониманию обработки без использования средств автоматизации, содержащемуся в Постановлении Правительства РФ от 15 сентября 2008 г. N 687. Поскольку согласно п. 2 данного документа обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее, делался вывод о том, что "средством автоматизации является не любое техническое средство, а только такое, при применении которого использование, уточнение, распространение, уничтожение персональных данных осуществляется без непосредственного участия человека" (см. также, например, Постановление Четвертого арбитражного апелляционного суда от 17 января 2011 г. по делу N А19-25289/2009). В связи с тем что такое толкование явно расходилось с общими представлениями об автоматизированной обработке, судам приходилось ссылаться напрямую на текст Конвенции 1981 г. В настоящее время этот пробел восполнен.

2. Под автоматизированной обработкой теперь понимается любая обработка персональных данных, осуществляемая с использованием вычислительных средств. Иными словами, в случае, если производится обработка персональных данных, существующих в цифровой форме, то она всегда имеет автоматизированный характер. В этой связи упомянутые ранее положения п. 2 Постановления Правительства РФ от 15 сентября 2008 г. N 687 не должны применяться для толкования понятия автоматизированной обработки, но при этом продолжают иметь значение для определения содержания понятия обработки, осуществляемой без использования средств автоматизации <1>.

--------------------------------

<1> В литературе высказывается и более радикальное мнение, - что указанное Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, противоречит в части ключевого определения федеральному закону и должно быть пересмотрено. См.: Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С. Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" (постатейный) // СПС "КонсультантПлюс". 2013. См. п. 4 комментария к ст. 3.

Понятие распространения персональных данных.

1. В первоначальной редакции Закона о персональных данных понятие распространения персональных данных рассматривалось как обобщающее по отношению к различным видам обработки данных, связанных с их передачей иным лицам: размещением в сети Интернет, предоставлением доступа, передачей определенному лицу и т.п. В настоящее время в качестве обобщающего понятия выступает термин "передача", который включает в себя распространение, предоставление и доступ, как это следует из понятия обработки персональных данных.

2. Распространение персональных данных означает совершение действий, в результате которых указанные сведения становятся доступными неопределенному кругу лиц. Распространение имеет место, в частности, при публикации таких данных в средствах массовой информации. О распространении можно говорить при размещении персональных данных в сети Интернет в отсутствие специального режима доступа к таким данным (например, по паролю). При этом, как представляется, наличие на интернет-сайте регистрации, которую может пройти любой желающий, не означает, что размещаемые данные рассчитаны лишь на определенный круг лиц - зарегистрированных пользователей. Другое дело, если такая регистрация доступна лишь лицам, обладающим определенным статусом (например, бизнес-партнерам компании), и соответствующая информация доступна только таким зарегистрированным пользователям.

Здесь следует провести аналогию с законодательством о рекламе, поскольку одним из существенных признаков рекламы является ее направленность на неопределенный круг лиц. Как отметил суд, толкуя данное понятие применительно к интернет-сайту, "Сайт ООО "Медика" в сети Интернет не предполагает какого-либо ограничения в доступе путем введения паролей, кодов для получения возможности его посещения либо прочтения подробных сведений об оказываемых обществом услугах, в силу чего потенциальным потребителем услуг клиники является любой пользователь сети Интернет. Таким образом, информация на сайте Интернета направлена неопределенному кругу лиц" (Постановление Девятнадцатого арбитражного апелляционного суда от 5 марта 2011 г. по делу N А14-7904/2010/227/10).

Перепост информации в социальных сетях, равно как и проставление "лайка", который влечет появление данного материала в ленте "друзей" пользователя, также может быть квалифицирован в качестве распространения такой информации, за исключением случаев, когда настройки приватности ограничивают доступ к информации этого пользователя определенным кругом лиц ("друзей"). В последнем случае при совершении перепостов и проставлении "лайков" корректнее говорить о предоставлении персональных данных.

3. Правовой режим распространения персональных данных практически идентичен режиму предоставления данных, поскольку в большинстве специальных норм Закона о персональных данных они обычно упоминаются совместно (см., например, ст. 7, ч. ч. 1, 10, 11 ст. 19, п. п. 2 и 3 ч. 2 ст. 22). Однако в одном случае речь идет исключительно о распространении - при обработке персональных данных участников религиозной организации без согласия субъекта (см. комментарий к п. 5 ч. 2 ст. 10 Закона).

Понятие предоставления персональных данных.

1. Предоставление персональных данных является частным случаем передачи персональных данных и означает действия по раскрытию таких данных определенному лицу или определенному кругу лиц. Частным случаем предоставления персональных данных является их передача по запросу уполномоченного государственного органа. При этом имеет место обработка таких данных, которая может осуществляться без согласия субъекта (п. 2 ч. 1 ст. 6 Закона о персональных данных).

2. В некоторых случаях в качестве синонима понятия "предоставление персональных данных" Закон использует термин "раскрытие третьим лицам" (ст. 7, п. 3 ч. 2 ст. 22 Закона о персональных данных). По-видимому, это следует объяснить недочетами юридической техники Закона, в котором фрагментарно сохранились "остатки" прежней терминологии после поправок 2011 г.

3. В отношении персональных данных, которые одновременно выступают объектом иного режима охраняемой законом тайны, правовые акты, регулирующие такие виды тайны, также используют термин "предоставление", правда, без его дефиниции. В частности, согласно ст. 13 Федерального закона от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных ч. ч. 3 и 4 указанной статьи. При этом в п. 4 ст. 13 данного Закона говорится о "предоставлении сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя". Представляется, что понятие "предоставление", использованное в приведенной норме, должно толковаться в том же значении, что и в Законе о персональных данных, и охватывать только случаи передачи сведений, составляющих врачебную тайну, лишь конкретным лицам, исключая возможность предоставления к ним доступа неопределенному кругу лиц.

Понятие блокирования персональных данных.

1. Блокирование персональных данных выступает одним из способов обработки персональных данных и в самом общем виде представляет собой намеренное создание невозможности доступа и использования таких данных при одновременном обеспечении их сохранности. Последний признак отличается от уничтожения, которое предполагает необратимое прекращение существования таких данных.

2. Блокирование персональных данных представляет собой временную меру, принимаемую либо на период проверки наличия или отсутствия оснований для уничтожения таких данных в связи с возможной неправомерностью их обработки (см. комментарий к ст. 21 настоящего Закона), либо на период, необходимый для уточнения обрабатываемых данных по запросу субъекта персональных данных. Именно поэтому дефиниция "блокирование персональных данных", приведенная в Законе, предусматривает исключение из общего принципа недоступности заблокированных данных для обработки в отношении единственного способа обработки - уточнения персональных данных.

Понятие уничтожения персональных данных.

1. Под уничтожением персональных данных в комментируемой статье понимается 1) необратимое прекращение существования персональных данных, которое может принимать форму уничтожения носителя таких данных, либо 2) необратимое уничтожение данных с носителя без ликвидации самого носителя. Последняя форма актуальна для цифровых данных, где носитель может быть использован многократно. В данном случае уничтожение данных должно осуществляться по определенным алгоритмам, чтобы предотвратить возможность их восстановления с использованием специального программного обеспечения. Алгоритмы уничтожения информации стандартизированы. Во многих государствах изданы национальные стандарты, нормы и правила, регламентирующие использование программных средств для уничтожения информации и описывающие механизмы его реализации. В России к числу таких документов можно отнести Руководящий документ Государственной технической комиссии России от 30 марта 1992 г. "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" <1>, предусматривающий ряд требований к механизму уничтожения информации для систем определенных классов защищенности. В частности, для классов 3А и 2А "очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов)", для класса 1Г предусмотрена однократная перезапись.

--------------------------------

<1> http://fstec.ru/component/attachments/download/296/RD_1992.03.30_1.pdf

2. Согласно разъяснениям Роскомнадзора порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом. Комиссия создается на основании приказа уполномоченного лица оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта являются оформление соответствующего акта о прекращении обработки персональных данных и регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждается самим оператором <1>.

--------------------------------

<1> Информация Роскомнадзора "Ответы на вопросы в сфере защиты прав субъектов персональных данных" // СПС "КонсультантПлюс".

Понятие обезличивания персональных данных.

1. Под обезличиванием персональных данных понимается один из способов обработки персональных данных, в результате которого становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

Обезличивание персональных данных является одной из мер, направленных на минимизацию рисков причинения вреда гражданам в случае "утечки" их персональных данных из информационных систем <1>. Обезличивание персональных данных выполняет важную социальную функцию, обеспечивая автономию личности человека и его "недосягаемость" для тех, кто не согласен с высказанным лицом мнением либо является потенциально враждебным к тем чертам, которые у этого лица имеются (наличие определенных заболеваний, происхождение, убеждения и т.д.) <2>.

--------------------------------

<1> См. подп. "з" п. 1 Постановления Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

<2> Nissenbaum H. The Meaning of Anonymity in an Information Age // The Information Society. No. 15:2. 1999. P. 142.

2. В настоящее время требования и методы по обезличиванию персональных данных утверждены Приказом Роскомнадзора от 5 сентября 2013 г. N 996 <1>. Сфера применения данного Приказа формально ограничена государственными и муниципальными органами, однако de facto применяется в качестве ориентира и частными операторами за неимением иных источников. Среди методов обезличивания этот Приказ упоминает следующие:

--------------------------------

<1> Приказ Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (вместе с Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ").

- введение идентификаторов (замена части сведений, составляющих персональные данные, идентификаторами с созданием таблицы соответствия таких идентификаторов исходным данным);

- изменение состава или семантики (обобщение, изменение значений атрибутов персональных данных или удаление части сведений, позволяющих идентифицировать субъекта);

- декомпозиция (разделение массива персональных данных на несколько составляющих частей с последующим их раздельным хранением);

- перемешивание (перестановка отдельных значений атрибутов персональных данных в массиве).

Конкретный метод выбирается оператором в зависимости от целей и задач обработки персональных данных, учитывая, что обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.

3. Одним из наиболее важных вопросов, возникающих при применении законодательства о персональных данных, является следующий: относятся ли обезличенные данные к категории персональных данных или представляют собой особый вид данных, на который не распространяется режим персональных данных? Закон о персональных данных не дает прямого ответа на данный вопрос. Систематический анализ положений, содержащихся в вышеназванном Приказе Роскомнадзора, позволяет сделать вывод о том, что обезличивание персональных данных выводит их за рамки действия Закона о персональных данных. Это следует из приведенного в указанном документе понятия "деобезличивание", определенного как "действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных, то есть становятся персональными данными" (выделено мной. - А.С.).

В отечественной судебной практике также возникает немало споров, во время которых суды соглашаются с тем, что обезличенные данные не являются персональными (см., например, решение Верховного Суда РФ от 26 января 2011 г. N ГКПИ10-1510; Постановление Девятого арбитражного апелляционного суда от 12 марта 2008 г. по делу N А40-33797/07-47-306; решение Арбитражного суда Удмуртской области от 25 сентября 2013 г. по делу N А71-6910/2013).

Вместе с тем в судебной практике существует и иной подход. Ранее уже приводились примеры споров, в которых информация, не позволяющая однозначно идентифицировать лицо, признавалась персональными данными. Представляется, что такой подход более соответствует букве и духу положений Закона о персональных данных. Во-первых, само понятие обезличивания предполагает приведение информации к тому состоянию, которое характеризует возможность косвенной идентификации лица посредством привлечения дополнительной информации. Во-вторых, одна из немногих статей, посвященных особенностям обезличенных данных, касается случаев обработки персональных данных без согласия субъекта (п. 9 ч. 1 ст. 6 Закона о персональных данных): "...обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных (выделено мной. - А.С.)". При этом данное положение использует формулировку "хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных (выделено мной. - А.С.)", тем самым намекая на возможность существования персональных данных в форме, не позволяющей определить субъекта персональных данных. Иными словами, Закон сам говорит о том, что обработка обезличенных данных является обработкой персональных данных. Наконец, в-третьих, такой подход соответствует европейскому, согласно которому, если обезличенные данные являются обратимыми, т.е. могут быть возвращены к исходному состоянию, то они относятся к категории информации, которая может косвенно определить лицо, а следовательно, являются персональными данными <1>.

--------------------------------

<1> Opinion 4/2007 On the concept of personal data. WP 136, 20 June 2007. Article 29 Data Protection Working Party. P. 18. URL: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf.

4. В зарубежной литературе подчеркивается, что в эпоху "больших данных" информация может либо представлять ценность для обработки, либо быть анонимной, но одновременно и тем и другим она не может быть никогда <1>. Чем больше степень обезличивания данных, тем меньше ценность таких данных для анализа. Таким образом, в новых технологических реалиях обезличивание данных уже не может выполнять функцию эффективного средства защиты персональных данных и в более глобальном смысле - в частной жизни граждан. Рост производительности и доступности вычислительных мощностей, а также огромный массив доступной в сети Интернет личной информации обусловливают техническую возможность деанонимизации даже тщательно обезличенных данных с учетом того, что любые обезличенные данные всегда имеют какой-либо атрибут, относящийся к личности.

--------------------------------

<1> Ohm P. Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization // UCLA Law Review No. 57. 2010. P. 1704.

В этой связи новое европейское законодательство пошло по пути дифференциации понятий псевдоанонимизации данных и анонимизированных данных. Псевдоанонимизация представляет собой способ обработки персональных данных, в результате которой становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту, при условии, что такая дополнительная информация хранится отдельно и в отношении ее принимаются организационные и технические меры, обеспечивающие ее неиспользование для соотнесения с определенным или определяемым лицом (ст. 4 (5) Регламента 2016 г.). Анонимизированность данных предполагает такую степень обезличенности данных, при которой последние не относятся к определенному или определяемому лицу. Такие данные не являются персональными и не подпадают под действие законодательства о персональных данных. При разграничении указанных понятий принимается во внимание наличие возможности осуществления их деобезличивания разумными средствами оператором или иным лицом. При этом принимаются во внимание материальные и временные затраты, которые оператор должен понести для этого, а также уровень развития технологий на момент совершения процесса обработки (п. 26 Преамбулы Регламента 2016 г.).

Таким образом, обезличенные (псевдоанонимизированные - по терминологии Регламента 2016 г.) данные по новому европейскому законодательству по общему правилу рассматриваются в качестве персональных данных, а сами действия по обезличиванию - как одно из средств защиты персональных данных, при обработке которых в ряде случаев действуют некоторые послабления <1>.

--------------------------------

<1> См. п. 26 Преамбулы к Регламенту 2016 г.

Понятия информационной системы персональных данных и базы данных.

1. Понятие информационной системы персональных данных по сути является воспроизведением понятия информационной системы, которое содержится в Законе об информации, с одним уточнением - указанием на особый характер обрабатываемой в ней информации в виде персональных данных. Согласно п. 3 ст. 2 Закона об информации под информационной системой понимается совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Таким образом, в соответствии с данной трактовкой рассматриваемого понятия информационная система персональных данных имеет место только при автоматизированной обработке, в отличие от прежней дефиниции этого понятия, которое охватывало и обработку данных без использования средств автоматизации.

2. База данных является всего лишь одним из элементов информационной системы наряду с техническими средствами и иными информационными технологиями, используемыми при обработке информации. Данное разграничение особенно важно с учетом требования о локализации отдельных процессов обработки персональных данных (ч. 5 ст. 18 Закона о персональных данных), которое предусматривает обязанность нахождения на территории Российской Федерации именно базы данных, а не всей информационной системы персональных данных. Понятие "информационная система персональных данных" используется для "обслуживания" вопросов, связанных с информационной безопасностью - при формулировании организационных и технических мер по обеспечению безопасности персональных данных в ходе их обработки в информационных системах персональных данных и уровней защищенности таких данных (см. ст. 19 Закона о персональных данных и комментарий к ней).

3. Ни Закон о персональных данных, ни Закон об информации не содержат определения базы данных, в связи с чем следует обратиться к дефиниции базы данных, используемой в гражданском законодательстве. В соответствии с п. 2 ст. 1260 ГК РФ базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ). Стоит отметить, что отдельные представители Роскомнадзора дают более широкое толкование понятия "база данных", понимая под ней "упорядоченный массив данных, независимый от вида материального носителя информации, и используемых средств его обработки (архивы, картотеки, электронные базы данных)". Так, например, базой данных, по их мнению, "можно считать таблицу в форматах Excel или Word, в которой содержатся персональные данные граждан" <1>. Данный подход объясняется представителями Роскомнадзора тем, что "в законодательстве Российской Федерации существует много понятий баз данных, тем не менее все они сводятся к одному общему значению, которое и приведено выше". Оставляя в стороне весьма спорное заявление о наличии множества понятий баз данных в российском законодательстве, обратим внимание на тот факт, что предлагаемое представителями Роскомнадзора понятие "база данных" дословно совпадает с дефиницией, которая содержится в Модельном законе СНГ "О персональных данных" 1999 г. <2>. Данный документ хотя и можно рассматривать в качестве авторитетного источника, но формально он не имеет юридической силы и не может выступать в качестве акта, регулирующего "в рамках СНГ международные отношения в сфере защиты прав субъектов персональных данных" <3>.

--------------------------------

<1> См.: Комментарий к Федеральному закону от 21 июля 2014 г. N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях". С. 10.

<2> Принят в г. Санкт-Петербурге на 14-м пленарном заседании Межпарламентской ассамблеи государств - участников СНГ Постановлением от 16 октября 1999 г. N 14-19.

<3> Иная позиция у представителей Роскомнадзора. См.: Федеральный закон "О персональных данных": Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 25.

Понятие трансграничной передачи персональных данных.

1. Трансграничная передача персональных данных представляет собой отдельный вид обработки таких данных, заключающийся в передаче их "на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу". Ранее содержавшееся в указанной дефиниции указание на пересечение Государственной границы Российской Федерации было удалено как не соответствующее реалиям информационных процессов, происходящих в сети Интернет, которая в силу своего трансграничного, децентрализованного и виртуального характера не позволяет четко обозначить географические границы определенной деятельности. В европейском законодательстве используется несколько иное, чуть более широкое понимание трансграничной передачи данных - как действий по передаче данных на территорию третьих стран (не являющихся членами Европейского Союза) или международных организаций (ст. 25 (1) Директивы 1995 г.; ст. 45 (1) Регламента 2016 г.). При этом национальная принадлежность получателя таких данных в третьей стране не имеет значения.

2. Квалифицирующими признаками трансграничной передачи персональных данных по российскому праву являются факты попадания персональных данных:

1) на территорию иностранного государства;

2) под контроль иностранного лица и

3) в результате целенаправленной деятельности оператора.

Указанные признаки позволяют выделить основной критерий трансграничной передачи данных: результатом такой передачи является подпадание персональных данных под юрисдикцию другого государства с одновременным выбытием из-под юрисдикции Российской Федерации. Таким образом, если оператор - российское юридическое лицо передает персональные данные в свое представительство, находящееся за рубежом, то трансграничной передачи нет, поскольку данные не передаются иностранному лицу, а передаются самому себе (отсутствует признак 2). По этой же причине не будет трансграничной передачи данных в ситуациях, когда сотрудник организации едет в зарубежную командировку с ноутбуком, на котором записаны персональные данные иных лиц.

Нельзя говорить о трансграничной передаче персональных данных и в тех случаях, когда данные остаются на территории Российской Федерации, хотя и попадают к иностранному лицу, которое находится на его территории (отсутствие признака 1). Размещение персональных данных на интернет-сайте, хостинг которого осуществляется в России, но доступен по всему миру, само по себе не является трансграничной передачей данных. В данном случае инициатором передачи информации будет являться не владелец интернет-сайта, а пользователь, который "сам приходит" на данный ресурс и тем самым инициирует процесс передачи ему соответствующих данных (отсутствие признака 3). Аналогичным образом осуществляемый вследствие алгоритмов протокола TCP/IP "транзит" данных через территорию третьих стран при передаче данных в сети Интернет также не является их трансграничной передачей. Иной подход вступал бы в противоречие с архитектурой сети Интернет и информационных процессов, происходящих в ней, превращая нормы о трансграничной передаче данных в неисполнимые на практике. Подробнее о трансграничной передаче данных см. комментарий к ст. 12 Закона о персональных данных.