(Не)специальная обработка «специальных» персональных данных: всегда ли целью можно оправдать средства?
Аннотация
Сфера регулирования защиты персональных данных в последнее время претерпевает значимые изменения: приняты поправки в Кодекс об административных правонарушениях и в Уголовный кодекс, меняющие кардинально всю модель рисков для операторов персональных данных. Однако специфика этой сферы регулирования остается без изменений: сильный публично-правовой регулирующий компонент, сочетающийся с заметной свободой операторов персональных данных формировать собственные подходы к построению процессов обработки этих данных. И здесь возникает противоречие сущего и должного: операторы фактически могут аккумулировать те персональные данные, которые не составляли их целеполагание при построении процессов обработки и создании организационно-распорядительной документации. Ситуация усугубляется еще и тем, что речь может идти не просто об «избыточных данных», а о персональных данных специальной категории. Соответственно, возникает некая правовая неопределенность: как должен поступить оператор с этими данными?
Ключевые слова
| Тип | Статья |
| Издание | Конституционное и муниципальное право № 05/2025 |
| Страницы | 35-39 |
| DOI | 10.18572/1812-3767-2025-5-35-39 |
Сплав публично-правового и частноправового начал в регулировании сферы персональных данных является ее характерной чертой. Давно вступил в силу Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных), еще дольше существует гл. 14 в Трудовом кодексе Российской Федерации, принята масса иных законов и подзаконных актов. С другой стороны, при обращении к их правовому содержанию быстро обнаруживается множество вопросов, оставленных на усмотрение операторов персональных данных. Так, установление актуальных угроз безопасности персональных данных для информационной системы по Постановлению Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — Постановление № 1119) осуществляется оператором персональных данных (п. 7) и напрямую влияет на уровень защищенности информационной системы и на то, как будут защищаться персональные данные.
Что гораздо более интересно, законодатель, отказавшись от подхода к определению того, что относится к персональным данным, а что не относится, установил только критерии, указывающие на то, какие данные являются персональными, а какие не являются. Это повлекло множество споров и противоречий о том, когда и как данные обретают статус персональных, а когда теряют, а также упреки в правовой неопределенности, вызываемой таким подходом. Не ставя целью его оценку, хочется сосредоточиться на том, как операторы используют предоставленную им свободу для построения процессов обработки данных в локальных нормативных актах.
В соответствии с подп. 2 ст. 3 Закона о персональных данных оператор определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия, совершаемые с этими данными. Соответственно, оператору персональных данных «необходимо на уровне локального нормотворчества <...> предусмотреть порядок отнесения информации, генерируемой физическими лицами при использовании конкретных технологических решений <...> к категории персональных данных». В рамках такого локального нормотворчества перед оператором персональных данных встает необходимость анализа того, какими у него будут цели обработки персональных данных, что именно он будет собирать для этих целей, как обрабатывать, а после достижения цели обработки потребуется ответ на вопрос о том, какова будет судьба этих данных.
Все обязанности, которые на себя берет оператор, проистекают не только и не столько из законодательства, но и в первую очередь являются следствием принятия оператором решения осуществлять ту или иную деятельность, это решение первично. Никакая обработка персональных данных (за исключением обработки для личных и семейных нужд) не должна осуществляться исключительно ради самого процесса обработки. Цели обработки могут соответствовать законодательству или не соответствовать, обрабатываемые в рамках целей данные могут быть избыточными или не быть такими, но цель (или причина) для обработки должна существовать всегда. После принятия поправок в законодательство, влияющих на правовой статус оператора и создающих для него новые цели обработки, последний может столкнуться с необходимостью пересматривать свои локальные акты. В них потребуется отразить, как эти новые требования он будет соблюдать, или у самих операторов могут появляться и исчезать цели обработки персональных данных.
И если с целями все проще, их можно условно разделить на те, что поставил для себя сам оператор (в том числе совместно с другими операторами), и на те, что проистекают из требований законодательства, то вот с определением персональных данных не все так однозначно. И дело здесь не только в сложности определения, относятся ли те или иные данные к персональным в контексте конкретного процесса обработки. В некоторых случаях речь идет о том, как должен оператор поступать с данными, которые могут быть отнесены к персональным данным специальных категорий, но конкретный оператор не рассматривает их в качестве таковых. «Волевое начало» оператора в процессах обработки персональных данных является одним из ведущих (если не ведущим) факторов, действия с данными должны носить волевой, осознанный характер.