суббота, 24 июня 2017 г.

Судебная практика: Сбор персональных данных путем заполнения формы обратной связи на сайте компании


Претензии Роскомнадзора к организациям в отношении порядка обработки ими персональных данных (ПДн) и соблюдения требований законодательства РФ в этой области  порой кажутся надуманными, однако с 1 июля 2017 года за них придется платить серьезные штрафы. Пока же организации обходятся «малой кровью».

Претензии к ООО «Тамбовская Городская Юридическая Компания» (ООО «ТГЮК») вылились в судебное дело № 4А-288, по которому Тамбовский областной суд вынес решение в октябре 2016 года. Основные вопросы были к форме обратной связи сайта общества, которая состояла из трех полей: «Ваше имя», «тема сообщения», «сообщение».

Суть спора

В апреле 2016 года Управлением Роскомнадзора Тамбовской области были проведены мероприятия систематического наблюдения на предмет выявления в сети Интернет нарушений законодательства РФ в области персональных данных. Мероприятия проводились в отношении операторов ПДн, являющихся финансово-кредитными организациями, действующими на территории Тамбовской области и имеющие сайты в сети Интернет в доменной зоне .ru и .рф.

В ходе наблюдения было установлено, что ООО «ТГЮК» не были приняты меры по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к их защите.

Прокуратурой было вынесено постановление о возбуждении дела об административном правонарушении, предусмотренном ст. 13.11 КоАП. Не согласившись с вынесенным решением, общество обратилось в суд.

Постановлением мирового судьи судебного участка № 1 Октябрьского района г. Тамбова, временно исполнявшего обязанности мирового судьи судебного участка № 2 Октябрьского района г. Тамбова, в июне 2016 года ООО «ТГЮК» было признано виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и ему назначено административное наказание в виде штрафа в размере 1000 рублей.

Позиция ООО «ТГЮК»

В жалобе, поданной в Тамбовский областной суд, общество отметило, что не является оператором и не осуществляет обработку ПДн, поскольку не совершает действий, перечисленных в п.3 ст.3 Закона о персональных данных. Оно не осуществляет сбор ПДн путем заполнения формы обратной связи. Данная форма предназначена для получения сообщений. Форма обратной связи сайта общества состоит из трех элементов: Ваше имя, тема сообщения, сообщение.

Определить физическое лицо как субъекта ПДн с помощью заполнения данной формы не представляется возможным, поскольку идентифицировать физическое лицо по одному имени, без других данных (фамилия, отчество, адрес, заполнение которых в форме обратной связи не предусмотрено) не представляется возможным. К тому же в графе «Ваше имя» в форме заполнения данной формы имя не обязательно может быть настоящим. Остальные элементы заполнения формы обратной связи (тема сообщения, сообщение) также не являются ПДн.

По сведениям проверяющего органа (Роскомнадзор), ООО «Тамбовская Городская Юридическая Компания» не относится к операторам ПДн: сведения об этом юридическом лице как операторе, в частности, отсутствует в реестре операторов.

Кроме того, в материалах, приложенных к постановлению о возбуждении дела об административном правонарушении, отсутствуют доказательства того, что общество было извещено надлежащим образом о том, что в отношении него будет вынесено постановление о возбуждении дела об административном правонарушении. Извещение лица посредством электронной почты нельзя считать надлежащим, поскольку оно не обеспечивает фиксирование извещения и его вручение адресату.

Действия общества не наносят значительного ущерба государственным органам и охраняемым законом общественным отношениям.

Позиция Октябрьского районного суда г. Тамбова

Суд в августе 2016 года отметил, что в целях соблюдения сроков рассмотрения дел об административных правонарушениях судье необходимо принимать меры для быстрого извещения участвующих в деле лиц о времени и месте судебного рассмотрения. Поскольку КоАП РФ не содержит каких-либо ограничений, связанных с таким извещением, оно в зависимости от конкретных обстоятельств дела может быть произведено с использованием любых доступных средств связи, позволяющих контролировать получение информации лицом, которому оно направлено (судебной повесткой, телеграммой, телефонограммой, факсимильной связью и т.п.).

Суд отметил, что вина общества в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, полностью подтверждается совокупностью исследованных мировым судьей доказательств:
  • Постановлением заместителя прокурора о возбуждении дела об административном правонарушении, предусмотренном ст. 13.11 Кодекса РФ об административных правонарушениях в отношении общества;

  • Докладной запиской руководителя Управления Роскомнадзора.
По мнению суда, имеющиеся в материалах дела доказательства, не доверять которым у суда не было оснований, получены уполномоченными должностными лицами в установленном законом порядке, отнесены к числу допустимых доказательств по делу об административном правонарушении и являются достаточными, чтобы исключить какие-либо сомнения в виновности общества в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ.

Доводы общества о том, что оно не является оператором и не осуществляет обработку ПДн, поскольку не совершает действий, перечисленных в п.3 ст.3 Закона о персональных данных, суд нашел несостоятельными, поскольку фактически при заполнении формы обратной связи осуществляется сбор ПДн, заполнение которых является обязательным.

Суд отметил, что оснований для освобождения от административной ответственности в связи с малозначительностью административного правонарушения не имеется.

Доводы общества о том, что извещение его посредством электронной почты нельзя считать надлежащим, были признаны судьей районного суда необоснованными.

Решением судьи Октябрьского районного суда г. Тамбова в августе 2016 года постановление мирового судьи было оставлено без изменения, а жалоба ООО «ТГЮК» - без удовлетворения.

Позиция Тамбовского областного суда

Заместитель председателя Тамбовского областного суда оставил без изменения постановление мирового судьи судебного участка № 1 Октябрьского района г. Тамбова, исполнявшего обязанности мирового судьи судебного участка № 2 Октябрьского района г. Тамбова и решение судьи Октябрьского районного суда г. Тамбова, вынесенные в отношении ООО «ТГЮК» по делу об административном правонарушении, предусмотренном ст. 13.11 КоАП РФ, а жалобу общества - без удовлетворения.

Для справки: Пресс-секретарь Роскомнадзора Вадим Ампелонский дал следующие рекомендации организациям, которые были опубликованы 14 апреля 2017 года на сайте bfm.ru : «Во-первых, Вы должны разместить политику конфиденциальности, во-вторых, Вы должны поставить «галочку», которую пользователь должен заполнить для того, чтобы зафиксировать, так скажем, факт своего осознанного согласия на обработку тех данных, которые он вам предоставляет. Вот если всего этого не сделано, то, соответственно, мы фиксируем нарушение законодательства и принимаем соответствующие меры. Закон предусматривает исключения для обращения в органы государственной власти. Если вы обращаетесь в органы государственной власти, то согласие пользователей не требуется» (см.: https://www.bfm.ru/news/351894 ).

Мой комментарий: Сейчас на сайте компании http://tambov-urist.ru/kontakty/ форма обратной связи изменена и дополнена «галочкой» о согласии на обработку персональных данных, а также активной ссылкой на «Положение об обработке и защите персональных данных».


Источники: Консультант Плюс / Сайт Октябрьского районного суда г. Тамбова / сайт ООО «Тамбовская Городская Юридическая Компания»
https://sud23--tmb.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=doc&number=72472949&delo_id=1502001&new=&text_number=1
http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=SOJ&n=1639816
http://tambov-urist.ru/kontakty/

2 комментария:

  1. Какая то чиновничья бюрократическая формалистика! Разве по одному только имени возможно идентифицировать человека?

    ОтветитьУдалить
  2. Обратите внимание на то, что законодательство не связывает защиту персональных данных с возможностью однозначно идентифицировать - только по ним одним - их субъекта. Цитирую (п.1 ст.3 Закона о персональных данных): "персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)".

    В сочетании с содержанием сообщения, и уж особенно с адресом электронной почты или телефоном, идентифицировать человека на практике во многих случаях не так уж и сложно (кто сам "пробивал" по интернету и по базам контрагентов, авторов постов или электронных писем, тот знает!). Если же ФИО редкое, задача сильно упрощается :)

    ОтветитьУдалить