В этой статье мы поговорим о том, какие требования предъявляются к обработке персональных данных пассажиров воздушных судов на территории России, о том, какие условия необходимы операторам для обработки персональных данных пассажиров, о требованиях, предъявляемых к согласию на обработку персональных данных и о порядке проведения проверок в этой сфере.
Условия обработки персональных данных пассажиров воздушных судов
Обработка персональных данных пассажиров воздушных судов в России осуществляется на основании следующих базовых правовых актов:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных";
- Статья 85.1 Воздушного кодекса Российской Федерации;
- Статья 11 Федерального закона от 09.02.2007 № 16-ФЗ «О транспортной безопасности»;
- Конвенция о защите физических лиц при автоматизированной обработке персональных данных" (Заключена в г. Страсбурге 28.01.1981);
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Персональные данные определяются как любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (см. п. 1. ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных", далее также - Закон о персональных данных).
Запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия установлен в п. 1 ст. 24 Конституции России.
Обязанность пассажира при бронировании перевозки сообщить необходимую информацию о своих персональных данных вытекает из договора воздушной перевозки и в России закреплена в Федеральных авиационных правилах «Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», утвержденных приказом Минтранса России от 28.06.2007 № 82.
Основным законом, регулирующим обработку персональных данных в России, является Закон о персональных данных, в основу которого легла Конвенция о защите физических лиц при автоматизированной обработке персональных данных" (Заключена в г. Страсбурге 28.01.1981).
Этот закон запрещает операторам персональных данных и иным лицам, получившим доступ к персональным данным, раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных или в отсутствие специальных условий, предусмотренных федеральным законом.
В соответствии со статьей 2 Закона о персональных данных целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Закон о персональных данных устанавливает ряд условий для обработки персональных данных. В частности, такие условия перечислены в статье 6 Закона о персональных данных, статьях 10, 11, 12 и 13 указанного закона.
Указанные ниже условия необходимы операторам персональных данных - авиаперевозчикам для обработки персональных данных пассажиров.
Одним из условий для обработки персональных данных пассажиров воздушного судна является необходимость достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (см. п. 2 ч. 1 ст. 6 Закона о персональных данных).
Так, например, в статье 85.1 Воздушного кодекса Российской Федерации установлена обязанность перевозчиков передавать персональные данные пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации (см. также ст. 11Федерального закона от 09.02.2007 № 16-ФЗ «О транспортной безопасности»).
Альтернативным условием для обработки персональных данных является обработка персональных данных для исполнения договора воздушной перевозки (см. п. 1 ч. 1 ст. 6 Закона о персональных данных).
Одним из условий обработки персональных данных является согласие субъекта персональных данных (см. п. 1 ч. 1 ст. 6 Закона о персональных данных). Такое согласие необходимо, если перевозчик использует персональные данные не для исполнения договора перевозки, а в иных целях, например, в рекламных и маркетинговых целях.
Так, для того, чтобы осуществить трансграничную передачу данных пассажиров на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных, требуется согласие в письменной форме этого пассажира (см. ст. 9 и ст. 12 Закона о персональных данных). К таким странам относятся, например, США, Китай, Япония.
С согласия пассажира производится и передача функций оператора по обработке его персональных данных третьему лицу. Например, перевозчик вправе поручить обработку персональных данных специализированной организации. К содержанию этого поручения предъявляется ряд требований, указанных в п. 3 ст. 6 Закона о персональных данных.
Из п. 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года, следует, что перевозчик вправе передать обязанности или их часть по договору воздушной перевозки лицу, осуществляющему от имени перевозчика бронирование, продажу и оформление перевозок на перевозочных документах (далее - уполномоченный агент), являясь ответственным за его действия (бездействие) перед пассажиром.
Если же оператор передает персональные данные пассажиров третьему лицу в иных целях, не указанных выше в п. 6 Общих правил воздушных перевозок пассажиров, то оператору необходимо получить согласие пассажира на такую передачу.
Требования к согласию на обработку персональных данных
Из п. 1 ст. 9 Закона о персональных данных следуют основные требования к согласию на обработку персональных данных:
«Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным».
Часть 4 ст. 9 Закона о персональных данных указывает на специальную письменную форму согласия, содержащую определенные элементы. Такая специальная письменная форма согласия должна быть использована только в случаях, предусмотренных федеральным законом. К таким случаям, например, относится трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона о персональных данных).
Ниже приводим эти элементы:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Если хотя бы один из элементов этой письменной формы будет опущен, оператору персональных данных может быть выдано предписание об исправлении нарушений и затем возложена административная ответственность. Необходимо также обратить внимание на то, что при проведении проверки формы согласия Роскомнадзор может потребовать исправить эту форму, если в ней указано несколько целей обработки персональных данных. По мнению Роскомнадзора, которое было выдвинуто в одном из споров, указание нескольких целей обработки персональных данных в одной форме согласия нарушает п. 4. ч. 4 ст. 9 Закона о персональных данных. Это было объяснено тем, что для каждой цели необходим определенный объем персональных данных, должен быть свой срок обработки персональных данных.
Локализация персональных данных пассажиров воздушных судов
C 1 сентября 2015 года в Российской Федерации вступило в силу положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Указанным законом введена обязанность операторов обеспечить запись, систематизацию, накопление, хранение, уточнении (обновление, изменение), извлечении персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2,3,4, 8 части 1 статьи 6 Закона о персональных данных.
Незадолго до вступления в силу упомянутого положения Минкомсвязь на своем сайте опубликовала разъяснения (см. ссылку: https://minsvyaz.ru/ru/personaldata/#1438547750247), из которых следовало, что требования п. 5 ст. 18 Закона о персональных данных не распространяются на деятельность авиаперевозчиков, их уполномоченных агентов, а также иных лиц, в части обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов.
Минкомсвязь пояснил следующее:
«…требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».
Требования ч. 5 ст. 18 ФЗ «О персональных данных» также не распространяются на деятельность лиц, действующих от имени авиаперевозчика (уполномоченный агент), деятельность которых предусмотрена пунктом 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года «Об утверждении Федеральных авиационных правил "Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», а также иных лиц, в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи последним авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, в том числе в электронном виде при внутрироссийских и международных перелетах, в случае, если вышеуказанная деятельность данных лиц предусмотрена законодательством Российской Федерации или соответствующим международным договором, в том числе для целей обеспечения авиационной безопасности».
В п. 2 ч. 1 Закона о персональных данных речь идет о необходимости достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
В июле 2018 года Министерство транспорта России опубликовало проект постановления правительства, который устанавливает требования к автоматизированной информационной системе оформления воздушных перевозок (документ опубликован здесь: http://regulation.gov.ru/projects#npa=82032, ID проекта 02/07/07-18/00082032 от 05.07.2018) (далее - АИС ОВП) .
В указанном проекте (в п. 20) установлено, что серверы и базы данных систем, входящих в состав АИС ОВП, обеспечивающие бронирование и продажу авиаперевозок, регистрацию пассажиров и взаиморасчеты, в которых пункт отправления и назначения находятся на территории России, должны находиться на территории России. А в п. 21 установлено, что операторы (провайдеры), обеспечивающие эксплуатацию систем, входящих в состав АИС ОВП, должны быть зарегистрированы как юридические лица Российской Федерации и являться резидентами Российской Федерации.
Порядок проведения проверок в сфере обработки персональных данных
При проведении проверок Роскомнадзор руководствуется Административным регламентом, который утвержден Приказом Минкомсвязи России от 14.11.2011 N 312 (ред. от 24.11.2014) "Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных" (Зарегистрировано в Минюсте России 13.12.2011 N 22595) (далее – Административный регламент).
Срок проведения как плановой, так и внеплановой проверки не может превышать двадцать рабочих дней (см. п. 20 Административного регламента). Срок проверки может быть увеличен на 20 рабочих дней в исключительных случаях, связанных с необходимостью проведения сложных и (или) длительных исследований, испытаний, специальных экспертиз и расследований на основании мотивированных предложений должностных лиц Роскомнадзора.
На практике Роскомнадзор может продлить срок проверки, руководствуясь следующим основанием:
«необходимость запроса дополнительных документов и анализа большого объема документов».
В этой связи, если оператор персональных данных не согласен с увеличением срока проверки и основаниями для его продления, то приказ о продлении проверки можно обжаловать в судебном порядке. Такое заявление может быть подано в течение трех месяцев со дня, когда оператору стало известно о нарушении его прав (см. п. 4 ст. 198 Арбитражного процессуального кодекса РФ).
Если проверка носила избыточно длительный характер, оператор персональных данных может ссылаться на практику в сфере налоговых проверок, так как практика по оспариванию срока проверки в сфере персональных данных отсутствует.
Так, например, в Постановлении Президиума ВАС РФ от 18 марта 2008 г. N 13084/07, посвященное налоговым проверкам, суд определил, что регламентация сроков проведения выездных налоговых проверок направлена на достижение равновесия интересов участников отношений, регулируемых законодательством о налогах и сборах; в данном деле выездная налоговая проверка предпринимателя проводилась с существенным нарушением сроков, и суд посчитал, что это свидетельствует о нарушении инспекцией принципа недопустимости избыточного или не ограниченного по продолжительности применения мер налогового контроля; также суд посчитал, что убедительных доказательств обоснованности столь длительного срока проведения проверки инспекция не представила.
Действительно, если проверка затягивается, то для проверяемого лица это вызывает дополнительные финансовые издержки, кроме того, от своей текущей работы вынуждены отрываться специалисты, ответственные за обработку персональных данных на предприятии.
При проведении проверки необходимо очень внимательно оформлять протоколы проверки, указывать в них, какие документы были предоставлены проверяющему лицу, какие действия при проверке производились в каждый конкретный день проверки. При возникновении разногласий с Роскомнадзор такие протоколы могут помочь восстановить ход проверки и определить, имелись ли какие-либо нарушения со стороны проверяющего лица. Кроме того, Роскомнадзор может воспользоваться неаккуратным составлением протокола проверки и ссылаться впоследствии в суде, что запрошенные им документы не были предоставлены оператором персональных данных, в связи с чем выдано предписание или в связи с чем проверка затянулась.
Административный регламент не устанавливает конкретного срока выдачи проверяемому лицу акта проверки. В связи с этим Роскомнадзор может после проведения выездной проверки потратить какое-то время (например, еще 20 дней после окончания проверки) на подготовку акта проверки.
Если акт проверки был выдан одновременно с предписанием, то проверяемое лицо может ссылаться на то, что было нарушено его право на урегулирование разногласий. Такая возможность, по нашему мнению, следует из п. 83 Административного регламента, а также схемы о порядке проведения проверки, которая является приложением к Административному регламенту.
В Приложении №2 к Административному регламенту в «Блок-схеме административной процедуры оформления результатов и принятия мер по результатам проверок» установлено, что Роскомнадзор должен: 1) составить акт проверки, 2) затем ознакомить представителя оператора с содержанием результатов проверки, 3) затем только подписать акт проверки, и 4) затем предоставить возможность Оператору изложить в письменной форме особое мнение, которое прилагается к акту проверки, 5) после этих действий Роскомнадзор должен подписать акт проверки и вручить акт проверки оператору.
В соответствии с п. 83 Административного регламента при наличии разногласий по содержанию акта окончательное решение принимает должностное лицо Службы или ее территориального органа, исполняющее функции руководителя проверки. Должностные лица Службы или ее территориального органа, проводящие проверку, а также представители Оператора, не согласные с принятым решением, вправе изложить в письменной форме свое особое мнение, которое прилагается к акту.
К акту прилагаются протоколы, справки, объяснительные работников Оператора, на которых возложены обязанности по обработке персональных данных, и другие документы, подтверждающие выявление (устранение) нарушения.
Кроме того, можно ссылаться на нижеследующую судебную практику:
В деле А50-86/2015 Семнадцатый арбитражный апелляционный суд в Постановлении от 24 июня 2015 г. рассмотрел вопрос о признании недействительным предписания. Суд установил, что акт проверки был изготовлен и выдан проверяемому лицу вместе с предписанием.Суд посчитал, что это является грубым нарушением процедуры проверки, поскольку проверяемое лицо было лишено права на возражения относительно выявленных нарушений.Суд отметил, что после получения Предписания актуальность представления возражений на акт проверки утрачивается, поскольку уже выдан документ, неисполнение которого влечет привлечение к ответственности. Решение суда было поддержано в последующих инстанциях.
В деле А40-104039/13-130-961 Девятый арбитражный апелляционный суд в Постановлении от 24 марта 2014 г. рассматривал вопрос о недействительности ненормативного правового акта – приказа о прекращении пользовании недрами. В данном деле суд установил, что проверяющий орган нарушил процедуру выдачи и составления акта проверки и выдал приказ о прекращении пользования недрами до того, как ознакомил проверяемое лицо с результатами проверки. Суд установил, что было нарушено право проверяемого лица на возражения в отношении акта проверки. Решение суда было поддержано в последующих инстанциях.
В деле А66-9176/2014 Арбитражный суд Тверской области в Решении от 10 октября 2014 г. рассматривал вопрос о признании недействительным решения уполномоченного органа – отказа в предоставлении лицензии. Акт проверки условий для выдачи лицензии был направлен проверяемому лицу после принятия решения об отказе в выдаче лицензии. Суд посчитал это грубым нарушением порядка проведения проверок и признал решение недействительным. Решение суда было поддержано во всех последующих инстанциях (Приложение №8, стр.120-130).
Таким образом, на наш взгляд, оператор персональных данных вправе обсудить результаты проверки до выдачи предписания. Если оператор персональных данных не согласен с актом проверки, то рекомендуется незамедлительно направить в Роскомнадзор возражения, предложение об урегулировании разногласий с тем, чтобы не довести ситуацию до выдачи предписания.
Срок на выполнение предписания может быть меньше срока рассмотрения дела по обжалованию предписания. Например, для выполнения предписания оператору могут предоставить три месяца, а заявление в суде только в первой инстанции может рассматриваться 3-4 месяца. Поэтому оператор может попасть в ситуацию, когда срок для исполнения предписания уже завершился, а суд еще не рассмотрел заявление об оспаривании предписания.
Суды крайне неохотно приостанавливают действие предписания, в связи с этим, пока дело рассматривается в суде, срок исполнения предписания может быть нарушен. После этого проверяющее лицо может начать производство по административному правонарушению с целью возложить на оператора персональных данных административную ответственность.
Именно поэтому так важно узнать о результатах проверки до выдачи предписания и обсудить эти результаты с проверяющим лицом.
Одновременно с предписанием и актом проверки Роскомнадзор может направить проверяемому лицу рекомендации по исправлению нарушений, которые оформляются в виде справки.
К сожалению, даже при наличии такой справки предписание может быть для проверяемого лица неясным. Со временем предписания, выдаваемые Роскомнадзором, совершенствуются и носят все более конкретный характер. Однако, ранее Роскомнадзор мог указать, например, следующее:
«— нарушение части 7 статьи 22 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее по тексту — Закон) в части представления в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения» (см. дело N 33а-4308/2017, рассмотренное Московским городским судом 18.09.2017).
При такой формулировке предписания неясно, о каком конкретно нарушении идет речь, и как это исправить. При этом предписание устанавливает срок его исполнения.
В связи с этим проверяемым лицам рекомендуется после получения неясного предписания обращаться в Роскомнадзор не только за разъяснениями предписания, но и с заявлением об увеличении срока исполнения предписания на период обсуждения возникших между оператором и Роскомнадзором неясностей и разногласий.
Впоследствии, если это не будет сделано, в суде при оспаривании неясного предписания Роскомнадзор может ссылаться на то, что оператор персональных данных не обращался за разъяснениями и увеличением срока исполнения предписания, и, следовательно, действовал недобросовестно.
К позитивной практике по оспариванию неясных предписаний Роскомнадзора можно отнести дело с участием ООО «Макдональдс». В Апелляционном определении Московского городского суда от 18 сентября 2017 г. по делу N 33а-4308/2017 рассматривалось аналогичное предписание Роскомнадзора в отношении ООО «Макдоналдс». В данном деле суды первой и апелляционных инстанций определили, что предписание должно содержать только законные требования, то есть на юридическое лицо может быть возложена обязанность по устранению лишь тех нарушений, соблюдение которых обязательно для них в силу закона, а сами требования должны быть конкретны и реально исполнимы; предписание должностного лица, содержащее законные требования, должно быть реально исполнимо и содержать конкретные указания, четкие формулировки относительно конкретных действий, которые необходимо совершить исполнителю и которые должны быть направлены на прекращение и устранение выявленного нарушения; при этом содержащиеся в предписании формулировки должны исключать возможность двоякого толкования; изложение должно быть кратким, четким, ясным, последовательным, доступным для понимания всеми лицами. Предписание Роскомнадзора не содержало разъяснений относительно того, какие конкретно документы в соответствии с законом не представлены, какие действия необходимо совершить проверяемому лицу, чтобы устранить нарушения. В данном деле суды подтвердили, что выданное предписание не соответствует этим требованиям.
Аналогичные выводы относительно исполнимости предписания Роскомнадзора были изложены ранее в Постановлении Второго арбитражного апелляционного суда от 24.06.2014 по делу N А82-15811/2013 (заявитель - ООО «МЕТРО Кэш энд Керри»). В данном деле суд отметил, что выявление смысла ненормативного акта путем сопоставления его текста с иными документами, в которых государственный орган выявил факт нарушения законодательства, является недопустимым, так как неисполнение нарушителем таких ненормативных актов ввиду неясности приведет к применению в отношении него санкции, предусмотренной законодательством Российской Федерации за неисполнение требований.
Выводы и рекомендации
- Если оператор персональных данных не согласен с увеличением срока проверки, рекомендуется подать возражение на приказ об увеличении срока проверки или обжаловать этот приказ в судебном порядке.
- При проведении проверки необходимо внимательно оформлять протоколы проверки, указывать в них, какие документы были предоставлены проверяющему лицу, какие действия при проверке производились в каждый конкретный день проверки.
- Следует запросить результаты проверки (акт проверки) до выдачи предписания для того, чтобы иметь возможность урегулировать возникшие разногласия.
- Если оператор персональных данных не согласен с актом проверки, то рекомендуется направить в Роскомнадзор возражения, предложение об урегулировании разногласий с тем, чтобы не довести ситуацию до выдачи предписания.
- Рекомендуется после получения предписания обращаться в Роскомнадзор не только за разъяснениями предписания, но и с заявлением об увеличении срока исполнения предписания на период обсуждения возникших между оператором и Роскомнадзором неясностей и разногласий.
Условия обработки персональных данных пассажиров воздушных судов
Обработка персональных данных пассажиров воздушных судов в России осуществляется на основании следующих базовых правовых актов:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных";
- Статья 85.1 Воздушного кодекса Российской Федерации;
- Статья 11 Федерального закона от 09.02.2007 № 16-ФЗ «О транспортной безопасности»;
- Конвенция о защите физических лиц при автоматизированной обработке персональных данных" (Заключена в г. Страсбурге 28.01.1981);
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Персональные данные определяются как любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (см. п. 1. ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных", далее также - Закон о персональных данных).
Запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия установлен в п. 1 ст. 24 Конституции России.
Обязанность пассажира при бронировании перевозки сообщить необходимую информацию о своих персональных данных вытекает из договора воздушной перевозки и в России закреплена в Федеральных авиационных правилах «Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», утвержденных приказом Минтранса России от 28.06.2007 № 82.
Основным законом, регулирующим обработку персональных данных в России, является Закон о персональных данных, в основу которого легла Конвенция о защите физических лиц при автоматизированной обработке персональных данных" (Заключена в г. Страсбурге 28.01.1981).
Этот закон запрещает операторам персональных данных и иным лицам, получившим доступ к персональным данным, раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных или в отсутствие специальных условий, предусмотренных федеральным законом.
В соответствии со статьей 2 Закона о персональных данных целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Закон о персональных данных устанавливает ряд условий для обработки персональных данных. В частности, такие условия перечислены в статье 6 Закона о персональных данных, статьях 10, 11, 12 и 13 указанного закона.
Указанные ниже условия необходимы операторам персональных данных - авиаперевозчикам для обработки персональных данных пассажиров.
Одним из условий для обработки персональных данных пассажиров воздушного судна является необходимость достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (см. п. 2 ч. 1 ст. 6 Закона о персональных данных).
Так, например, в статье 85.1 Воздушного кодекса Российской Федерации установлена обязанность перевозчиков передавать персональные данные пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации (см. также ст. 11Федерального закона от 09.02.2007 № 16-ФЗ «О транспортной безопасности»).
Альтернативным условием для обработки персональных данных является обработка персональных данных для исполнения договора воздушной перевозки (см. п. 1 ч. 1 ст. 6 Закона о персональных данных).
Одним из условий обработки персональных данных является согласие субъекта персональных данных (см. п. 1 ч. 1 ст. 6 Закона о персональных данных). Такое согласие необходимо, если перевозчик использует персональные данные не для исполнения договора перевозки, а в иных целях, например, в рекламных и маркетинговых целях.
Так, для того, чтобы осуществить трансграничную передачу данных пассажиров на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных, требуется согласие в письменной форме этого пассажира (см. ст. 9 и ст. 12 Закона о персональных данных). К таким странам относятся, например, США, Китай, Япония.
С согласия пассажира производится и передача функций оператора по обработке его персональных данных третьему лицу. Например, перевозчик вправе поручить обработку персональных данных специализированной организации. К содержанию этого поручения предъявляется ряд требований, указанных в п. 3 ст. 6 Закона о персональных данных.
Из п. 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года, следует, что перевозчик вправе передать обязанности или их часть по договору воздушной перевозки лицу, осуществляющему от имени перевозчика бронирование, продажу и оформление перевозок на перевозочных документах (далее - уполномоченный агент), являясь ответственным за его действия (бездействие) перед пассажиром.
Если же оператор передает персональные данные пассажиров третьему лицу в иных целях, не указанных выше в п. 6 Общих правил воздушных перевозок пассажиров, то оператору необходимо получить согласие пассажира на такую передачу.
Требования к согласию на обработку персональных данных
Из п. 1 ст. 9 Закона о персональных данных следуют основные требования к согласию на обработку персональных данных:
«Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным».
Часть 4 ст. 9 Закона о персональных данных указывает на специальную письменную форму согласия, содержащую определенные элементы. Такая специальная письменная форма согласия должна быть использована только в случаях, предусмотренных федеральным законом. К таким случаям, например, относится трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона о персональных данных).
Ниже приводим эти элементы:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Если хотя бы один из элементов этой письменной формы будет опущен, оператору персональных данных может быть выдано предписание об исправлении нарушений и затем возложена административная ответственность. Необходимо также обратить внимание на то, что при проведении проверки формы согласия Роскомнадзор может потребовать исправить эту форму, если в ней указано несколько целей обработки персональных данных. По мнению Роскомнадзора, которое было выдвинуто в одном из споров, указание нескольких целей обработки персональных данных в одной форме согласия нарушает п. 4. ч. 4 ст. 9 Закона о персональных данных. Это было объяснено тем, что для каждой цели необходим определенный объем персональных данных, должен быть свой срок обработки персональных данных.
Локализация персональных данных пассажиров воздушных судов
C 1 сентября 2015 года в Российской Федерации вступило в силу положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Указанным законом введена обязанность операторов обеспечить запись, систематизацию, накопление, хранение, уточнении (обновление, изменение), извлечении персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2,3,4, 8 части 1 статьи 6 Закона о персональных данных.
Незадолго до вступления в силу упомянутого положения Минкомсвязь на своем сайте опубликовала разъяснения (см. ссылку: https://minsvyaz.ru/ru/personaldata/#1438547750247), из которых следовало, что требования п. 5 ст. 18 Закона о персональных данных не распространяются на деятельность авиаперевозчиков, их уполномоченных агентов, а также иных лиц, в части обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов.
Минкомсвязь пояснил следующее:
«…требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».
Требования ч. 5 ст. 18 ФЗ «О персональных данных» также не распространяются на деятельность лиц, действующих от имени авиаперевозчика (уполномоченный агент), деятельность которых предусмотрена пунктом 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года «Об утверждении Федеральных авиационных правил "Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», а также иных лиц, в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи последним авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, в том числе в электронном виде при внутрироссийских и международных перелетах, в случае, если вышеуказанная деятельность данных лиц предусмотрена законодательством Российской Федерации или соответствующим международным договором, в том числе для целей обеспечения авиационной безопасности».
В п. 2 ч. 1 Закона о персональных данных речь идет о необходимости достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
В июле 2018 года Министерство транспорта России опубликовало проект постановления правительства, который устанавливает требования к автоматизированной информационной системе оформления воздушных перевозок (документ опубликован здесь: http://regulation.gov.ru/projects#npa=82032, ID проекта 02/07/07-18/00082032 от 05.07.2018) (далее - АИС ОВП) .
В указанном проекте (в п. 20) установлено, что серверы и базы данных систем, входящих в состав АИС ОВП, обеспечивающие бронирование и продажу авиаперевозок, регистрацию пассажиров и взаиморасчеты, в которых пункт отправления и назначения находятся на территории России, должны находиться на территории России. А в п. 21 установлено, что операторы (провайдеры), обеспечивающие эксплуатацию систем, входящих в состав АИС ОВП, должны быть зарегистрированы как юридические лица Российской Федерации и являться резидентами Российской Федерации.
Порядок проведения проверок в сфере обработки персональных данных
При проведении проверок Роскомнадзор руководствуется Административным регламентом, который утвержден Приказом Минкомсвязи России от 14.11.2011 N 312 (ред. от 24.11.2014) "Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных" (Зарегистрировано в Минюсте России 13.12.2011 N 22595) (далее – Административный регламент).
Срок проведения как плановой, так и внеплановой проверки не может превышать двадцать рабочих дней (см. п. 20 Административного регламента). Срок проверки может быть увеличен на 20 рабочих дней в исключительных случаях, связанных с необходимостью проведения сложных и (или) длительных исследований, испытаний, специальных экспертиз и расследований на основании мотивированных предложений должностных лиц Роскомнадзора.
На практике Роскомнадзор может продлить срок проверки, руководствуясь следующим основанием:
«необходимость запроса дополнительных документов и анализа большого объема документов».
В этой связи, если оператор персональных данных не согласен с увеличением срока проверки и основаниями для его продления, то приказ о продлении проверки можно обжаловать в судебном порядке. Такое заявление может быть подано в течение трех месяцев со дня, когда оператору стало известно о нарушении его прав (см. п. 4 ст. 198 Арбитражного процессуального кодекса РФ).
Если проверка носила избыточно длительный характер, оператор персональных данных может ссылаться на практику в сфере налоговых проверок, так как практика по оспариванию срока проверки в сфере персональных данных отсутствует.
Так, например, в Постановлении Президиума ВАС РФ от 18 марта 2008 г. N 13084/07, посвященное налоговым проверкам, суд определил, что регламентация сроков проведения выездных налоговых проверок направлена на достижение равновесия интересов участников отношений, регулируемых законодательством о налогах и сборах; в данном деле выездная налоговая проверка предпринимателя проводилась с существенным нарушением сроков, и суд посчитал, что это свидетельствует о нарушении инспекцией принципа недопустимости избыточного или не ограниченного по продолжительности применения мер налогового контроля; также суд посчитал, что убедительных доказательств обоснованности столь длительного срока проведения проверки инспекция не представила.
Действительно, если проверка затягивается, то для проверяемого лица это вызывает дополнительные финансовые издержки, кроме того, от своей текущей работы вынуждены отрываться специалисты, ответственные за обработку персональных данных на предприятии.
При проведении проверки необходимо очень внимательно оформлять протоколы проверки, указывать в них, какие документы были предоставлены проверяющему лицу, какие действия при проверке производились в каждый конкретный день проверки. При возникновении разногласий с Роскомнадзор такие протоколы могут помочь восстановить ход проверки и определить, имелись ли какие-либо нарушения со стороны проверяющего лица. Кроме того, Роскомнадзор может воспользоваться неаккуратным составлением протокола проверки и ссылаться впоследствии в суде, что запрошенные им документы не были предоставлены оператором персональных данных, в связи с чем выдано предписание или в связи с чем проверка затянулась.
Административный регламент не устанавливает конкретного срока выдачи проверяемому лицу акта проверки. В связи с этим Роскомнадзор может после проведения выездной проверки потратить какое-то время (например, еще 20 дней после окончания проверки) на подготовку акта проверки.
Если акт проверки был выдан одновременно с предписанием, то проверяемое лицо может ссылаться на то, что было нарушено его право на урегулирование разногласий. Такая возможность, по нашему мнению, следует из п. 83 Административного регламента, а также схемы о порядке проведения проверки, которая является приложением к Административному регламенту.
В Приложении №2 к Административному регламенту в «Блок-схеме административной процедуры оформления результатов и принятия мер по результатам проверок» установлено, что Роскомнадзор должен: 1) составить акт проверки, 2) затем ознакомить представителя оператора с содержанием результатов проверки, 3) затем только подписать акт проверки, и 4) затем предоставить возможность Оператору изложить в письменной форме особое мнение, которое прилагается к акту проверки, 5) после этих действий Роскомнадзор должен подписать акт проверки и вручить акт проверки оператору.
В соответствии с п. 83 Административного регламента при наличии разногласий по содержанию акта окончательное решение принимает должностное лицо Службы или ее территориального органа, исполняющее функции руководителя проверки. Должностные лица Службы или ее территориального органа, проводящие проверку, а также представители Оператора, не согласные с принятым решением, вправе изложить в письменной форме свое особое мнение, которое прилагается к акту.
К акту прилагаются протоколы, справки, объяснительные работников Оператора, на которых возложены обязанности по обработке персональных данных, и другие документы, подтверждающие выявление (устранение) нарушения.
Кроме того, можно ссылаться на нижеследующую судебную практику:
В деле А50-86/2015 Семнадцатый арбитражный апелляционный суд в Постановлении от 24 июня 2015 г. рассмотрел вопрос о признании недействительным предписания. Суд установил, что акт проверки был изготовлен и выдан проверяемому лицу вместе с предписанием.Суд посчитал, что это является грубым нарушением процедуры проверки, поскольку проверяемое лицо было лишено права на возражения относительно выявленных нарушений.Суд отметил, что после получения Предписания актуальность представления возражений на акт проверки утрачивается, поскольку уже выдан документ, неисполнение которого влечет привлечение к ответственности. Решение суда было поддержано в последующих инстанциях.
В деле А40-104039/13-130-961 Девятый арбитражный апелляционный суд в Постановлении от 24 марта 2014 г. рассматривал вопрос о недействительности ненормативного правового акта – приказа о прекращении пользовании недрами. В данном деле суд установил, что проверяющий орган нарушил процедуру выдачи и составления акта проверки и выдал приказ о прекращении пользования недрами до того, как ознакомил проверяемое лицо с результатами проверки. Суд установил, что было нарушено право проверяемого лица на возражения в отношении акта проверки. Решение суда было поддержано в последующих инстанциях.
В деле А66-9176/2014 Арбитражный суд Тверской области в Решении от 10 октября 2014 г. рассматривал вопрос о признании недействительным решения уполномоченного органа – отказа в предоставлении лицензии. Акт проверки условий для выдачи лицензии был направлен проверяемому лицу после принятия решения об отказе в выдаче лицензии. Суд посчитал это грубым нарушением порядка проведения проверок и признал решение недействительным. Решение суда было поддержано во всех последующих инстанциях (Приложение №8, стр.120-130).
Таким образом, на наш взгляд, оператор персональных данных вправе обсудить результаты проверки до выдачи предписания. Если оператор персональных данных не согласен с актом проверки, то рекомендуется незамедлительно направить в Роскомнадзор возражения, предложение об урегулировании разногласий с тем, чтобы не довести ситуацию до выдачи предписания.
Срок на выполнение предписания может быть меньше срока рассмотрения дела по обжалованию предписания. Например, для выполнения предписания оператору могут предоставить три месяца, а заявление в суде только в первой инстанции может рассматриваться 3-4 месяца. Поэтому оператор может попасть в ситуацию, когда срок для исполнения предписания уже завершился, а суд еще не рассмотрел заявление об оспаривании предписания.
Суды крайне неохотно приостанавливают действие предписания, в связи с этим, пока дело рассматривается в суде, срок исполнения предписания может быть нарушен. После этого проверяющее лицо может начать производство по административному правонарушению с целью возложить на оператора персональных данных административную ответственность.
Именно поэтому так важно узнать о результатах проверки до выдачи предписания и обсудить эти результаты с проверяющим лицом.
Одновременно с предписанием и актом проверки Роскомнадзор может направить проверяемому лицу рекомендации по исправлению нарушений, которые оформляются в виде справки.
К сожалению, даже при наличии такой справки предписание может быть для проверяемого лица неясным. Со временем предписания, выдаваемые Роскомнадзором, совершенствуются и носят все более конкретный характер. Однако, ранее Роскомнадзор мог указать, например, следующее:
«— нарушение части 7 статьи 22 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее по тексту — Закон) в части представления в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения» (см. дело N 33а-4308/2017, рассмотренное Московским городским судом 18.09.2017).
При такой формулировке предписания неясно, о каком конкретно нарушении идет речь, и как это исправить. При этом предписание устанавливает срок его исполнения.
В связи с этим проверяемым лицам рекомендуется после получения неясного предписания обращаться в Роскомнадзор не только за разъяснениями предписания, но и с заявлением об увеличении срока исполнения предписания на период обсуждения возникших между оператором и Роскомнадзором неясностей и разногласий.
Впоследствии, если это не будет сделано, в суде при оспаривании неясного предписания Роскомнадзор может ссылаться на то, что оператор персональных данных не обращался за разъяснениями и увеличением срока исполнения предписания, и, следовательно, действовал недобросовестно.
К позитивной практике по оспариванию неясных предписаний Роскомнадзора можно отнести дело с участием ООО «Макдональдс». В Апелляционном определении Московского городского суда от 18 сентября 2017 г. по делу N 33а-4308/2017 рассматривалось аналогичное предписание Роскомнадзора в отношении ООО «Макдоналдс». В данном деле суды первой и апелляционных инстанций определили, что предписание должно содержать только законные требования, то есть на юридическое лицо может быть возложена обязанность по устранению лишь тех нарушений, соблюдение которых обязательно для них в силу закона, а сами требования должны быть конкретны и реально исполнимы; предписание должностного лица, содержащее законные требования, должно быть реально исполнимо и содержать конкретные указания, четкие формулировки относительно конкретных действий, которые необходимо совершить исполнителю и которые должны быть направлены на прекращение и устранение выявленного нарушения; при этом содержащиеся в предписании формулировки должны исключать возможность двоякого толкования; изложение должно быть кратким, четким, ясным, последовательным, доступным для понимания всеми лицами. Предписание Роскомнадзора не содержало разъяснений относительно того, какие конкретно документы в соответствии с законом не представлены, какие действия необходимо совершить проверяемому лицу, чтобы устранить нарушения. В данном деле суды подтвердили, что выданное предписание не соответствует этим требованиям.
Аналогичные выводы относительно исполнимости предписания Роскомнадзора были изложены ранее в Постановлении Второго арбитражного апелляционного суда от 24.06.2014 по делу N А82-15811/2013 (заявитель - ООО «МЕТРО Кэш энд Керри»). В данном деле суд отметил, что выявление смысла ненормативного акта путем сопоставления его текста с иными документами, в которых государственный орган выявил факт нарушения законодательства, является недопустимым, так как неисполнение нарушителем таких ненормативных актов ввиду неясности приведет к применению в отношении него санкции, предусмотренной законодательством Российской Федерации за неисполнение требований.
Выводы и рекомендации
- Если оператор персональных данных не согласен с увеличением срока проверки, рекомендуется подать возражение на приказ об увеличении срока проверки или обжаловать этот приказ в судебном порядке.
- При проведении проверки необходимо внимательно оформлять протоколы проверки, указывать в них, какие документы были предоставлены проверяющему лицу, какие действия при проверке производились в каждый конкретный день проверки.
- Следует запросить результаты проверки (акт проверки) до выдачи предписания для того, чтобы иметь возможность урегулировать возникшие разногласия.
- Если оператор персональных данных не согласен с актом проверки, то рекомендуется направить в Роскомнадзор возражения, предложение об урегулировании разногласий с тем, чтобы не довести ситуацию до выдачи предписания.
- Рекомендуется после получения предписания обращаться в Роскомнадзор не только за разъяснениями предписания, но и с заявлением об увеличении срока исполнения предписания на период обсуждения возникших между оператором и Роскомнадзором неясностей и разногласий.