Комментарии.org Комментарии Российского законодательства
Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
Материал представляет собой постатейный научно-практический комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных". В нем рассматриваются правоотношения, складывающиеся в процессе получения, хранения и обработки персональных данных на территории Российской Федерации.
Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

Комментарий к статье 16

1. Комментируемая статья устанавливает право субъекта персональных данных не быть подвергнутым процессу принятия в отношении него юридически значимого решения исключительно автоматизированным способом, если такая возможность не предусмотрена законом. Источником "вдохновения" для данных положений, по всей видимости, стала ст. 15 Директивы 1995 г., которая предусматривает обязательство стран - членов ЕС предоставить каждому лицу в своем национальном законодательстве право не подвергаться воздействию решения, порождающего юридические последствия в отношении него или существенно воздействующего на него и основанного исключительно на автоматической обработке данных, предназначенной для оценки его личных качеств, таких как выполнение им своей трудовой функции, его кредитоспособности, надежности, поведения и т.п.
В качестве примера ситуаций, подпадающих под действие данной статьи, можно указать случаи использования оператором системы оценки платежеспособности потенциального заемщика; составления "черных списков" недобросовестных должников; создания системы оценки анализа качества выполняемой сотрудником работы; системы оценки поступающих резюме на предмет соответствия требованиям компании и т.п. Все большее распространение получает "аналитика трудовых ресурсов" (people analytics), которая играет важную роль при принятии решений о найме, увольнении, оценке результативности, продвижении лица по карьерной лестнице. Для указанных целей осуществляются сбор и анализ огромного массива данных (сообщения электронной почты, расшифровки телефонных разговоров, поисковые запросы, доступ к файлам, нахождение на территории работодателя) <1>. Таким образом, "прогностическая" информация, полученная из персональных данных, все чаще используется для замены человеческого опыта и суждений.
--------------------------------
<1> Форд М. Роботы наступают: развитие технологий и будущее без работы. М., 2016. С. 130.

Необходимость определенного регулирования использования такого рода автоматизированных систем на уровне закона обусловлена тем фактом, что они, как и любая техника, могут допускать ошибки по причине неточности алгоритмов или обрабатываемых данных либо могут быть настроены таким образом, чтобы принимать решения, которые в обычной ситуации были бы признаны незаконными (например, осуществлять отсев кандидатов по признаку определенной национальной принадлежности). Особенно высоки риски при использовании так называемых черных списков граждан, которые ранее проявляли недобросовестность в отношениях с оператором или иными лицами: ошибки, возможный субъективизм и злоупотребления при внесении лиц в такие списки могут повлечь существенное нарушение их прав. С учетом высокой латентности алгоритмов и процессов принятия решения автоматизированным способом для субъекта персональных данных и всего внешнего мира, а также немалых рисков нарушения законных прав такого лица законодателем была признана необходимость обеспечения прозрачности и выравнивания информационной асимметрии правовыми средствами. В этой связи указанные правовые нормы имеют своей целью минимизировать "диктат данных" в отношении личности и побудить операторов рассматривать субъектов персональных данных не как объекты отношений, а именно как субъектов с правами и интересами, которые необходимо учитывать даже при использовании наиболее продвинутых информационных технологий для целей оптимизации своих бизнес-процессов.
Особую актуальность данное положение приобрело в эпоху "больших данных" и профайлинга. Понятие "профайлинг" не раскрывается в российском праве. В литературе профайлинг определяется как комплекс методов и методик оценки и прогнозирования поведения человека на основе анализа его наиболее информативных признаков, характеристик внешности и поведения <1>. В Европе под профайлингом понимается "любая форма автоматизированной обработки персональных данных, представляющая собой использование персональных данных для оценки определенных личностных характеристик, относящихся к физическому лицу, в частности для целей анализа или построения предположений о трудовой деятельности физического лица, его материальном положении, состоянии здоровья, личных предпочтениях, интересах, поведении, местонахождении или передвижении" (ст. 4 (4) Регламента 2016 г.). Некоторые компании специализируются на создании и агрегировании профайлов граждан, предоставлении доступа к ним на платной основе (так называемые информационные брокеры). Организации, которые приобрели доступ к таким профайлам, впоследствии принимают юридически значимые решения в отношении субъектов персональных данных.
--------------------------------
<1> Профайлинг в деятельности органов внутренних дел / Под ред. В.Л. Цветкова. М., 2014. С. 6.

Комментируемая статья не затрагивает деятельность информационных брокеров как таковых (хотя законность такой деятельности весьма сомнительна с точки зрения соответствия общепринятым принципам обработки персональных данных и используемым основаниям для обработки этих данных), однако создает определенные правовые ограничения для их клиентов, которые планируют использовать такие профайлы в собственных целях.
2. Следует отметить, что формулировка ч. 1 комментируемой статьи является не самой удачной в силу своей широты: формально под ее действие подпадают не только ситуации профайлинга, но и ситуации заключения и исполнения договора в онлайн-среде в полностью автоматизированном режиме, например при размещении заказа на приобретение цифрового контента, который становится доступным для загрузки по факту оплаты. Действия онлайн-магазина по заключению договора можно отнести к категории решений, имеющих юридические последствия для субъекта персональных данных. Они совершаются без участия человека. Представляется, что для столь расширительного толкования положений комментируемой статьи нет оснований: все юридически значимые решения принимаются с непосредственным участием субъекта персональных данных, их содержание прозрачно и требует подтверждения его волеизъявлением. Содержание договорных условий, предоставляемой потребителю информации регламентируется законодательством о защите прав потребителей.
3. Комментируемая статья не запрещает использования инструментов автоматизированной обработки персональных данных для принятия юридически значимых решений в отношении субъекта и профайлинга, однако предъявляет к ним ряд условий, изложенных в ч. ч. 2 - 4 данной статьи. Это:
1) наличие письменного согласия субъекта. Поскольку принятие юридически значимого решения на основании автоматизированной обработки персональных данных является частным случаем обработки таких данных, то здесь речь идет именно о согласии субъекта на определенный вид обработки его данных, в связи с чем к нему применимы нормы ст. 9 Закона о персональных данных (см. комментарий к ней);
2) поскольку согласие субъекта персональных данных должно быть информированным, оно должно сопровождаться разъяснениями оператора относительно порядка принятия соответствующего решения и возможных юридических последствий такого решения. Очевидно, что данное требование не предполагает предоставления субъекту детальных сведений об алгоритме принятия решения и используемых программных средствах, поскольку они представляют собой интеллектуальную собственность оператора (правовой статус такой собственности может зависеть от политики оператора, например, она может охраняться как программа для ЭВМ и (или) ноу-хау). Однако субъекту должны быть предоставлены для ознакомления персональные данные, которые обрабатываются при принятии им решения, и их источник, например использование сведений о субъекте, доступных в социальных сетях. Без указанных сведений вряд ли можно говорить о возможности принятия информированного решения;
3) оператор должен также предоставить субъекту возможность заявить возражение в отношении решения, принятого по результатам обработки его персональных данных. Такое возражение должно быть рассмотрено оператором в течение 30 календарных дней с момента его поступления (до поправок 2011 г. этот срок составлял семь рабочих дней). Процедуру и порядок предъявления возражения оператор устанавливает самостоятельно;
4) оператор должен разъяснить субъекту порядок защиты последним своих прав и законных интересов. Закон не конкретизирует, о каких именно правах и законных интересах идет речь. Нахождение данного положения в составе нормы ч. 3 комментируемой статьи дает основание для вывода о том, что речь идет о тех правах, которые касаются именно принятия юридически значимых решений по результатам исключительно автоматизированной обработки персональных данных. В частности, данный порядок защиты предполагает уведомление субъекта о его праве требовать вмешательства в процесс принятия решения, которое является неотъемлемой частью права на предоставление возражений, указанного в п. 3 настоящего комментария.
Представляется, что второе и четвертое условия из приведенного выше перечня могут быть выполнены посредством включения соответствующих положений в тексты типовых документов, которые подписывает субъект при инициировании процесса принятия решения (заявка на выдачу кредита) или с которыми он проходит ознакомление при этом (правила подачи и обработки резюме, правила внутреннего трудового распорядка и т.п.). Согласие, предусмотренное в первом условии, может быть включено в качестве составной части в подписываемый документ, например как условие договора (Апелляционное определение Оренбургского областного суда от 28 октября 2015 г. по делу N 33-7486/2015). Однако для того, чтобы оператору было легче обосновывать информированный и сознательный характер такого согласия, целесообразно его отграничить от иных положений с выделением специального места для подписи субъекта. При этом такой документ должен содержать сведения, указанные в ч. 4 ст. 9 Закона о персональных данных.
4. Принятие юридически значимых решений в отношении субъекта персональных данных исключительно на основании автоматизированной обработки этих данных может осуществляться в силу закона. В качестве примера можно привести специальные технические средства фиксации административных правонарушений, работающие в автоматическом режиме и имеющие функции фото- и киносъемки, видеозаписи, или средства фото- и киносъемки, видеозаписи. Данные, полученные и обработанные такими устройствами, являются основанием для привлечения лица при необходимости к административной ответственности.
В случаях, когда автоматизированные юридически значимые решения принимаются на основании закона, требования об информировании субъекта о предоставлении права на возражения не предъявляются. Предполагается, что принятие мер по обеспечению соблюдения прав и законных интересов субъекта персональных данных должно быть обеспечено законом. Применительно к приведенному ранее примеру с привлечением к административной ответственности такие меры предусмотрены КоАП РФ в нормах о порядке производства по делам об административных правонарушениях и о порядке пересмотра постановлений и решений по ним.

Безымянная страница

Rambler's Top100
На правах рекламы:

Copyright 2007 - 2018 гг. Комментарии.ORG. All rights reserved.
При использовании материалов сайта активная гипер ссылка  обязательна!