Является ли фотография работника с корпоративным номером телефона (в совокупности) или без него, размещенная на сайте учреждения (вход на сайт работников по локальной сети) и направленная работником учреждения в адрес сторонней организации, персональными данными? Является ли это передачей персональных данных?
1. Гражданское законодательство относит право на изображение к числу личных неимущественных прав, а само изображение - к числу неимущественных благ (глава 8 ГК РФ). Право на охрану изображения гражданина сформулировано в ст. 152.1 ГК РФ, в силу которой обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина.
Понятие "обнародование" раскрыто в п. 43 постановления Пленума Верховного Суда РФ от 23.06.2015 N 25 "О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации" (далее - Постановление Пленума), где указано, что под обнародованием изображения гражданина по аналогии с положениями ст. 1268 ГК РФ необходимо понимать осуществление действия, которое впервые делает данное изображение доступным для всеобщего сведения путем его опубликования, публичного показа либо любым другим способом, включая размещение его в сети Интернет.
Согласие гражданина не требуется в случаях, когда использование изображения осуществляется в государственных, общественных или иных публичных интересах; изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования; гражданин позировал за плату. Размещение фотографий работников на сайте организации таким критериям не отвечает, соответственно, оно возможно лишь с согласия работника.
Обнародование изображения гражданина без соблюдения требований ст. 152.1 ГК РФ наделяет его правом требовать удаления изображения и запрещения дальнейшего его распространения (п. 3 ст. 152.1 ГК РФ), а также компенсации морального вреда, поскольку подобными действиями нарушается его право на неприкосновенность частной жизни, что является нарушением его нематериальных благ (ст. 151 ГК РФ). В этой связи смотрите, например, апелляционное определение СК по гражданским делам Белгородского областного суда от 28 января 2020 г. по делу N 33-478/2020.
В п. 46 Постановления Пленума разъяснено, что согласие на обнародование и использование изображения гражданина представляет собой сделку (ст. 153 ГК РФ). Форма согласия определяется общими правилами ГК РФ о форме сделки, которая может быть совершена в письменной или устной форме, а также путем совершения конклюдентных действий (ст. 158 ГК РФ), если иное не установлено законом. С учетом положений ст. 56 ГПК РФ факт обнародования и использования изображения определенным лицом подлежит доказыванию лицом, запечатленным на таком изображении. Обязанность доказывания правомерности обнародования и использования изображения гражданина возлагается на лицо, его осуществившее (п. 48 Постановления Пленума).
2. С точки зрения Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) фото-, видеоизображение гражданина, на основании которого можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, являются биометрическими персональными данными (ч. 1 ст. 11 Закона N 152-ФЗ), обработка которых допускается исключительно с письменного согласия субъекта. Соответственно, в контексте приведенной нормы отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами (смотрите разъяснения Роскомнадзора от 30 августа 2013 г. по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки).
Иными словами, если фотография работника не используется для установления его личности, то такая обработка под действие ст. 11 Закона N 152-ФЗ не подпадает. В частности, фотографии работников, содержащиеся в личных делах, размещенные в локальной сети организации для внутреннего пользования, биометрическими персональными данными не являются, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.
Однако это не исключает обязанности соблюдения общих требований Закона N 152-ФЗ, поскольку фотоизображение работника в совокупности с дополнительной информацией о нем (фамилией, именем, отчеством, должностью, номером телефона и т. п.) является персональными данными*(1). Статьей 7 Закона N 152-ФЗ установлен принцип конфиденциальности персональных данных, в силу которого операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Аналогичное положение закреплено в ст. 88 ТК РФ, согласно которому при передаче персональных данных работника работодатель должен не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами. Осуществление передачи персональных данных работника в пределах одной организации должно осуществляться в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись.
Следовательно, раскрытие персональных работников данных определенному лицу или определенному кругу лиц (п. 6 ст. 3 Закона N 152-ФЗ) без их согласия противоречит действующему законодательству.
Более жесткие требования установлены для ситуаций, когда персональная информация о работниках находится в открытом доступе. Так, ст. 10.1 Закона N 152-ФЗ установлены особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения*(2), под которыми понимаются персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на подобную обработку в установленном порядке (п. 1.1 ст. 3 Закона N 152-ФЗ).
Безусловно, каждый гражданин самостоятельно решает, какие сведения о себе он публикует в свободном доступе и для каких целей. Однако это не означает, что все остальные лица вправе использовать их по своему усмотрению. Так, если гражданин в сети Интеренет размещает о себе информацию для каких-либо целей, это не повод использовать его персональные данные иным образом (например, для взыскания задолженности, распространения рекламы и пр.). В частности, Верховный Суд РФ поддержал выводы нижестоящих судов, указав, что персональные данные, содержащиеся в социальных сетях ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру, не являются общедоступными, а потому не могут использоваться другими лицами в собственных интересах (смотрите определение от 29.01.2018 N 305-КГ17-21291).
Разрешенные персональные данные могут обрабатываться только с согласия субъекта персональных данных*(3), при этом такое согласие оформляется отдельно от других согласий. Согласие должно быть выражено непосредственно, молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться в данном случае согласием на обработку разрешенных персональных данных. В согласии на обработку разрешенных персональных данных субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении таких запретов и условий не допускается. Исключение из этого правила установлено лишь для случаев обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.
На оператора персональных данных возлагается обязанность обеспечить субъекту персональных данных возможность определить перечень сведений по каждой категории персональных данных, указанной в согласии на их обработку. Если из согласия прямо не следует, что субъект персональных данных согласился с распространением подобных данных, то они обрабатываются уполномоченным оператором без права распространения.
В случае, когда персональные данные оказались раскрытыми неопределенному кругу лиц самим субъектом персональных данных в отсутствие его согласия на это, либо вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
Субъект вправе обратиться с требованием прекратить распространение своих персональных данных, ранее разрешенных для распространения, в любое время к любому лицу, обрабатывающему его персональные данные, или в суд. Требование должно включать в себя в том числе перечень персональных данных, обработка которых подлежит прекращению. Передача (распространение, предоставление, доступ) персональных данных должны быть прекращены в течение трех рабочих дней с момента получения требования субъекта или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу. Перечисленные требования к обработке разрешенных персональных данных не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством РФ на федеральные органы исполнительной власти, органы исполнительной власти субъектов РФ, органы местного самоуправления соответствующих полномочий.
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса
Ответ прошел контроль качества
5 марта 2021 г.
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.
*(1) В соответствии с п. 1 ст. 3 Закона N 152-ФЗ под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). По сути, это всевозможные сведения, с помощью которых можно определить (идентифицировать) субъекта персональных данных, что в полной мере согласуется с положениями ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, принятой Советом Европы 28.01.1981. То есть правовой защите подлежит лишь та информация о человеке, которая позволяет его персонифицировать.
*(2) Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона N 152-ФЗ).
*(3) Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных (ч. 9 ст. 9 Закона N 152-ФЗ). В настоящее время такие требования не утверждены, однако Роскомнадзором подготовлен проект соответствующего приказа (ID проекта 01/02/01-21/00112660).