Является ли изображение человека его персональными данными, и нужно ли получать разрешение на сбор таких данных?

Очень часто обвинения в нарушении закона о ПД предъявляются людьми, не понимающими его смысла и сферы действия. Закон «О персональных данных» регулирует правоотношения, связанные с обработкой информации, которая совершается либо с использованием «средств автоматизации», либо без их использования, в том случае, если такая обработка «соответствует характеру действия, совершаемых с использованием средств автоматизации». Под такими «средствами» в законе понимаются технологии, позволяющие осуществлять поиск персональных данных, содержащихся в каких-либо систематизированных собраниях таких данных, а также доступ к ним.

Предыдущая редакция закона была менее конкретной и не содержала разъяснения того, что считается «средствами автоматизации». Расшифровка этого понятия содержалась только в одном из постановлений Правительства: под «автоматизацией» понимались действия, осуществляемые без участия человека. То есть, закон регулирует только массовую автоматизированную обработку данных, как правило, с использованием компьютерной техники. Для того, чтобы обработка с участием человека попала под регулирование закона, нужно, чтобы она включала в себя операции, которые обычно автоматизируются. Как минимум --- это должен быть список, состоящий из «персональных данных», а не единичное упоминание кого-либо.

К сожалению, в законе о ПД его действие связано с «автоматизированной обработкой» только в самой первой статье, в остальном тексте используется только термин «персональные данные», что позволяет написанного в первой статье «не замечать» и распространять действие закона именно на единичные упоминания. Свою роль в этом сыграли безграмотные «разъяснения закона» от Роскомнадзора, службы, которая обязана следить за исполнением законодательства о персональных данных. Для того, чтобы в этом убедиться, достаточно почитать Конвенцию о защите физических лиц при автоматизированной обработке персональных данных, во исполнение которой и принят отечественный закон о ПД. В тексте в подавляющем большинстве случаев используется словосочетание «автоматизированная обработка персональных данных», а сами ПД отдельно упоминаются очень редко.

Сразу после выхода закона он стал объектом пристального внимания прессы и общественности и подвергался неверным толкованиям. В результате у многих сложилось впечатление, будто на основании закона можно запретить вообще любое несанкционированное упоминание конкретного человека.

Ситуацию усугубили выступления в СМИ работников разного рода компаний, продающих «сертифицированные средства защиты информации», которые по закону требуются для работы с персональными данными. В своих интервью они, как правило, причисляют персональные данные к «конфиденциальной информации» или «тайне частной жизни», что неверно: большая их часть общедоступна и не является тайной.

Кроме того, во время очередного внесения изменений в закон было добавлено определение «автоматизированной обработки», под которой теперь понимается любая «обработка с помощью средств вычислительной техники». Такое определение противоречит тексту и смыслу Конвенции.

На самом деле, законом о ПД регулируется только обработка данных в картотеках, каталогах, и других массовых хранилищах. Если речь идет о съемке, то закон распространяется на системы автоматической фото- и видеофиксации, например, камеры, установленные на дорогах для выявления нарушений. В том случае, если фотограф или оператор сам осуществляет съемку, закон о ПД на него не распространяется вообще, до тех пор, пока он не начинает накапливать и систематизировать изображения людей. В первой статье закона о ПД говорится также, что не применяется он и в случаях обработки данных для личных и семейных нужд.

«Персональные данные» внесены в Перечень сведений конфиденциального характера, утвержденный в 1997 году, причем в Перечне под ними понимаются только сведения о частной жизни лица, позволяющие его идентифицировать. Определение из закона «О персональных данных» шире, оно включает вообще любые идентифицирующие данные. Ссылка на Перечень часто используется для обоснования «конфиденциальности» любых персональных данных вообще (такими подменами обычно занимаются как раз продавцы «сертифицированных средств защиты»).

Еще один спорный вопрос --- является ли изображение гражданина его «биометрическими персональными данными» и нужно ли при обработке таких изображений соблюдать дополнительные требования по их защите. В одном из разъяснений Роскомнадзора ответ на этот вопрос ставится в зависимость от того, используется ли изображение для установления личности. В соответствии с разъяснением, фотографии, содержащиеся в различных системах контроля доступа относятся к «биометрическим персональным данным», а обычные фотографии, собираемые без проведения процедур идентификации (например, содержащиеся в скан-копиях паспортов, собираемых при заключении различных договоров), будут обычными персональными данными.