Медиатор оператор персональных данных

Шуренкова Светлана Сергеевна
кандидат социологических наук, доцент

Профессиональный медиатор,
Федеральный судья в отставке, юрист,
главный редактор Международного журнала
«Вестник медиации»,
Президент «Национального союза медиаторов,
посредников и экспертов переговорного процесса»

ОМБУДСМЕН по альтернативному разрешению споров
 От Европейского центра мира и развития
Университета мира ООН в Российской Федерации,
член Правового совета при Штабе по защите прав и
законных интересов субъектов Инвестиционной
предпринимательской деятельности в городе Москве,
член Азиатской Академии международного права – AAL.

С 1 сентября 2022 г. изменилось законодательство о защите персональных данных. Основными направлениями реформы стали повышение защищенности персональных данных граждан от несанкционированного доступа неограниченного круга третьих лиц, а также усиление государственного контроля в данной сфере.

В данной связи актуализируется вопрос вовлеченности медиатора, осуществляющего свою деятельности на непрофессиональной или профессиональной основе, в процессы, связанные с обработкой персональных данных. Для ответа на данный вопрос, в первую очередь, требуется определиться тем, что является персональными данными, а также какие требования действующее законодательство предъявляет к операторам персональных данных.

В соответствии с Федеральным законом 152-РФ «О персональных данных» к персональным данным относится любая информация, прямо или косвенно определяющая физическое лицо (субъект персональных данных). Следует отметить, что отечественная дефиниция очень схожа с европейским представлением о персональной информации.

Так, в соответствии с General Data Protection Regulation (далее – GDPR) – Общим регулированием защиты информации – персональная информация представляет собой любую информацию, связанную с идентифицированной или идентифицируемой личностью – субъектом информации. При этом, под идентифицируемой личностью понимается лицо, которое может быть идентифицировано, прямо или косвенно. Налицо сходство ключевых элементов подхода к определению персональных данных в Российской Федерации и Европе.

В данной связи можно предположить, что информация о сторонах, которая становится доступной медиатору в ходе осуществления своей деятельности, также может подпадать под категорию персональных данных.

Анализ Федерального закон от 27.07.2010г. N193-ФЗ «Об альтернативной процедуре урегулирования споров с участием посредника (процедуре медиации)» не показал наличия в тексе закона специальных норм, касающихся обработки персональных данных медиатором. Также 193-ФЗ РФ не содержит требований к организации работы с персональными данными со стороны медиатора. Более того, термин «персональные данные» ни разу не встречается в тексте закона. Тем не менее несмотря на то, что напрямую из текста этого не следует, на наш взгляд, медиатор может считаться оператором персональных данных в силу специфики свой деятельности.

Согласно п.2 ст.3 №152-ФЗ РФ, оператором является «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными». Факт взаимодействия медиатора с персональными данными сторон неразрывно связан с принципом конфиденциальности проведения процедуры медиации, гарантированным ст. 3 №193-ФЗ РФ.

При обработки персональных данных, раскрывают данный принцип через обязанности медиатора при работе с персональными данными: осуществление их обработки только на законных основаниях, ограничение обработки персональных конкретными целями такой обработки; недопущение объединения баз данных, содержащих персональную информацию; обработка только тех данных и в том объеме, который отвечает поставленным целям; соблюдение законодательный требований к хранению персональных данных.

Таким образом, можно сделать вывод о том, что медиатор, как лицо, осуществляющее деятельность по альтернативному разрешению споров между сторонами, фактически является оператором персональных данных в отношении информации, которая становится ему доступна в процессе и результате своей деятельности.

В данной связи, следует рассмотреть, какие новые требования предъявляет №226-ФЗ РФ, а равно измененный №152-ФЗ РФ, к медиаторам как операторам персональных данных.

Основные изменения коснулись ч.2 ст.22 152-ФЗ РФ, устанавливающей случаи, когда оператор персональных данных может не уведомлять уполномоченный орган по защите прав субъектов персональных данных – Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – о намерении осуществлять обработку персональных данных. В частности, в списке остались следующие ситуации:

— если такие данные включены в государственные информационные системы персональных данных, созданных в целях защиты безопасности государства и общественного порядка;

— если при обработке персональных данных не используются средства автоматизации;

— если данные обрабатываются в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, а также преследуется цель защиты личных, общественных и государственных интересов от актов незаконного вмешательства.

Отметим, что конкретные случаи применения последнего пункта в настоящее время предусматриваются Приказом Министерства транспорта от 19 июля 2012 г. N 243 «Об утверждении порядка формирования и ведения автоматизированных централизованных баз персональных данных о пассажирах и персонале (экипаже) транспортных средств, а также предоставления содержащихся в них данных», следовательно, данная ситуация, как ситуация, связанная с защитой безопасности государства и общественного порядка, не соотносятся со спецификой деятельности медиатора.

Таким образом, мы видим, что в соответствии с последними поправками, медиаторам в рамках своей деятельности придется предоставлять уведомление Роскомнадзору об обработке персональных данных обратившихся к нему сторон, только если медиатор не использует для обработки указанных данных средства автоматизации.

В данной связи, обратимся за разъяснением, предоставленным Васильевой О.Н., которая отмечает, что обработка персональных данных без автоматизации означает, например, заполнение бланков от руки, а также аналогичный способ ведения журнала учета и т.д. Однако отправка документов, копий паспорта, сведений ИНН и т.п. будет расцениваться как обработка данных с использованием средств автоматизации. Аналогично рассматривается и снятие копий вышеуказанных и иных документов с использованием сканеров, фотоаппаратов и т.п. Следовательно, медиатор в нынешних реалиях, исходя из смысла закона, обязан уведомлять Роскомнадзор о каждом подобном случае обработки персональных данных.

Другие важные изменения коснулись №152-ФЗ РФ, а именно положений, касающихся трансграничной передачи персональных данных. В первую очередь, следует отметить, что законодатель отошел от позиции наименования конкретных конвенций (в частности, Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, заменив данную формулировку на более универсальную «в соответствии с … международными договорами Российской Федерации». Также следует отметить, что оператор персональных данных теперь обязан уведомлять Роскомнадзор до начала трансграничной передачи персональных данных. До подачи такого уведомления оператор также обязан получить достоверные сведения о принимающем органе иностранного государства, принимаемых им мерах по защите персональных данных, а также нынешнем состоянии законодательства данного государства в вопросах защиты персональных данных.

Следует отметить, что перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, указанный в ч.2 ст. 22 №152-ФЗ РФ, установлен Приказом Роскомнадзора от 05.08.2022г. N128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных». При этом, в данный перечень включаются страны-участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны, не являющиеся участницами данной Конвенции, однако соответствующих требованиям данной Конвенции.

Дополнительно, законодатель добавил положения об ограничении и запрете трансграничной передачи персональных данных «в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства защиты экономических и финансовых интересов РФ», а также «обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан РФ, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене». Решение об ограничении или запрете трансграничной передачи персональных данных принимается Роскомнадзором.

Следует отметить, что аналогичное ограничение на трансграничную передачу данных предусматривается и GDPR. Данный акт также содержит требование об адекватном характере применяемых мер для обеспечения защиты персональных данных государствами, в которые происходит передача персональных данных.

Таким образом, медиатор, в случае необходимости передачи информации, полученной от сторон в ходе проведения процедуры медиации, в иностранное государство, обязан предварительно собрать информацию о данном государстве, уведомить Роскомнадзор и лишь после получения одобрения от последнего – осуществить передачу информации. В случае же, если Роскомнадзором введено ограничение или запрет на трансграничную передачу персональных данных, подобные контакты медиатору будут недоступны.

 

Подводя черту, следует отметить следующее: сложно представить современную работу любого специалиста без использования компьютерной техники, сети «Интернет» и различных баз данных. Общение с клиентами в мессенджерах, обмен документами через электронную почту или файлообменники и т.п. стали обыденной нормой повседневной жизни людей при выполнении не только профессиональных, но и бытовых обязанностей. Данные изменения общественной и профессиональной жизни не обошли стороной и деятельность медиаторов.

Таким образом, учитывая нововведения в законодательство о персональных данных, медиатор, являясь полноценным оператором персональных данных, вынужден либо уведомлять Роскомнадзор о каждом случае обработки персональных данных – о каждом онлайн-контакте с клиентами, когда он получает от него какие-либо документы –, либо вести свою деятельность без использования каких-либо технических средств и гаджетов: встречать со сторонами только лично, заполнять все документы вручную и т.п. Разумеется, допустить реальность подобного сценария в современных реалиях не представляется возможным.

 

 

Актуальное

Международная конференция (2-6 декабря): «Цифровизация. Отправление правосудия и альтернативное разрешение потребительских споров: на пути к регулированию споров»

2 декабря 2024 году в Гранаде, Испания прошла II Международная конференция: «Цифровизация. Отправление правосудия и альтернативное разрешение потребительских…