ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В СЕТИ ИНТЕРНЕТ В СВЕТЕ РЕФОРМЫ РОССИЙСКОГО ЗАКОНОДАТЕЛЬСТВА

В работе рассматриваются вопросы защиты персональных данных в Российской Федерации, а также анализируются официальные разъяснения Роскомнадзора и судебная практика в указанной сфере. Автор исследует проблемы, связанные с определением понятия и состава персональных данных, обработкой персональных данных в сети Интернет, правилами получения согласия на обработку персональных данных. Автор выносит предложения по законодательному совершенствованию данного института.

В современном мире происходит активное развитие информационных технологий. Информация становится одним из важнейших факторов развития экономики и совершенствования человеческого общества. Всемирная сеть Интернет является основным источником получения, хранения и распространения информации, включая личную информацию. Без указанных сведений сложно представить, например, социальные сети, электронную почту, интернет-магазины, корпоративные сайты компаний и др. Многие Интернет-ресурсы, деятельность которых ориентирована на пользователя глобальной сети, так или иначе работают с информацией, которая позволяет его идентифицировать.

Актуальными становятся вопросы обеспечения защиты информации о гражданах, то есть персональных данных, соблюдения режима конфиденциальности информации, выполнения правил обработки персональных данных, в том числе в сети Интернет.

В нашей стране основным нормативным правовым актом, регламентирующим данную сферу общественных отношений, выступает Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»20 (далее - Закон о персональных данных). Стоит отметить, что

“Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных» // Российская газета. - № 165. - 29.07.2006.

принятие этого закона обусловлено тем, что в 2005 г. Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных[1] и приняла на себя обязательства по совершенствованию внутреннего законодательства в данной сфере.

Также в настоящее время проводится законодательная реформа данного института, в частности, стоит отметить действующий с 1 сентября 2015 года Федеральный закон от 21.07.2014 №242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»[2] (регламентирует создание «Реестра нарушителей прав субъектов персональных данных» с целью ограничения доступа к соответствующим Интернет- ресурсам, обеспечение локализации на территории России отдельных процессов обработки персональных данных российских граждан), а также Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»[3], с 1 июля 2017 года установивший семь составов административных правонарушений в области персональных данных и увеличение штрафных санкций за данные нарушения.

Вышесказанное свидетельствует о внимании государства к вопросу защиты персональных данных и совершенствования их законодательной регламентации. Однако до сих пор существуют проблемы правового регулирования в данной сфере, а в научной литературе высказываются различные претензии к Закону о персональных данных, его эффективности и юридической технике[4].

Отнести ту или информацию в сети Интернет к персональным данным, можно только охарактеризовав данную категорию. Согласно п. 1 ст. 3 Закона о персональных данных под ними понимается любая информация, которая относится к прямо или косвенно определяемому или определенному физическому лицу (субъекту персональных данных). Отсюда прямо следует, что субъектами персональных данных являются исключительно физические лица, сведения о юридическом лице не подпадают под эту категорию.

Среди наиболее распространенных в цифровой среде примеров персональных данных стоит привести следующие: фамилия, имя, отчество, номер телефона, адрес электронной почты, дата и место рождения, паспортные данные, социальное положение, данные о предпочтениях и потребностях пользователя, сведения о посещенных сайтах, комментариях на форумах, запросах в поисковых системах и др.

Один из основных вопросов законодательства о персональных данных заключается в том, какие сведения относятся к персональным данным и при каких условиях они становятся таковыми? В поиске ответа на данный вопрос А.И. Савельев в своем труде «Электронная коммерция в России и за рубежом: правовое регулирование» приходит к выводу, что есть два основных подхода к его решению. Согласно первому, «узкому» подходу в качестве персональных данных выступает только та информация, которая позволяет однозначно идентифицировать конкретного гражданина. В соответствие же с «широким» подходом любая информация, которая относится к гражданину и позволяет выделить его из всего общества, представляет собой персональные данные.25

Применение на практике «узкого» подхода обеспечивает определенность и предсказуемость законодательства, правовых решений в указанной сфере. С этой точки зрения к персональным данным относятся такие сведения, как фамилия, имя, отчество гражданина и номер паспорта, фамилия, имя, отчество и дата рождения, и т.д.

Стоит отметить, что уполномоченный государственный орган в данной сфере - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), в своей практике реализует именно «узкий» подход, что подтверждается в официальных разъяснениях. Например, размещение в сети Интернет только фотографии или только фамилии, имени и отчества без дополнительной информации не является обработкой персональных данных, так как невозможно идентифицировать конкретное лицо26. Однако разъяснения Роскомнадзора в данной части вступают в противоречие с “Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. 2-е изд. / А.И. Савельев. - М.: Статут, 2016. - С. 590.

О персональных данных. Официальный сайт Роскомнадзора. Электронный ресурс [URL]: https://77.rkn.gov.ru/p3852/pl3239/pl3309/ (Дата обращения: 08.01.2018 г.).

законодательством, согласно которому персональные данные могут включать в себя только фамилии, имена и отчества субъектов персональных данных (п. 5 ч. 2 ст. 22 Закона о персональных данных).

Отметим, что судебная практика в определении состава персональных данных также не однозначна. Так, одни суды разделяют позицию Роскомнадзора («исключительность сочетания фамилии, имени и отчества автоматически не относит их к числу персональных данных»[5]), другие - следуют прямому указанию закона о включении полного имени гражданина в состав персональных данных[6]. Однако в большинстве случаев по данной категории дел суды обосновывают позицию, согласно которой не любая информация о гражданине подпадает под защиту Закона о персональных данных, а только те сведения, которые в совокупности помогают определить конкретное физическое лицо[7].

Согласно «широкому подходу» к персональным данным относится любая информация, которая может и не указывать однозначно на конкретного гражданина, но включает в себя описание его индивидуальных характеристик, которые позволяют выделить его из круга других субъектов.

Особое значение в сети Интернет придается сведениям о характеристиках личности, на основании которых можно делать выводы о ее предпочтениях и поведении в сети. Любое действие пользователя в цифровой среде, включая просмотр новостей, товаров, услуг, общение на различных форумах, создание комментариев на публичных ресурсах, оставляет цифровой след. Совокупность таких данных (так называемый «профайл» пользователя) играет большую роль для совершения определенных действий в отношении него в цифровой среде (например, направление адресной рекламы, предложение товаров он- лайн-магазинов и т.д.). В условиях развития информационных ресурсов указанные персональные данные могут иметь большую ценность, чем фамилия, имя и отчество гражданина, его паспортные данные.

Важно отметить, что преимущество «широкого» подхода состоит в том, что он направлен на защиту персональных данных пользователей об их действиях в сети Интернет, которые используются в деятельности различных веб-ресурсов и на основании которых возможно принятие важных решений.

Таким образом, в теории и практике до сих пор не выработано единого универсального подхода к определению состава персональных данных в сети Интернет. В действующем законодательстве также не содержится каких-либо конкретных указаний о том, какие сведения считать персональными данными. Указанное позволяет сделать вывод об оценочном характере данной категории. На наш взгляд, такое положение дел в определенной степени способствует произволу уполномоченных органов и пользователей сети Интернет при квалификации тех или иных сведений о гражданине в качестве персональных данных.

Полагаем, в условиях российской правовой действительности выходом из сложившейся ситуации может стать компромисс между рассмотренными основными подходами. В конкретной ситуации следует применять не только строго формальный, «узкий» подход, но учитывать и то, что к персональным данным относится информация в сети Интернет, прямо не указанная в законе, но защита которой также должна быть обеспечена на должном уровне.

Более подробно Закон о персональных данных в п. 3 ст. 3 регламентирует понятие обработки персональных данных путем перечисления действий (операций), которые она включает: сбор, запись, накопление, хранение, систематизацию, использование, извлечение, уточнение (изменение, обновление), передачу (доступ, предоставление, распространение), блокирование, обезличивание, уничтожение и удаление персональных данных.

Что касается способов обработки персональных данных, то они следующие: с использованием средств автоматизации, в том числе информационно-телекоммуникационных сетей, или без использования таковых. В рамках рассмотрения вопроса защиты персональных данных в сети Интернет стоит обратить внимание на автоматизированную обработку персональных данных, то есть реализуемую с помощью средств вычислительной техники. Если действия с персональными данными пользователей сети осуществляются в цифровой среде, они будут охватываться названным понятием.

Лицо, которое осуществляет и (или) организует обработку персональных данных, а также определяет цели такой обработки, состав персональных данных и действия (операции) с ними, является оператором персональных данных (п. 2 ст. 3 Закона о персональных данных).

Как следует из ч. 1 ст. 6 Закона о персональных данных, одним из основных условий законной обработки персональных данных в сети

Интернет является получение согласия субъекта персональных данных на такую обработку либо наличие специальных оснований обработки персональных данных в отсутствие такого согласия. Закон о персональных данных в ч. 1 ст. 9 предъявляет определенные требования к такому согласию (оно должно быть конкретным, информированным и сознательным), однако не конкретизирует, в какой форме оно предоставляется. Исключением выступают специальные категории персональных данных и биометрические персональные данные, согласие на обработку которых необходимо получить в письменной форме и с указанием в нем обязательных реквизитов.

При выборе формы согласия необходимо учитывать, что по запросу уполномоченного органа оператор должен представить доказательства предоставления такого согласия конкретным лицом на обработку его персональных данных в определенном объеме и с определенной целью. Так, наиболее упрощенной формой согласия на обработку персональных данных является устная форма, однако ее выбор может повлечь сложности в процессе доказывания указанных фактов. Один из наиболее актуальных вопросов в сфере обработки персональных данных в сети Интернет касается возможности дачи согласия на обработку в виде проставления «галочки» в соответствующем поле на веб-сайте. Роскомнадзор в ноябре 2017 г. опубликовал на своем официальном сайте соответствующие разъяснения и указал, что такой способ предоставления согласия на обработку персональных данных является допустимым, если Закон о персональных данных не предъявляет специальных требований к форме такого согласия[8].

Судебная практика по данному вопросу пока не сформирована, однако можно сделать вывод, что для сознательного и информированного согласия на обработку персональных данных необходимо соблюсти ряд условий, помимо проставления указанной «галочки». В частности, разместить на сайте в сети Интернет текст или форму такого согласия и политику оператора в отношении обработки персональных данных, чтобы определить цели, сроки, порядок обработки данных пользователя сети и их объем.

Учитывая тематику данного исследования, целесообразно отметить следующее основание обработки персональных данных без оформления согласия гражданина - обработка общедоступных персональных данных (п. 10 ч. 1 ст. 6 Закона о персональных данных). Вопрос распространения и использования указанных данных неограниченным кругом лиц непосредственно связан с различными социальными сетями, базами данных, которые находятся в общем доступе. При этом персональные данные становятся общедоступными в результате действий самого пользователя по их размещению либо по его просьбе.

Стоит отметить, что в ч. 2 ст. 8 Закона о персональных данных предусмотрено право субъекта персональных данных требовать исключения информации о нем из общедоступных источников. Рассмотренная норма носит более декларативный характер, так как с момента размещения сведений в сети Интернет пользователь фактически не может повлиять на их дальнейшее использование иными лицами. С точки зрения правовых гарантий защиты информации продолжение законной обработки таких персональных данных будет невозможно, однако еще на этапе размещения персональных данных в общедоступных источниках пользователь сети должен сознательно отнестись к конфиденциальности своей личной информации.

Правовая защита персональных данных в сети Интернет обеспечивается путем закрепления в Законе о персональных данных (глава 4) определенных обязанностей оператора. Среди основных требований, которые предъявляются к обработке персональных данных, следует выделить принятие оператором организационно-технических мер. Как справедливо отмечает А.И. Савельев, одна из основных проблем законодательства о персональных данных - это несвоевременность его актуализации, исходя из уровня развития технологий31. Также положения закона не дают четкого представления о необходимых и достаточных организационно-технических мерах, а закрепляют лишь отдельные принципы и положения, делегируя решение указанных вопросов в рамках подзаконного нормотворчества. В результате не удается избежать противоречий в правовых актах и разъяснениях уполномоченных органов в данной сфере (Правительство РФ, Роскомнадзор, ФСБ России и ФСТЭК России).

Законом субъекту персональных данных предоставлено право направления обращения (запроса) оператору на получение сведений об обработке его персональных данных и совершении с ними определенных действий (уточнение, блокирование, уничтожение и т.д.), а также обращения в Роскомнадзор о соответствии содержания персональных данных и способов их обработки целям такой обработки. Если порядок действий оператора в случае поступления такого обращения (запроса) 3,Савельев А.И. Указ. Соч. - С. 624.

подробно регламентирован ст. 20 Закона о персональных данных, то в отношении уполномоченного государственного органа указано только, что по итогам рассмотрения обращения он принимает соответствующее решение (ч. 2 ст. 23 Закона о персональных данных). На наш взгляд, целесообразно дополнить законодательство в части определения содержания и порядка подачи обращения, сроков его рассмотрения в Роскомнадзоре, а также видов принимаемых решений по результатам рассмотрения обращения субъекта персональных данных.

В Российской Федерации институт защиты персональных данных в сети Интернет пока находится в стадии становления, о чем свидетельствуют регулярно проводимые законодательные изменения в поиске лучшего варианта правового регулирования и, вместе с этим, незначительное количество комплексных научных трудов, посвященных рассмотрению этой проблематики. В заключение хотелось бы отметить, что данная сфера общественных отношений имеет большой потенциал для дальнейшего исследования и совершенствования.

Использованная литература:

  • 1. Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» // Российская газета. - № 288.-22.12.2005.
  • 2. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных» // Российская газета. - № 165. -29.07.2006.
  • 3. Федеральный закон от 21.07.2014 № 242-ФЗ (ред. от 31.12.2014) «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» // Российская газета. - № 163. - 23.07.2014.
  • 4. Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» // Российская газета. - № 30. - 10.02.2017.
  • 5. Определение Верховного Суда РФ от 24.06.2015 № 18-АПГ15-7 // СПС «Консультант Плюс».
  • 6. Апелляционное определение Московского городского суда от 28 января 2014 № 33-5461/14 // СПС «Консультант Плюс».
  • 7. Постановление Тринадцатого арбитражного апелляционного суда от 05.12.2013 по делу № А56-34496/2012 // СПС «Консультант Плюс».
  • 8. Григорьев Д. Работаем с персональными данными по-новому // Банковское обозрение. - 2017. - № 8. - С. 52-55.
  • 9. Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. 2-е изд. - М.: Статут, 2016. - 640 с.
  • 10. Должны ли интернет-магазины требовать согласие покупателя на обработку персональных данных. Официальный сайт Роскомнадзора.

Электронный ресурс [URL]: https://rkn.gov.ru/news/rsoc/news51712.htm (Дата обращения: 08.01.2018 г.).

11. О персональных данных. Официальный сайт Роскомнадзора. Электронный ресурс [URL]: https://77.rkn.gov.ru/p3852/p13239/p13309/ (Дата обращения: 08.01.2018 г.).

  • [1] 2’Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции СоветаЕвропы о защите физических лиц при автоматизированной обработке персональных данных»// Российская газета. - № 288. - 22.12.2005.
  • [2] Федеральный закон от 21.07.2014 № 242-ФЗ (ред. от 31.12.2014) «О внесении изменений вотдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» // Российскаягазета. - № 163. - 23.07.2014.
  • [3] Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс РоссийскойФедерации об административных правонарушениях» // Российская газета. - № 30. -10.02.2017.
  • [4] Григорьев Д. Работаем с персональными данными по-новому / Д. Григорьев // Банковскоеобозрение. - 2017. - № 8. - С. 52.
  • [5] Постановление Тринадцатого арбитражного апелляционного суда от 05.12.2013 по делу№ А56-34496/2012 // СПС Консультант Плюс.
  • [6] ^Определение Верховного Суда РФ от 24.06.2015 № 18-АПГ15-7 // СПС Консультант Плюс.
  • [7] Напр., Апелляционное определение Московского городского суда от 28 января 2014 № 33-5461/14 // СПС Консультант Плюс.
  • [8] Должны ли интернет-магазины требовать согласие покупателя на обработку персональныхданных. Официальный сайт Роскомнадзора. Электронный ресурс [URL]:https://rkn.gov.ru/news/rsoc/news51712.htm (Дата обращения: 08.01.2018 г.).
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >