ЮрФак: изучение права онлайн

Общий регламент о защите персональных данных (General Data Protection Regulation): идеи для совершенствования российского законодательства

Автор: Грибанов А.А.

Оглавление

Введение

Определение персональных данных

Условия обработки компанией персональных данных ее контрагентов

Согласие на обработку персональных данных в форме электронного документа

Определение биометрических персональных данных

Указание в письменном согласии сведений о конкретном лице, осуществляющем обработку персональных данных по поручению оператора

Получение предварительного согласия субъекта персональных данных на обработку его персональных данных в целях продвижения товаров, работ, услуг

Уведомление Роскомнадзора об обработке персональных данных

Действие Закона о персональных данных в пространстве

Политика обработки персональных данных

Заключение


Введение

Практически все компании обрабатывают персональные данные и должны соблюдать требования соответствующего законодательства под угрозой взыскания административных штрафов, блокировок сайтов, уголовного преследования сотрудников и применения других мер юридической ответственности. Однако российское законодательство о персональных данных имеет определенные недостатки. Некоторые его требования неясны, другие — чрезмерно суровы и трудноисполнимы с точки зрения практической деятельности. В связи с этим многие добросовестные компании вынуждены действовать, не понимая, соблюдают ли они требования законодательства о персональных данных в полной мере. Некоторые компании осознанно идут на частичное нарушение положений закона, так как в определенных случаях выполнить их на практике и при этом продолжить свою деятельность оказывается невозможным.

Отечественное законодательство о персональных данных тесно связано с европейским. Как известно, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее — Закон о персональных данных) был принят в связи с ратификацией Россией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. и заимствовал многие ее положения. С 25 мая 2018 г. в странах Европейского союза начинается применение нового Общего регламента о защите персональных данных (General Data Protection Regulation) (далее — Регламент)[1], который устанавливает правила обработки персональных данных, общие для всех стран-участниц, и учитывает произошедшие в последние годы изменения в сфере компьютерных технологий, существенно повлиявшие на процесс обработки данных[2]. Его задача состоит в приведении действующих правил обработки персональных данных в соответствие с требованиями новых технологий, включая Интернет, облачные вычисления и социальные сети[3]. Идеи Регламента могут быть использованы для устранения недостатков российского законодательства о персональных данных, создания условий для его действительного применения на практике и эффективного обеспечения прав граждан на защиту их персональных данных.

Обсуждение способов совершенствования российского законодательства о персональных данных особенно актуально в свете положений Программы "Цифровая экономика Российской Федерации" (утв. распоряжением Правительства РФ от 28.07.2017 N 1632-р; далее — программа "Цифровая экономика"), которые, помимо прочего, предусматривают принятие нормативных правовых актов, касающихся механизмов сбора и использования больших массивов данных, включая персональные данные. При разработке соответствующих документов должны приниматься во внимание недостатки действующего законодательства о персональных данных и возможные способы их устранения.

В настоящей статье последовательно рассматриваются некоторые проблемы отечественного законодательства о персональных данных и предлагаются пути их решения, которые учитывают правовые механизмы, нашедшие отражение в нормах Регламента.

Определение персональных данных

Согласно легальному определению персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона о персональных данных).

Существует позиция, полагающая данное определение персональных данных слишком широким[4], поскольку оно позволяет отнести к персональным данным очень большое количество разнообразных сведений о человеке — например, адрес электронной почты, марку и модель автомобиля, посещаемые магазины, средний размер чека в ресторане, маршруты передвижения, любимые сайты, модель телефона. При этом вся эта информация должна обрабатываться с соблюдением жестких требований законодательства, что может быть весьма обременительным для тех, кто ее обрабатывает. Кроме того, в некоторых случаях данное определение не позволяет с уверенностью ответить на вопрос, являются ли те или иные сведения персональными данными. Так, можно ли считать таковыми номера кредитных карт или записи телефонных разговоров клиентов компании с работниками ее кол-центра? По этой причине предлагается толковать определение персональных данных, содержащееся в законе, ограничительно и считать персональными данными только те сведения, которых самих по себе достаточно для идентификации человека. Эта позиция поддерживается отдельными чиновниками Роскомнадзора и практикующими юристами, так как она обеспечивает некоторую степень предсказуемости и определенности законодательства о персональных данных[5]. Судебная практика показывает, что ее придерживается и большая часть судов[6].

В поддержку узкого определения персональных данных в литературе приводятся доводы о том, что широкое определение персональных данных противоречит принципу формальной определенности правовых норм, позволяет отнести к персональным данным практически любую информацию, затрудняет деятельность органов власти в области персональных данных, расширяя сферу их полномочий до необъятных размеров, влечет практическую невозможность применения положений законодательства о персональных данных в условиях развития технологии Больших данных[7].

В соответствии с п. 1 ст. 4 Регламента персональные данные — это любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных). Данное положение сопровождается пояснением, что определяемое физическое лицо — это лицо, которое может быть определено прямо или косвенно, в частности по его идентификатору (например, по имени), идентификационному номеру, местоположению, онлайн-идентификатору или специфическим характеристикам. К последним относятся физические, психологические, генетические, умственные, экономические, культурные, социальные свойства человека.

Нетрудно заметить, что Регламент, так же как и Закон о персональных данных, дает широкое определение персональных данных. Представляется, что только широкое определение позволяет достичь целей регулирования обработки персональных данных, главной из которых является защита неприкосновенности частной жизни, личной и семейной тайны (ст. 2 Закона о персональных данных). Современный уровень развития и проникновения информационных технологий таков, что человек, даже не осознавая этого, ежеминутно предоставляет огромное количество информации о себе самым различным компаниям. При этом мельчайшие частицы такой информации, включая кажущиеся совсем незначительными, могут с легкостью комбинироваться друг с другом с применением вычислительной техники, воссоздавая настолько полный образ человека, что он сам узнал бы о себе много нового, получи он к нему доступ. Конечно, эта информация позволяет манипулировать человеком, и манипулирование в коммерческих целях видится отнюдь не самым опасным из возможных вариантов ее использования. Как отмечается в литературе, "чем больше персональных данных о лице агрегируется и подвергается обработке, тем выше степень возможного влияния на жизнь такого лица результатов автоматизированной обработки и, соответственно, величина риска, связанная с нарушением его прав"[8].

Чтобы проиллюстрировать сказанное, можно привести выдержку из преамбулы Регламента (п. 30), где указано следующее. Физические лица могут быть ассоциированы с онлайн-идентификаторами, предоставляемыми устройствами пользователей, приложениями, программными средствами и протоколами, такими как IP-адреса, cookie-идентификаторы и другие идентификаторы, включая метки радиочастотной идентификации. В этом случае могут оставаться следы, которые можно использовать для создания профайлов физических лиц и их идентификации, например путем сочетания этих следов с уникальными идентификаторами и другой информацией, получаемой серверами. Под созданием профайлов физических лиц имеется в виду любая форма автоматической обработки персональных данных, состоящая в использовании персональных данных для оценки определенных личных характеристик физического лица, в том числе для анализа или прогнозирования его характеристик, касающихся производительности труда, экономического положения, здоровья, личных предпочтений и интересов, добросовестности, поведения, местоположения и перемещений (п. 4 ст. 4 Регламента).

Таким образом, в современном мире любая информация, относящаяся к физическому лицу, представляет ценность и должна охраняться законом с целью защиты фундаментальных прав и свобод человека, включая право на неприкосновенность частной жизни, при ее обработке. Именно поэтому широкое определение персональных данных, содержащееся в Законе о персональных данных, должно толковаться буквально.

В случае сомнений относительно того, является ли информация персональными данными, целесообразно считать ее персональными данными. Такая позиция в полной мере соответствует определению персональных данных, включенному в Регламент. Также широкая дефиниция персональных данных не противоречит принципу формальной определенности правовых норм: она вполне ясно предполагает, что абсолютно любая информация, относящаяся к определенному или определяемому физическому лицу, представляет собой персональные данные. Большой объем такой информации и трудности исполнения требований законодательства о персональных данных при ее обработке не означают, что широкое определение персональных данных неконкретно, хотя и могут вызывать естественное неудовольствие операторов персональных данных и их консультантов. При этом широкое определение персональных данных имеет границы, подробно проанализированные Европейской рабочей группой по вопросам персональных данных[9]. В частности, вопрос о том, относится ли некоторая информация к конкретному физическому лицу, разрешается с учетом содержания этой информации, цели и результата ее использования[10].

Последовательное использование широкого определения персональных данных предполагает применение законодательства о персональных данных к отношениям по обработке значительных объемов разнообразной информации. Зачастую требования законодательства оказываются непонятными или чрезмерно жесткими. Это мешает компаниям, обрабатывающим такую информацию, вести бизнес, а государственным органам — эффективно осуществлять свои полномочия в области персональных данных. Кроме того, некоторые базовые принципы законодательства о персональных данных могут не соответствовать изменениям в практике обработки данных, обусловленным развитием технологии Больших данных[11]. Но эти проблемы должны решаться путем уточнения неясных положений законодательства, смягчения его неоправданно суровых предписаний, реформирования его устаревших положений, оптимизации полномочий соответствующих органов власти, а не посредством отказа от применения законодательства о персональных данных к отношениям по обработке информации на основании искусственного сужения определения персональных данных.

Важно отметить, что выбор подхода к определению персональных данных во многом предопределяет роль законодательства о персональных данных в системе правового регулирования отношений, связанных с использованием технологии Больших данных, создание которой предусмотрено программой "Цифровая экономика". Узкое определение персональных данных предполагает, что значительная часть больших массивов данных, возникающих при использовании людьми информационно-телекоммуникационных сетей, не охватывается законодательством о персональных данных и отношения по их обработке должны быть урегулированы новыми правовыми нормами о технологии Больших данных. Широкое определение персональных данных, напротив, подразумевает, что большая часть этих массивов данных подпадает под действие законодательства о персональных данных. При этом новые правовые нормы о технологии Больших данных должны будут урегулировать лишь вопросы обработки прочих больших массивов данных, включая данные, возникающие вследствие сетевого взаимодействия компьютеров без непосредственного участия человека.

Условия обработки компанией персональных данных ее контрагентов

Большинство компаний обрабатывают персональные данные представителей своих контрагентов, так как взаимодействие компаний не может происходить иначе, как через общение их представителей. Эти данные могут включать среди прочего имена и фамилии, должности, корпоративные адреса электронной почты, номера телефонов, идентификаторы в мессенджерах. Как отмечается в литературе, "данные о представителях юридического лица — физических лицах охватываются общим правовым режимом законодательства о персональных данных"[12]. В связи с этим встает вопрос о том, на каких правовых основаниях компании обрабатывают такие персональные данные. Ведь в случае спора или проверки Роскомнадзора оператор персональных данных должен доказать наличие предусмотренных законом оснований обработки персональных данных (ч. 3 ст. 9 Закона о персональных данных).

Регламент устанавливает основания обработки персональных данных, и наличия хотя бы одного из них достаточно для признания обработки законной (ч. 1 ст. 6 Регламента). Эти основания упоминают необходимость обработки персональных данных для удовлетворения законных интересов оператора или третьего лица, за исключением случаев, когда такие интересы уступают интересам или фундаментальным правам и свободам субъекта персональных данных (п. "f" ч. 1 ст. 6 Регламента). В преамбуле Регламента (п. 47) поясняется, что при применении данного основания должны приниматься во внимание разумные ожидания субъектов персональных данных, основанные на их отношениях с оператором. В качестве примера ситуации, когда возникает необходимость в удовлетворении соответствующих законных интересов, приводятся отношения оператора персональных данных с его клиентами или лицами, оказывающими ему услуги. Указывается, что при оценке разумных ожиданий субъектов персональных данных должны учитываться время и другие обстоятельства сбора персональных данных, цели их обработки. Также отмечается, что законные интересы оператора могут требовать обработки персональных данных для противодействия мошенничеству и для осуществления прямого маркетинга.

Закон о персональных данных также устанавливает основания обработки персональных данных (ч. 1 ст. 6). Помимо прочего, к ним относится необходимость обработки персональных данных для осуществления прав и законных интересов оператора. Представляется, что по аналогии с Регламентом данное основание может толковаться как основание обработки компанией персональных данных представителей ее контрагентов. Это позволило бы устранить неопределенность в вопросе о законности такой обработки персональных данных.

Широкий характер данного основания обусловливает возможность его применения ко многим другим случаям обработки персональных данных, которые часто встречаются в жизни, не нарушают права и законные интересы субъектов персональных данных, но в настоящее время не имеют ясного правового основания. Конечно, неопределенность понятия "законные интересы" создает опасность злоупотреблений при использовании соответствующего основания обработки персональных данных, но эти злоупотребления могут успешно пресекаться в рамках правоприменительного процесса.

Согласие на обработку персональных данных в форме электронного документа

Во многих случаях компании, действующие в России, сталкиваются с необходимостью получать письменные согласия субъектов персональных данных на их обработку. Письменное согласие может потребоваться для обработки специальных категорий персональных данных (например, сведений о состоянии здоровья, политических взглядах, интимной жизни), биометрических персональных данных (например, фотографий, записей голоса, отпечатков пальцев), а также для трансграничной передачи персональных данных (например, в США). Компании обязаны получать письменные согласия работников для передачи их персональных данных организациям, привлекаемым компаниями для ведения бухгалтерского и кадрового учета.

Согласие в форме электронного документа, подписанного электронной подписью, равнозначно письменному согласию на бумажном носителе с собственноручной подписью субъекта (ч. 4 ст. 9 Закона о персональных данных). Такой электронный документ может быть подписан не только усиленной квалифицированной электронной подписью или усиленной неквалифицированной электронной подписью, но и простой электронной подписью (ст. 5 Федерального закона от 06.04.2011 N 63-ФЗ "Об электронной подписи")[13].

Возможность получать согласие, равнозначное письменному согласию на бумажном носителе, в форме электронного документа, подписанного простой электронной подписью, облегчает взаимодействие операторов и субъектов через Интернет и способствует развитию электронной коммерции. Но в некоторых случаях использование простой электронной подписи для получения согласия может быть неудобным. В связи с этим имеет смысл обратить внимание на другие механизмы получения согласия, которые разрешены Регламентом и могут быть использованы российским законодателем для расширения возможностей операторов по получению через Интернет согласий, равнозначных письменным согласиям на бумажных носителях.

В преамбуле Регламента (п. 32) указано, что согласие на обработку персональных данных может быть дано в форме письменного заявления, в том числе сделанного с помощью электронных средств, или устного заявления. При этом отмечается, что согласие может быть выражено посредством проставления галочек в специальных формах на сайте, выбора определенных параметров в технических настройках информационных сервисов либо иного заявления или поведения, которые с учетом контекста ясно указывают на принятие субъектом персональных данных условий их обработки. Дополнительно уточняется, что молчание, принятие форм с заранее проставленными галочками и неактивность не свидетельствуют о согласии.

В определенных случаях Регламент предъявляет особые требования к согласию на обработку персональных данных, а именно устанавливает, что согласие должно быть явно выраженным. В частности, это относится к обработке специальных категорий персональных данных (п. "a" ч. 2 ст. 9 Регламента) и принятию решений на основании исключительно автоматизированной обработки персональных данных, включая создание профайлов (п. "c" ч. 2 ст. 22 Регламента). Европейская рабочая группа по вопросам персональных данных отметила, что субъект персональных данных может дать явно выраженное согласие на обработку его данных посредством заполнения электронной формы, отправки электронного письма, загрузки скана документа с подписью субъекта или с использованием электронной подписи[14].

В Законе о персональных данных письменное согласие на обработку персональных данных имеет такое же значение, какое явно выраженное согласие имеет в Регламенте: оно требуется в случаях, когда обработка персональных данных связана с особенно большими рисками для субъекта персональных данных.

Таким образом, для расширения возможностей операторов по получению через Интернет согласий субъектов персональных данных представляется правильным указать в Законе о персональных данных, что равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается не только согласие в форме электронного документа, подписанного электронной подписью, но и явно выраженное согласие, данное посредством заполнения электронной формы, отправки электронного письма или загрузки скана документа с собственноручной подписью субъекта.

С развитием информационных технологий появляются новые проблемы, связанные с регулированием получения согласия субъекта персональных данных на их обработку. Например, в литературе отмечается, что требования законодательства о персональных данных к согласию субъекта на обработку его персональных данных (согласие должно быть информированным, конкретным и сознательным) фактически не позволяют использовать согласие в качестве основания для обработки персональных данных с применением технологии Больших данных[15]. Однако появление такого рода проблем не означает, что соответствующие положения законодательства о персональных данных не могут быть при необходимости приведены в соответствие с новыми условиями жизни. Так, оценивая влияние технологии Больших данных на права субъектов персональных данных, Европейская рабочая группа по вопросам персональных данных в 2014 г. отметила, что технология Больших данных может потребовать изменения подходов к применению некоторых принципов законодательства Европейского союза о персональных данных, но из этого не следует, что данные принципы потеряли свое значение и не подлежат применению к обработке персональных данных с применением технологии Больших данных[16]. Относительно согласия субъекта на обработку его персональных данных в 2017 г. Группа указала, что если согласие не соответствует требованиям Регламента (свободно данное, конкретное, информированное, явно выраженное), то оно считается недействительным, а основанная на нем обработка персональных данных — незаконной[17].

Определение биометрических персональных данных

Согласно ст. 11 Закона о персональных данных биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. В литературе предлагается считать биометрическими персональными данными только те сведения, которые используются оператором для установления личности субъекта персональных данных[18]. Однако такой подход не соответствует легальному определению биометрических персональных данных, не относящему к их признакам их использование для установления личности субъекта персональных данных.

В соответствии с п. 14 ст. 4 Регламента биометрические персональные данные — это персональные данные, которые возникают вследствие специальной технической обработки, связанной с физическими, психологическими и поведенческими характеристиками физического лица, и позволяют однозначно идентифицировать данное физическое лицо или подтвердить его идентификацию. Например, это могут быть фотографии лица и дактилоскопическая информация. В п. 51 преамбулы Регламента поясняется, что обработка фотографий не должна систематически рассматриваться как обработка специальных категорий персональных данных, так как они соответствуют определению биометрических персональных данных, только когда обрабатываются с использованием специальных технических средств, делающих возможной однозначную идентификацию или аутентификацию физического лица.

Таким образом, позиция, закрепленная в Регламенте, по существу соответствует подходу, предлагаемому в отечественной литературе. При этом в первом случае признаком биометрических персональных данных считается их обработка с определенной целью, а во втором — их обработка с использованием специальных технических средств, служащая той же самой цели.

Определение биометрических персональных данных, которое в настоящее время содержится в Законе о персональных данных, видится более правильным по сравнению с определениями, отраженными в Регламенте и отечественной литературе. Если использовать их определения, то одни и те же сведения будут иметь разную степень защиты в зависимости от того, являются ли они только потенциальными биометрическими персональными данными или уже используются для установления личности человека. Пониженный уровень защиты потенциальных биометрических данных повышает риск их незаконного использования в целях установления личности человека, т.е. риск незаконного использования персональных данных, уже считающихся биометрическими. Определение, содержащееся в Законе о персональных данных, обеспечивает одинаково высокий уровень защиты соответствующих сведений на всех стадиях их существования, снижая тем самым риск их незаконного использования для установления личности человека.

Указание в письменном согласии сведений о конкретном лице, осуществляющем обработку персональных данных по поручению оператора

Российское законодательство часто требует получать письменное согласие субъекта персональных данных на обработку последних. Как уже упоминалось, работодатель должен получить письменное согласие работника на передачу его персональных данных организациям, привлекаемым для ведения бухгалтерского и кадрового учета (абз. 2 ст. 88 Трудового кодекса РФ). При этом письменное согласие должно включать наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора, когда обработка поручается такому лицу (п. 6 ч. 4 ст. 9 Закона о персональных данных).

Следовательно, чтобы передать ведение кадрового и бухгалтерского учета специализированной организации, работодатель должен получить письменные согласия всех своих работников на передачу их персональных данных такой организации. Для замены одной организации на другую работодателю потребуется снова получить письменные согласия работников. Эти действия могут быть весьма обременительными для компаний с большим количеством работников.

В отличие от Закона о персональных данных, Регламент не устанавливает жестких требований к содержанию согласия субъекта персональных данных. Так, в п. 42 преамбулы Регламента отмечается, что информированное согласие субъекта персональных данных должно содержать по меньшей мере сведения об операторе персональных данных и целях обработки персональных данных.

Как видится, было бы полезным смягчить требования Закона о персональных данных к содержанию письменного согласия субъекта персональных данных на их обработку.

Например, требование о включении в согласие детальной информации о лицах, осуществляющих обработку персональных данных по поручению оператора, может быть заменено требованием об указании в согласии категорий таких лиц без детальной информации о каждом из них. Данная мера упростила бы привлечение работодателями третьих лиц для обработки персональных данных их работников.

Получение предварительного согласия субъекта персональных данных на обработку его персональных данных в целях продвижения товаров, работ, услуг

В соответствии с Законом о персональных данных обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных (ч. 1 ст. 15). Это правило значительно затрудняет доведение компаниями информации о своих продуктах до потенциальных потребителей.

В п. 47 преамбулы Регламента отмечается, что обработка персональных данных в целях прямого маркетинга может рассматриваться как осуществляемая в законных интересах оператора персональных данных. Согласно п. "f" ч. 1 ст. 6 Регламента обработка персональных данных в законных интересах оператора или третьего лица по общему правилу считается законной, т.е. законный интерес выступает самостоятельным основанием обработки персональных данных наряду с согласием субъекта, договором с субъектом и т.д. В п. 70 преамбулы Регламента разъясняется, что субъект персональных данных имеет право бесплатно и в любое время возражать против обработки персональных данных (как начальной, так и последующей) в целях прямого маркетинга. Если субъект персональных данных заявил возражения против обработки его персональных данных в целях прямого маркетинга, обработка персональных данных в этих целях должна быть прекращена (ч. 3 ст. 21 Регламента).

То есть подход Закона о персональных данных ограждает потребителя от контактов с компаниями, на которые он предварительно не соглашался. Подход Регламента предоставляет компаниям больше возможностей по установлению связей с потребителями в целях продвижения своих товаров и услуг.

В условиях информационного общества, в котором люди перегружены информацией, первый подход привлекает тем, что он эффективно защищает их от избыточной и раздражающей информации. Но он препятствует ведению предпринимательской деятельности, затрудняя использование компаниями важного инструмента продвижения их продуктов. Второй подход создает угрозу чрезмерного информационного воздействия на потребителей со стороны компаний. Но при этом сами компании сохраняют заинтересованность в том, чтобы их контакты с потребителями не вызывали раздражения, способного сформировать негативное отношение к их продуктам. Данное обстоятельство может служить естественным внеправовым ограничителем злоупотреблений инструментами прямого маркетинга со стороны компаний. В связи с этим второй подход (предусмотренный Регламентом) представляется более предпочтительным, чем первый (предусмотренный Законом о персональных данных), и в Закон о персональных данных целесообразно внести соответствующие изменения.

Уведомление Роскомнадзора об обработке персональных данных

В соответствии с ч. 1 ст. 22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять такую обработку. Некоторые исключения из этого правила, весьма узкие по своему содержанию, установлены в ч. 2 той же статьи. Например, эта обязанность не распространяется на обработку персональных данных в соответствии с трудовым законодательством, обработку общедоступных персональных данных, обработку персональных данных, включающих в себя только фамилии, имена и отчества субъектов персональных данных. Неисполнение обязанности уведомить Роскомнадзор о намерении осуществлять обработку персональных данных может повлечь наложение на компанию административного штрафа в размере от 3 до 5 тыс. руб. (ст. 19.7 Кодекса Российской Федерации об административных правонарушениях). По состоянию на 26 февраля 2018 г. в Реестре операторов, осуществляющих обработку персональных данных, содержались сведения о 403 130 операторах[19].

В п. 89 преамбулы к Регламенту указывается, что общая обязанность уведомлять уполномоченные органы об обработке персональных данных увеличивает административную и финансовую нагрузку на компании, но не всегда способствует улучшению защиты персональных данных. В связи с этим Регламент отказался от закрепления такой обязанности в пользу установления процедур и механизмов, фокусирующихся на тех операциях с персональными данными, которые создают особенно высокие риски нарушения прав и свобод граждан в силу своей природы, объема, контекста и целей. К таковым могут относиться, например, операции, связанные с использованием новых технологий, или операции принципиально новых видов.

Процедуры и механизмы, призванные заменить общую обязанность операторов уведомлять уполномоченные органы об обработке персональных данных, описаны в ст. 35 и 36 Регламента: это оценка влияния на защиту данных и предварительная консультация с уполномоченным органом.

Если обработка персональных данных может создать высокие риски нарушения прав и свобод граждан, оператор должен до начала обработки провести оценку влияния планируемых операций на защиту персональных данных. В частности, такая оценка должна проводиться при систематическом и масштабном анализе личных качеств физических лиц, основанном на автоматизированной обработке персональных данных и влекущем принятие юридически значимых решений в отношении этих лиц. Оценка должна включать среди прочего описание планируемых операций и целей обработки, оценку необходимости операций и их соответствия целям обработки, оценку рисков для прав и свобод субъектов персональных данных, планируемые меры по борьбе с этими рисками.

Если оценка влияния планируемых операций на защиту персональных данных показывает, что обработка может создать высокие риски при отсутствии принимаемых оператором мер по их снижению, оператор должен проконсультироваться с уполномоченным органом до начала обработки. Если уполномоченный орган придет к заключению, что планируемая обработка не соответствует Регламенту, он должен предоставить оператору письменные рекомендации относительно дальнейших действий и вправе использовать другие свои полномочия, предусмотренные Регламентом.

Следует заключить, что общая обязанность операторов по уведомлению уполномоченного органа о намерении обрабатывать персональные данные, установленная Законом о персональных данных, не повышает уровень защиты персональных данных.

Практически все компании в России обрабатывают персональные данные. Категории персональных данных, обработка которых не требует уведомления Роскомнадзора, немногочисленны. Операторы часто игнорируют обязанность уведомлять Роскомнадзор или подходят к ее исполнению формально, а само ведомство едва ли в состоянии тщательно анализировать содержание всех поступающих в его адрес уведомлений с целью обнаружения повышенных рисков безопасности персональных данных, требующих принятия специальных мер. По этим причинам представляется правильным последовать примеру Регламента и отказаться от общей обязанности операторов уведомлять Роскомнадзор о намерении обрабатывать персональные данные. Это может быть реализовано без существенных изменений действующего законодательства, например посредством значительного расширения перечня случаев, когда соответствующее уведомление не требуется (ч. 2 ст. 22 Закона о персональных данных).

Действие Закона о персональных данных в пространстве

Вопрос о том, в каких случаях Закон о персональных данных применяется к операторам, находящимся за пределами Российской Федерации, особенно актуален в связи с широким распространением обработки персональных данных с использованием Интернета.

Одним из ориентиров при поиске ответа на данный вопрос служит Комментарий к Федеральному закону от 21.07.2014 N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях", размещенный на сайте Роскомнадзора. В нем указано, что норма о локализации персональных данных "распространяет свое действие на лиц (операторов персональных данных), осуществляющих свою деятельность на территории Российской Федерации, то есть распространяется как на российские компании, так и на иностранные". Обязанность по локализации персональных данных — это обязанность оператора при сборе персональных данных, в том числе в Интернете, обеспечить хранение и некоторые другие виды обработки персональных данных граждан России с использованием баз данных, находящихся на территории России (ч. 5 ст. 18 Закона о персональных данных). Как видится, логика, использованная для обоснования распространения обязанности по локализации персональных данных на иностранных лиц, может быть применена и к другим обязанностям, предусмотренным Законом о персональных данных.

В Комментарии также уточняется, что иностранные лица могут осуществлять деятельность на территории России посредством использования сайтов, направленных на территорию России. Как отмечают авторы документа, критерии направленности сайтов на территорию России пока еще только вырабатываются, но к ним можно отнести:

1) использование доменного имени, связанного с Россией (.ru, .рф, .su), и/или

2) наличие русскоязычной версии сайта, созданной владельцем сайта или по его поручению иным лицом, и/или

3) возможность исполнения на территории России заключенного на сайте договора (доставка товара, оказание услуги, пользование цифровым контентом).

Следует отметить, что данные критерии несколько отличаются от аналогичных критериев, приведенных в более ранних разъяснениях Министерства связи и массовых коммуникаций РФ[20].

Другим ориентиром при рассмотрении поставленного выше вопроса может служить дело о блокировке в России социальной сети LinkedIn. Московский городской суд не согласился с доводом ответчика, что нормы российского законодательства о персональных данных не подлежат применению к иностранной компании. Позиция суда основывалась на том, что компания LinkedIn осуществляла деятельность на территории России посредством использования сайта http://www.linkedin.com, направленного на территорию России, что подтверждалось наличием у сайта русскоязычной версии и возможностью использования на нем рекламы на русском языке[21].

Регламент также определяет действие его норм в отношении иностранных лиц. Согласно ч. 2 ст. 3 Регламента он применяется к обработке персональных данных субъектов, находящихся на территории Европейского союза, оператором, учрежденным за пределами Европейского союза, если обработка связана:

1) с предложением товаров или услуг таким субъектам персональных данных в Европейском союзе независимо от того, требуются ли при этом платежи субъектов персональных данных, или

2) с мониторингом их поведения в той мере, в которой их поведение имеет место в пределах Европейского союза.

В п. 23 преамбулы Регламента разъясняется, что оператор может считаться предлагающим товары или услуги субъектам, находящимся в Европейском союзе, если он имеет очевидное намерение предлагать товары или услуги субъектам в одной или нескольких странах Европейского союза. Простая доступность сайта оператора, его адреса электронной почты или других контактных данных в Европейском союзе либо использование языка, обычно используемого в стране оператора, не свидетельствуют об очевидности соответствующего намерения. Но на нее могут указывать предоставление возможности заказа товаров и услуг с использованием языка или валюты, обычно используемых в одной или нескольких странах Европейского союза, упоминание клиентов и пользователей из Европейского союза и другие подобные факторы.

Как поясняется в п. 24 преамбулы Регламента, обработка персональных данных может считаться мониторингом поведения субъектов, если в ее ходе отслеживается активность физических лиц в Интернете, в том числе путем создания профайлов этих лиц, например для принятия решений в их отношении или для анализа их личных предпочтений, поведения и взглядов.

Можно предположить, что закрепление в Законе о персональных данных норм о его действии в пространстве, аналогичных приведенным нормам Регламента, способствовало бы повышению определенности в вопросе о применении Закона к тем или иным лицам.

Иностранные компании, активные в России, могли бы с большей уверенностью планировать свои действия и лучше понимать, принятие каких мер от них требуется для соблюдения требований российского законодательства. При этом критерии направленности сайтов на территорию Российской Федерации, формирующиеся в правоприменительной практике и доктрине, в полной мере сочетаются с подходами, отраженными в Регламенте, и могут быть использованы для конкретизации признака предложения товаров и услуг субъектам персональных данных на территории России.

Политика обработки персональных данных

В соответствии с Законом о персональных данных оператор должен иметь документ, определяющий его политику в отношении обработки персональных данных (ч. 2 ст. 18.1). В июле 2017 г. Роскомнадзор опубликовал на своем сайте Рекомендации по составлению политики обработки персональных данных[22]. В них отмечается, что они были подготовлены в целях выработки унифицированных подходов к структуре и форме политики обработки персональных данных. Согласно им политика обработки персональных данных должна содержать обширную и детализированную информацию, включая, например, конкретные наименования и местонахождение третьих лиц, которым оператор передает обрабатываемые персональные данные.

Согласно п. "a" ч. 1 ст. 5 Регламента обработка персональных данных должна быть законной, честной и прозрачной для субъекта персональных данных (принцип законности, честности и прозрачности).

Для обеспечения прозрачности обработки персональных данных оператор обязан предоставлять субъекту определенную информацию об обработке его персональных данных при их сборе, т.е. получении от субъекта (ст. 13 Регламента) и из других источников (ст. 14 Регламента). Данная информация предоставляется субъекту в форме политики обработки персональных данных (п. 20 Рекомендаций относительно прозрачности согласно Регламенту 2016/679, подготовленных Европейской рабочей группой по вопросам персональных данных[23]).

Так, в соответствии со ст. 13 Регламента в отношении сбора персональных данных политика обработки персональных данных должна включать, в частности:

1) наименование и контактную информацию оператора;

2) контактную информацию лица, ответственного за организацию обработки персональных данных (data protection officer);

3) цели и правовое основание обработки;

4) получателей или категории получателей персональных данных;

5) информацию о намерении оператора передавать персональные данные в третьи страны и международные организации;

6) время хранения персональных данных или, если это невозможно, критерии определения этого времени;

7) прочую информацию.

Представляется, что в России необходима унификация не столько структуры и формы политики обработки персональных данных, сколько состава информации, подлежащей включению в данный документ. Это позволит компаниям тратить меньше ресурсов на подготовку политик обработки персональных данных, а уполномоченному органу и другим заинтересованным лицам — находить в таких политиках необходимую им информацию. Следовать Рекомендациям Роскомнадзора на практике трудно, поскольку они предполагают раскрытие слишком больших объемов чрезмерно детализированной информации (конкретные лица, которым передаются персональные данные, а не категории таких лиц и т.д.).

В Законе о персональных данных уже есть нормы, аналогичные по своей природе ст. 13 и 14 Регламента. Состав информации, которая должна быть предоставлена субъекту при сборе его персональных данных, определен в ч. 1 ст. 18 Закона о персональных данных, а состав информации, которая должна быть предоставлена субъекту при получении персональных данных из других источников, — в ч. 3 той же статьи. Таким образом, сведения, подлежащие включению в политики обработки персональных данных, должны определяться в соответствии с приведенными нормами Закона о персональных данных, что будет способствовать единообразию политик обработки персональных данных. Однако, подобно Рекомендациям Роскомнадзора, данные нормы предъявляют слишком жесткие требования к составу информации, подлежащей включению в политику обработки персональных данных. В связи с этим имеет смысл смягчить соответствующие положения названных норм Закона о персональных данных, взяв при этом за основу требования к информации, которую оператор обязан предоставлять субъекту персональных данных согласно ст. 13 и 14 Регламента.

Заключение

Как было показано в настоящей статье, российское законодательство о персональных данных имеет ряд недостатков, которые затрудняют исполнение его требований компаниями, занимающимися предпринимательской деятельностью на территории России. Европейский Общий регламент о защите персональных данных содержит юридические решения, которые можно использовать для совершенствования отечественного регулирования в данной сфере. Принятие соответствующих мер способствовало бы унификации российского и европейского законодательства о защите персональных данных, повышению уровня защиты прав и законных интересов субъектов персональных данных, а также развитию предпринимательской деятельности в Российской Федерации.

 

[1] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 "On the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)". URL: http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf (дата обращения: 22.02.2018).

[2] См.: Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. М., 2016. С. 580.

[3] См.: Войниканис Е.А. Право интеллектуальной собственности в цифровую эпоху: парадигма баланса и гибкости. М., 2013; СПС "КонсультантПлюс".

[4] См.: Федеральный закон "О персональных данных": Научно-практический комментарий (постатейный) / Под ред. А.А. Приезжевой. М., 2015; СПС "КонсультантПлюс".

[5] См.: Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. С. 585.

[6] См.: Там же. С. 589.

[7] См.: Arkhipov V., Naumov V. The Legal Definition of Personal Data in the Regulatory Environment of the Russian Federation: Between Formal Certainty and Technological Development // Computer Law & Security Review. 2016. No. 32. P. 872, 877, 883, 886.

[8] Савельев А.И. Проблемы применения законодательства о персональных данных в эпоху "Больших данных" (Big Data) // Право. Журнал Высшей школы экономики. 2015. N 1. С. 52.

[9] См.: Article 29 Data Protection Working Party. Opinion 4/2007 on the concept of personal data URL: https://www.clinicalstudydatarequest.com/Documents/Privacy-European-guidance.pdf (дата обращения: 16.03.2018).

[10] Ibid. P. 9 — 12.

[11] См.: Савельев А.И. Проблемы применения законодательства о персональных данных в эпоху "Больших данных" (Big Data). С. 52.

[12] Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. С. 584.

[13] См.: Федеральный закон "О персональных данных": Научно-практический комментарий (постатейный).

[14] Article 29 Data Protection Working Party. Guidelines on Consent under Regulation 2016/679. P. 18 — 19. URL: http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=50053 (дата обращения: 15.03.2018).

[15] См.: Савельев А.И. Проблемы применения законодательства о персональных данных в эпоху "Больших данных" (Big Data). С. 58.

[16] Article 29 Data Protection Working Party. Statement on Statement of the WP29 on the impact of the development of big data on the protection of individuals with regard to the processing of their personal data in the EU. P. 2. URL: http://collections.internetmemory.org/haeu/20171122154227/; http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp221_en.pdf (дата обращения: 16.03.2018).

[17] Article 29 Data Protection Working Party. Guidelines on Consent under Regulation 2016/679. P. 4. URL: http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=50053 (дата обращения: 15.03.2018).

[18] См.: Федеральный закон "О персональных данных": Научно-практический комментарий (постатейный).

[19] См.: https://pd.rkn.gov.ru/operators-registry/operators-list/ (дата обращения: 26.02.2018).

[20] Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 г. URL: http://minsvyaz.ru/ru/personaldata/ (дата обращения: 22.02.2018).

[21] Апелляционное определение Московского городского суда от 10.11.2016 по делу N 33-38783/16.

[22] Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных". URL: http://rkn.gov.ru/personal-data/p908/ (дата обращения: 26.02.2018).

[23] См.: Article 29 Data Protection Working Party. Guidelines on transparency under Regulation 2016/679. P. 12 — 13. URL: http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=50057 (дата обращения: 16.03.2018).


Рекомендуется Вам: