bannerbannerbanner
Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»

А. И. Савельев
Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»

Полная версия

2.5. Принимая во внимание вышеизложенные соображения, можно предположить, что под обработку персональных данных для личных и семейных нужд будут подпадать организация и использование списка контактов в телефонах или коммуникационных сервисах; хранение писем, содержащих персональные данные на компьютерных устройствах, и т.п. При этом, как представляется, использование чужих визитных карточек не подпадает под данное исключение, поскольку, с одной стороны, обычно сопряжено с профессиональной деятельностью субъекта персональных данных, а с другой – не охватывается понятием автоматизированной обработки или обработки без использования средств автоматизации и тем самым выпадает из-под действия Закона о персональных данных в силу ч. 1 комментируемой статьи, а не ее п. 1 ч. 2.

2.6. Согласно п. 2 ч. 2 настоящей статьи действие Закона о персональных данных не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации. Данное положение корреспондирует ч. 3 ст. 4 Закона об информации, согласно которой порядок хранения и использования включенной в состав архивных фондов документированной информации устанавливается законодательством об архивном деле в Российской Федерации.

В число актов указанной отрасли законодательства входят Федеральный закон от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации» (далее – Закон об архивном деле) и принятые в соответствии с ним подзаконные нормативные правовые акты, законы и иные нормативные правовые акты субъектов Российской Федерации. Субсидиарное применение законодательства о персональных данных к рассматриваемым отношениям не предусмотрено, информационному законодательству, в отличие от гражданского законодательства, не известно понятие применения закона по аналогии при наличии пробела в регулировании.

В соответствии со ст. 3 Закона об архивном деле под архивным делом понимается деятельность государственных органов, органов местного самоуправления, организаций и граждан в сфере организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов. При этом под архивным документом понимается материальный носитель с зафиксированной на нем информацией, который имеет реквизиты, позволяющие его идентифицировать, и подлежит хранению в силу значимости указанных носителя и информации для граждан, общества и государства.

Разновидностью архивных документов являются так называемые документы по личному составу, которые отражают содержание трудовых отношений работника и работодателя. Государственные органы, органы местного самоуправления, организации и индивидуальные предприниматели обязаны обеспечивать сохранность архивных документов, в том числе документов по личному составу, в течение сроков их хранения: для документов по личному составу, созданных до 2003 г., – не менее 75 лет с момента создания; для документов, созданных после 2003 г., – не менее 50 лет с момента создания12. В отношении иных документов необходимо руководствоваться специальными перечнями13.

Неприменение закона к отношениям по обработке персональных данных при организации хранения, комплектования, учета и использования архивных документов не означает, что право граждан на частную жизнь никак не учитывается. В данном случае применяется специальная норма ч. 3 ст. 25 Закона об архивном деле, согласно которой существует ограничение на доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности. Данное ограничение устанавливается на срок 75 лет со дня создания указанных документов. С письменного разрешения гражданина, а после его смерти – с письменного разрешения наследников этого гражданина ограничение на доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, может быть отменено ранее чем через 75 лет со дня создания указанных документов.

Оценивая данное исключение из сферы действия Закона о персональных данных, нельзя не отметить его достаточно спорный характер. Оно не упоминается в Законе о ратификации Конвенции 1981 г., отсутствуют схожие положения и в общеевропейском законодательстве. Напротив, Регламент 2016 г. прямо упоминает архивные цели в качестве возможных целей обработки персональных данных (п. 73, 153 Преамбулы и другие положения). Вряд ли данное изъятие можно объяснить отсутствием в законодательстве об архивной деятельности понятия «электронный архив», в связи с чем оно не может регулировать автоматизированную обработку данных14, поскольку законодательство о персональных данных распространяется в том числе и на обработку персональных данных без средств автоматизации, поэтому отсутствие понятия «электронный архив» не может само по себе препятствовать его применению. По всей видимости, включение данного положения было продиктовано желанием сохранить сложившееся регулирование в области архивного дела и не инициировать глубокую его переработку в связи с появлением нового пласта регулирования. Однако попадание в сферу архивного законодательства документов, создаваемых в процессе отношений, которые при прочих равных условиях относятся к «компетенции» законодательства о персональных данных, например, документов, содержащих сведения о трудовых правоотношениях («документов по личному составу»), может повлечь правовые коллизии и правоприменительные ошибки. Куда более логичным было бы введение отношений по обработке персональных данных в архивной деятельности в общую орбиту законодательства о персональных данных с установлением ряда специальных норм, учитывающих особенности данной сферы.

2.7. Еще одним исключением из сферы действия Закона о персональных данных являются отношения по обработке персональных данных, составляющих государственную тайну, т.е. защищаемых государством сведений в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Данное исключение было предусмотрено в оговорке, сделанной при ратификации Конвенции 1981 г., о неприменении ее положений к определенным категориям автоматизированных данных15, в связи с чем это исключение не противоречит международным обязательствам Российской Федерации. Порядок отнесения сведений к государственной тайне и их правовой режим устанавливаются Законом РФ от 21 июля 1993 г. № 5485-I «О государственной тайне».

2.8. Четвертым и последним изъятием из сферы действия Закона о персональных данных являются отношения, связанные с предоставлением уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 г. № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации». Данное исключение связано с действием принципа гласности судопроизводства. Однако его практическая реализация обладает спецификой в зависимости от типа суда, который вынес судебный акт.

Так, тексты судебных актов, принятых арбитражными судами, Конституционным Судом РФ и конституционными судами субъектов РФ, по общему правилу размещаются в сети «Интернет» в полном объеме.

Как отметил Высший Арбитражный Суд РФ, опубликование судебных актов, содержащих персональные данные лиц, участвующих в производстве по делу об административном правонарушении, не может само по себе рассматриваться как наносящее ущерб безопасности таких лиц, членов их семей, их близких, а также их чести и достоинству. При этом содержание персональных данных в судебных актах арбитражных судов не препятствует их размещению в сети «Интернет» в полном объеме. В случае необходимости сохранения коммерческой или иной охраняемой законом тайны разбирательство дел об административных правонарушениях осуществляется в закрытом судебном заседании при удовлетворении судом соответствующего ходатайства лица, участвующего в деле16.

 

При размещении в сети «Интернет» текстов судебных актов, прирнятых судами общей юрисдикции, по общему правилу в целях обеспечения безопасности участников судебного процесса из указанных актов исключаются персональные данные, кроме фамилий и инициалов истца, ответчика, третьего лица, гражданского истца, гражданского ответчика, осужденного, оправданного либо лица, в отношении которого ведется производство по делу об административном правонарушении, секретаря судебного заседания, рассматривавших (рассматривавшего) дело судей (судьи), а также прокурора, адвоката и представителя, если они участвовали в судебном разбирательстве. Вместо исключенных персональных данных используются инициалы, псевдонимы или другие обозначения, не позволяющие идентифицировать участников судебного процесса (ч. 3 ст. 15 Федерального закона от 22 декабря 2008 г. № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации»). При этом некоторые судебные решения в целях защиты прав граждан на неприкосновенность частной жизни, личной и семейной тайны , их чести и деловой репутации не подлежат публикации в сети «Интернет» (например, решения по делам, возникающим из семейно-правовых отношений, в том числе по делам об усыновлении (удочерении) ребенка, другим делам, затрагивающим права и законные интересы несовершеннолетних; по делам о преступлениях против половой неприкосновенности и половой свободы личности; об ограничении дееспособности гражданина или о признании его недееспособным; о принудительной госпитализации гражданина в психиатрический стационар и принудительном психиатрическом освидетельствовании; о внесении исправлений или изменений в запись актов гражданского состояния). Правда, следует отметить, что на практике опубликованные в сети «Интернет» судебные решения обычно не содержат фамилий и инициалов участников процесса вопреки требованиям ч. 5 ст. 15 вышеуказанного Закона. Во многом это связано с тем, что перед публикацией судебные акты проходят процедуру деперсонификации в автоматизированном режиме с использованием соответствующего модуля сопряжения подсистемы «Интернет-портал» с базой данных подсистемы «Банк судебных решений (судебная практика)» ГАС «Правосудие»17.

3. Обратимся к сфере действия Закона о персональных данных в пространстве. Как отмечалось ранее, ни комментируемая статья, ни иные положения Закона о персональных данных не содержат каких-либо положений, регламентирующих данный вопрос. В то же время ясное представление понимание сферы применения законодательства о персональных данных по территории и кругу лиц является необходимым условием обеспечения правовой определенности для всех участников отношений, регулируемых законодательством о персональных данных: субъектов персональных данных, использующих интернет-ресурсы в своей повседневной деятельности; операторов персональных данных, использующих инструментарий сети «Интернет» для осуществления своей деятельности; уполномоченных органов по контролю и надзору за соблюдением законодательства о персональных данных. В этой связи необходимо отметить следующее.

3.1. Гражданство или местожительства субъекта персональных данных, сведения о котором обрабатываются, не имеют значения при решении вопроса о применимости российского законодательства о персональных данных. Такой подход соответствует целям Конвенции 1981 г., которая согласно ст. 1 «состоит в обеспечении на территории каждой Стороны для каждого физического лица, независимо от его гражданства или местожительства, уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в отношении автоматизированной обработки касающихся его персональных данных» (курсив мой. – А.С.).

3.2. Требования Закона о персональных данных распространяются на лиц, осуществляющих обработку персональных данных, которые являются гражданами РФ и юридическими лицами, созданными по законодательству РФ, в силу того, что юрисдикция Российской Федерации по общему правилу распространяется на всех граждан государства, безотносительно к их фактическому местоположению (так называемая личная юрисдикция)18. Кроме того, поскольку понятия физического и юридического лица, упомянутые в комментируемой статье, включают в себя, так как прямо не указано иное, и иностранных лиц, которым в соответствии со ст. 2 ГК РФ предоставляется национальный режим, можно сделать вывод, что Закон о персональных данных может распространяться и на иностранных физических и юридических лиц, на официальном сайте суда общей юрисдикции, утв. Постановлением Президиума Совета судей РФ от 27 января 2011 г. № 253.

осуществляющих обработку персональных данных. Если иностранное лицо физически присутствует на территории России в форме представительства или иного обособленного подразделения, то это является достаточным условием для распространения на него положений российского законодательства, как минимум, в части деятельности, осуществляемой через такое обособленное подразделение, и соответственно обработки персональных данных, производимой в связи с деятельностью, осуществляемой посредством такого обособленного подразделения. Если лицо, обрабатывающее персональные данные, не имеет физического присутствия на территории России, Закон о персональных данных может применяться к нему в случае установления факта «виртуального» его присутствия на территории Российской Федерации.

Концепция «виртуального» присутствия связана с осуществлением лицом деятельности в информационно-телекоммуникационной сети «Интернет», которая в силу своего трансграничного, децентрализованного и виртуального характера не позволяет четко обозначить географические границы осуществления такой деятельности. Одной лишь доступности интернет-сайта на территории Российской Федерации недостаточно для вывода, что на него распространяется законодательство Российской Федерации, в том числе о персональных данных, поскольку в таком случае сфера его применения носила бы по существу всемирный характер и делала бы практически невозможным контроль за исполнением им российского законодательства.

Принимая во внимание указанные обстоятельства, Минкомсвязи России конкретизировало условия, при наличии которых Закон о персональных данных распространяется на иностранных лиц19. В их основе лежит критерий направленности деятельности, который используется в международном частном праве, а также в европейской практике20. Так, согласно ст. 1212 ГК РФ выбор права, подлежащего применению к договору, стороной которого является потребитель, не может повлечь за собой лишение такого лица защиты его прав, предоставляемой императивными нормами права страны места жительства потребителя, если контрагент потребителя любыми способами направляет свою деятельность на территорию этой страны. Кроме того, критерий направленности деятельности получил отражение и в информационном законодательстве применительно к «праву быть забытым». В соответствии со ст. 10.3 Закона об информации соответствующие обязанности по удалению ссылок на информацию о заявителе возлагаются на операторов поисковых систем, которые распространяют в сети «Интернет» «рекламу, которая направлена на привлечение внимания потребителей, находящихся на территории Российской Федерации».

Для определения направленности деятельности в указанных разъяснениях выделены два базовых и ряд дополнительных факторов (критериев), которые были подготовлены с учетом европейского опыта толкования положений о направленной деятельности (Joined cases: Peter Pammer v. Reederei Karl Schlüter GmbH & Co. KG (C-585/08) and Hotel Alpenhof GesmbH v. Oliver Heller (C-144/09), 7 December 2010).

Базовые критерии

1) Использование географического доменного имени, связанного с РФ (.ru, .рф., .su) или ее отдельными регионами (например., .moscow, .москва).

Данный критерий основан на презумпции, согласно которой регистрация и фактическое использование доменного имени в указанных зонах являются проявлением намерения владельца интернет-ресурса осуществлять свою деятельность «с прицелом» на Россию, что обусловлено сильной географической привязкой данных доменов к ее территории. В качестве исключения можно рассматривать регистрацию доменного имени без его последующего фактического использования, когда такая регистрация осуществляется в защитных целях для предотвращения захвата такого доменного имени конкурентами или киберсквоттерами.

Схожий критерий применения российского законодательства в сети «Интернет» используется Федеральной антимонопольной службой РФ для определения сферы применения в сети «Интернет» законодательства о рекламе21. Наличие зарегистрированного доменного имени в зоне «.ru» признается достаточным для установления юрисдикции российских судов и в отечественной судебно-арбитражной практике (см., например, Постановление Суда по интеллектуальным правам от 2 октября 2014 г. № С01-856/2014 по делу № А40-102183/2013, в котором говорится: «Поскольку доменное имя, о запрете администрирования которого ответчиком просит истец, зарегистрировано в доменной зоне «.ru», рассматриваемый спор относится к компетенции арбитражных судов Российской Федерации»).

Критерий использования географического доменного имени, связанного с территорией России, носит самодостаточный характер и может применяться вне зависимости от наличия иных критериев. В частности, данному критерию будет удовлетворять использование такого доменного имени для целей переадресации на иной интернет-ресурс, который может располагаться под функциональным доменом типа «.com». Например, в случае использования доменного имени «abc. ru», с которого осуществляется переадресация на «abc.com».

2) Наличие русскоязычной версии интернет-ресурса (в совокупности с одним из вторичных критериев, указанных ниже).

 

Использование русского языка на интернет-ресурсе является сильным аргументом в пользу присутствия направленности деятельности такого сайта на территорию РФ безотносительно к его доменному имени (т.е. данный критерий применим и к случаям, когда интернет-сайт использует функциональный домен типа .com, .org). При этом во внимание должна приниматься именно целенаправленная локализация интернет-сайта, осуществленная самим владельцем или иным привлеченным им лицом, применение систем автоматического перевода не должно приниматься во внимание. Однако необходимо учитывать, что использование русского языка во многих, но не во всех случаях свидетельствует о направленности на территорию РФ. Например, если из содержания сайта очевидно, что в качестве целевой аудитории могут выступать граждане Белоруссии, Казахстана, русскоязычное население Европы, Канады или других стран. В этой связи базовый критерий использования русского языка подлежит применению при наличии как минимум одного из дополнительных (вторичных) критериев.

Вторичные критерии

1) возможность заключения и исполнения договора с российским резидентом, в частности, осуществление доставки товара или цифрового контента на территорию России;

2) возможность осуществления расчетов в российских рублях;

3) использование контекстной или баннерной рекламы на русском языке, включающей ссылку на соответствующий интернет-ресурс;

4) иные обстоятельства, которые явно свидетельствуют о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию. Например, к ним может быть отнесено наличие на интернет-ресурсе способов обратной связи, касающихся территории РФ, например, номера телефона, на который можно бесплатно позвонить с территории России (общефедерального бесплатного номера (8-800…), или телефона с кодом российского города. Факты приобретения владельцем интернет-сайта соответствующих услуг связи, готовность оформлять документацию с отечественным оператором связи и нести расходы по оплате услуг, подобных использованию номера 8-800… и т.д., говорят о высокой заинтересованности владельца в российских потребителях.

Следует отметить, что схожие по существу критерии направленности деятельности также приведены в комментариях, размещенных на официальном сайте Роскомнадзора22.

3.3. Вышеуказанные критерии были применены на практике при рассмотрении спора о внесении интернет-сайта социальной сети LinkedIn в Реестр нарушителей прав субъектов персональных данных и блокировании доступа к нему на территории РФ в связи с нарушением обязанности по локализации отдельных процессов обработки персональных данных в соответствии с ч. 5 ст. 18 Закона о персональных данных (см. комментарий к ней). Удовлетворяя указанное требование, суд указал на то, что «о направленности интернет-сайта www.linkedin.com на территорию РФ свидетельствует наличие русскоязычной версии интернет-сайта. При этом интернет-сайт допускает возможность использования рекламы на русском языке, что дополнительно свидетельствует о включении российской аудитории в сферу бизнес-интересов владельца сайта» (Определение Московского городского суда от 10 ноября 2016 г. по делу № 33-38783/2016). Как видно, суд руководствовался вторым базовым критерием в совокупности с дополнительным критерием в виде наличия рекламы на русском языке. К этому следует добавить, что пользовательские соглашения указанного сервиса были доступны и на русском языке, а также что наличие факта использования географического доменного имени «linkedin.ru», с которого осуществлялась переадресация на сайт «linkedin.com», позволяло говорить о применении и первого базового критерия направленности деятельности на территорию России.

3.4. Критерий направленной деятельности как условие распространения законодательства о персональных данных на иностранное лицо, не имеющее присутствия на территории страны ‒ члена Европейского Союза, пришел на смену критерию местонахождения оборудования, содержащемуся в ст. 4 (1) Директивы 1995 г.23, и был имплементирован в европейское законодательство Регламентом 2016 г., в соответствии со ст. 3 (2) которого указанный Регламент распространяется на процессы обработки персональных данных, связанные c:

a) предложением товаров или услуг безотносительно к наличию встречной обязанности по их оплате лицам, проживающим на территории Европейского Союза, или b) мониторингом поведения таких лиц в той мере, в какой такое поведение имеет место на территории Европейского Союза (этот критерий касается различного рода интернет-сервисов, которые осуществляют сбор пользовательских данных в целях их последующего использования для предоставления таргетированной рекламы).

Таким образом, европейское законодательство о персональных данных приобретает в значительной степени экстерриториальный характер, в связи с чем в литературе отмечается, что единственным легальным способом не соблюдать положения Регламента 2016 г. является решение о неведении бизнеса в странах Европейского Союза24.

Из всего сказанного следует, что российский подход к определению территориальной сферы действия Закона о персональных данных находится в русле развития европейского законодательства и отражает специфику регулирования юрисдикционных аспектов отношений в сети «Интернет». Остается выразить надежду, что он рано или поздно перерастет рамки разъяснений правоприменительных органов, данных по результатам систематического толкования иных законодательных положений и доктрины, и будет формализован на уровне закона.

12См. ст. 22.1 Закона об архивном деле.
13См. приказы Минкультуры России от 25 августа 2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»; от 31 июля 2007 г. № 1182 «Об утверждении Перечня типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения».
14Указанная точка зрения высказана представителями Роскомнадзора. См.: Федеральный закон «О персональных данных»: Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 10.
15См. п. «б» ст. 1 Федерального закона от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
16См. п. 17 постановления Пленума ВАС РФ от 8 октября 2012 г. № 61 «Об обеспечении гласности в арбитражном процессе».
17См.: Регламент организации размещения сведений о находящихся в суде делах и текстов судебных актов в информационно-телекоммуникационной сети «Интернет»
18Международное право: Учебник / Б.М. Ашавский, М.М. Бирюков, В.Д. Бордунов и др.; отв. ред. С.А. Егоров. М.: Статут, 2015.
19http://minsvyaz.ru/ru/personaldata/
20См. ст. 3 (2) Регламента 2016 г.; ст. 15(1)(с) Регламента ЕС № 44/2001 от 22 декабря 2000 г. «О юрисдикции, признании и исполнении судебных решений по гражданским и торговым делам»; ст. 6 Регламента EC № 593/2008 от 17 июня 2008 г. «О праве, применимом к договорным отношениям».
21Письмо ФАС России от 3 августа 2012 г. № АК/24981 «О рекламе алкогольной продукции в Интернете и печатных СМИ»
22См.: Комментарий к Федеральному закону от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». C. 15. URL: https://pd.rkn.gov.ru/library/p195/. К сожалению, этот документ не содержит указания на авторов данного комментария.
23В соответствии со ст. 4 (1)(с) Директивы 1995 г. государство − участник ЕС применяет свое национальное законодательство о персональных данных, если «оператор учрежден не на территории ЕС и в целях обработки персональных данных использует оборудование, расположенное на территории такого государства − участника ЕС (если только такое оборудование не используется исключительно для целей транзита по территории Сообщества)». Данный подход был признан неудовлетворительным, поскольку: 1) достаточно много споров вызывает понятие «оборудование»; 2) распространение облачных сервисов со свойственным им динамическим распределением вычислительных мощностей в зависимости от конкретных потребностей заказчика и распределенным хранением данных в различных дата-центрах вызывает существенные трудности в применении этого критерия; 3) он создает условия для обхода обременительных требований Европейского Союза посредством искусственного подчинения правоотношения правопорядку другого государства, на территории которого находятся соответствующие мощности. См.: Opinion 8/2010 On Applicable Law. Article 29 Data Protection Working Party. 16 December 2010.
24Calder Alan. EU General Data Protection Regulation (GDPR) аn Implementation and Compliance Guide. IT Governance Publishing. 2016. Kindle Edition (Kindle Locations 3-5).
1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17  18  19  20  21  22  23  24  25  26 
Рейтинг@Mail.ru