Лого vc.ru

Окно в Европу: закон о хранении персональных данных глазами юриста

Окно в Европу: закон о хранении персональных данных глазами юриста

Николай Бегер из юридической компании Ask&Win написал для ЦП колонку о новом законопроекте о хранении персональных данных, объясняя, как российские законодатели пытаются перенять европейский подход.

Поделиться

В настоящее время законопроект № 553424-6 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (далее по тексту — Законопроект), прошедший три чтения Государственной Думы и одобренный Советом Федерации, направлен президенту РФ и ожидает своего подписания главой государства.

Подписание данного федерального закона или отправка на доработку в нижнюю палату Федерального Собрания РФ (наложение на него вето) — вопрос времени: 14 дней с момента направления его президенту РФ. Содержание данного законопроекта вызывает естественный резонанс в обществе: речь идет о российском сегменте интернета, а именно о том, как в дальнейшем будут складываться взаимотношения российских пользователей с иностранными интернет-сервисами (или с сервисами не иностранными, но размещающими базы данных на территории иностранного государства), и будут ли складываться вообще.

Обоснование необходимости закона: критический взгляд

По общему правилу, при подаче законопроекта к нему прикладывается пояснительная записка, в которой обосновывается целесообразность его принятия. Здесь можно выделить несколько основных причин внесения:

  1. Совершенствование института обработки персональных данных граждан РФ в информационно-коммуникационных сетях;
  2. Приведение законодательства в соответствии с практикой Европейского суда по правам человека.

Первая причина не будет рассматриваться, так как под совершенствованием можно понимать любое изменение законодательства. Насколько это соответствует действительности, покажет только практика применения.

Вторая причина представляется более интересной для анализа: так, пояснительная записка содержит отсылку на решение Европейского суда по правам человека (далее — ЕСПЧ), принятое 13 мая 2014 года. Там также приведена цитата из него про поисковые интернет-сервисы:

Поисковые интернет-сервисы должны принимать во внимание просьбы физических лиц об удалении открыто размещенной информации с упоминанием их имени из поисковых результатов. При этом ИТ-компании, владеющие поисковыми системами в сети «Интернет», обязаны нести ответственность за распространение персональных данных пользователей, опубликованных на сайтах третьих лиц.

На самом деле, это решение о «праве быть забытым» № C-131/12 Европейского суда справедливости (далее — ЕСС), который является судебным органом Европейского Союза. Его решения относятся к России настолько, насколько та является членом Европейского Союза.

Европейский суд по правам человека, чьи решения для Российской Федерации обязательны, использует в своих актах решения Европейского Суда Справедливости в качестве оценки существующего уровня регулирования вопросов. Обратившись к практике ЕСПЧ в отношении России, можно найти решение по делу Константина Маркина против России от 22/03/2012 (жалоба 30078/06), где использована практика ЕСС для оценки Европейской конвенции по правам человека 1950 года в свете сегодняшнего дня.

Поэтому есть все основания полагать, что при теоретической защите своих прав ИТ-компаниями в ЕСПЧ, последний может применить доктрину сегодняшнего дня и принять во внимание данное решение и отказать последним в удовлетворении. Целесообразность данного законопроекта обусловлена принятием решения Европейского Суда Справедливости, смысл которого в реализации права быть забытым: возможности обратиться к интернет-компании с просьбой об удалении данных из поисковой системы. Данный Законопроект, по всей вероятности, преследует те же цели и таким образом соответствует современному пониманию прав человека.

Расположение баз данных на территории России

Что относить к персональным данным, было рассмотрено на ЦП ранее. Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Рассматриваемое решение Европейского Суда Справедливости не содержит такого требования. Скорее всего, это сделано для дополнительной защиты персональных данных граждан РФ, обеспечивать которую последние готовы путем проведения проверок компетентных государственных органов.

В рамках настоящего Законопроекта предусматривается возложение следующих дополнительных обязанностей на обладателя информации, оператора информационной системы (далее — ИТ-компании):

  1. Обеспечить нахождение баз данных информации на территории РФ, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации;
  2. Использование баз данных с указанными ранее целями обработки персональных данных за исключением следующих случаев:
    • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (пункт 2 части 1 статьи 6 Федерального закона № 152-ФЗ «О защите персональных данных»);
    • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта) (пункт 3 части 1 статьи 6 Федерального закона № 152-ФЗ «О защите персональных данных»);
    • обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг (пункт 4 части 1 статьи 6 Федерального закона № 152-ФЗ «О защите персональных данных»);
    • обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных (пункт 8 части 1 статьи 6 Федерального закона № 152-ФЗ «О защите персональных данных»);
  3. Уведомление уполномоченного федерального органа о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.

Возложение подобных требований на ИТ-компании порождает проблему обеспечения идентификации граждан РФ. Вопрос принадлежности гражданина к той или иной стране в соответствии с российским действующим законодательством определяется, например, на основании паспорта гражданина РФ, дипломатического паспорта, служебного паспорта. Отсюда видится пять выходов:

  1. Включить идентификацию по паспортным данным всех пользователей;
  2. Использовать усредненные показатели принадлежности к гражданству (например, российский IP, сайт в доменной зоне .RU или .РФ, российский номер телефона, GPS-данные);
  3. Отказаться от российских пользователей;
  4. Расположить все свои сервера на территории РФ;
  5. Игнорировать предписания Роскомнадзора и быть блокированным на территории РФ.

Отдельно хотелось бы уделить внимание институту гарантий и заверений, широко используемому в иностранном праве, которому подчинены некоторые пользовательские соглашения интернет-сервисов. Данный институт представляет собой некие утверждения, которые не требуют проверки: например, о предмете сделки, о сторонах. Нарушение таких гарантий и заверений повлечет требование о возмещении ущерба.

Иными словами, если при регистрации или перерегистрации в определённом интернет-сервисе вы указываете, что не являетесь гражданином РФ, а потом выясняется обратное, то погашение убытков может быть возложено на вас. Юридически такой путь видится выгодным в случаях применения иностранного права к пользовательским соглашениям: он снимает вопросы излишней идентификации и перераспределяет ответственность за недобросовестность на пользователя. Другое дело, насколько ИТ-компаниям это нужно, и готовы ли они заниматься этим юридическим структурированием.

Порядок блокировки интернет-сервисов

В случае нарушения данных положений, а также иных положений законодательства о защите персональных данных, законопроектом предусматривается введение специального порядка обращения исключительно субъекта персональных данных (лица, чьи персональные данные используются) в федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи (Роскомнадзор), а также правила ведения Реестра нарушителей прав субъектов персональных данных.

Обращение в данный орган возможно только после получения судебного решения субъектом персональных данных о нарушении законодательства. На основании этого судебного решения Роскомнадзор вносит нарушителя в Реестр, отправляет провайдеру хостинга уведомление о нарушении законодательства на английском и русском языках. На основании этого уведомления провайдер хостинга предлагает устранить существующие нарушения владельцу информационного ресурса, в противном случае — в течение трех рабочих дней ограничить доступ к информационному ресурсу. В случае неисполнения этого провайдерами хостинга, Роскомнадзор обращается к операторам связи для принятия мер по ограничению доступа к данному информационному ресурсу, в том числе к сетевому адресу, доменному имени, указателю страниц сайта в сети «Интернет». После устранения нарушения, лицо исключается из такого реестра, а его страница подлежит разблокировке (снятию установленного ограничения).

Деятельность уполномоченных органов по данным основаниям по блокировке не конкретизирована. Прежде всего, стоит указать на наличие административной ответственности за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), установленной статьей 13.11 Кодекса Российской Федерации об административных правонарушениях, предусматривающая предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Неоднозначным вопросом является ограничение доступа к ресурсу в случае обнаружения нарушения в порядке надзора государственным органом. Здесь, скорее всего, тоже потребуется судебный акт как основание внесения в реестр, а, соответственно, и блокировки.

Однако в настоящее время на основании Федеральных законов № 152-ФЗ «О защите персональных данных» и № 149-ФЗ «Об информации, информационных технологиях и о защите информации» можно как самостоятельно, так и посредством обращения в Роскомнадзор добиться блокировки распространения персональных данных лица (например, в порядке статьи 21 Федерального закона № 152-ФЗ «О защите персональных данных»).

Проблемы, решаемые в процессе принятия

Профильный Комитет Государственный Думы (Комитет Государственной Думы по информационной политике, информационным технологиям и связи) не нашел оснований для непринятия данного законопроекта. Однако соисполняющий Комитет Государственной Думы по конституционному законодательству и государственному строительству указал, весьма обоснованно, на следующие недостатки первоначального текста:

  1. Отсутствие пояснений по вопросу местонахождения базы данных (Законопроект обходит этот вопрос стороной);
  2. Неопределенность в отношении категорий операторов и баз данных;
  3. Регулирование отношений, связанных с трансграничной передачей персональных данных (Дополнительный протокол к Конвенции Совета Европы о защите прав физических лиц при автоматизированной обработке их персональных данных, статья 12 Федерального закона «О персональных данных»).

Итак, первый вопрос был решен путем указания на базы данных, расположенных на территории РФ, второй — проигнорирован. Третий вопрос действительно является интересным и не нашел своего отражения в финальной версии Законопроекта. Так, Глава III Конвенции Совета Европы о защите прав физических лиц при автоматизированной обработке их персональных данных содержит в себе положения, которые запрещают ограничивать трансграничные потоки с целью защиты частной жизни.

Исключение из этого правила возможно в той степени, в какой внутреннее законодательство (то есть законодательство Российской Федерации) включает специальные правила в отношении определенных категорий персональных данных или автоматизированных баз персональных данных в силу характера этих данных или этих файлов, за исключением случаев, когда нормы другой Стороны предусматривают такую же защиту. Дополнительным протоколом же к этой конвенции предусмотрено, что специальные надзорные органы, созданные в Сторонах к конвенции, рассматривают нарушения положений Конвенции по вопросам трансграничной передачи.

Данные положения конкретизированы в ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». Более того, указанный Дополнительный Протокол предусматривает передачу персональных данных, без специальной процедуры, также на территорию страны, не являющейся Стороной к Конвенции. Так, специальным Приказом Роскомнадзора от 15.03.2013 N 274 установлен перечень стран, в которых обеспечен должный уровень защиты персональных данных — в него не входит США, зато входит, например, Мексика, Канада, Перу и Сенегал.

Если подоплека действительно в приведении к стандартам европейского законодательства, то возникает несколько вопросов: чем российские специальные правила будут лучше? Если проанализировать, то состав Совета Европы и Евросоюза практически идентичен, что ставит нецелесообразность применения таких правил как минимум к странам Евросоюза, где теперь есть «право быть забытым».

В таком случае, руководство исключительно интересами частной жизни граждан видится противоречащим Конвенции. Необходимо отметить, что предлагаемое регулирование мало того, что не соответствует позиции Европейского Суда Справедливости, но и дублирует уже имеющееся регулирование в данной сфере. Перевод баз данных на территорию Российской Федерации, а также вопрос идентификации российских граждан в сети вызывает много вопросов, и не ясно как всё это будет реализовано и будет ли иметь положительный эффект. Более того, такой подход представляется несогласующимся с требованиями трансграничной передачи данных.

Статьи по теме
Законопроект о персональных данных: что изменится в 2016 году08 июля 2014, 13:25
Что думает рынок о принятом запрете на хранение данных россиян за рубежом04 июля 2014, 18:24
Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

Ну как бы хорошая (но весьма сложная для понимания из-за многочисленных юридических формулировок) попытка успокоить народ на предмет этого закона.
Однако суть можно короче изложить и она не поменялась: Усиление контроля власти над относительно самостоятельным (пока еще) источником информации и коммуникации граждан.

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Maxim Ro
TSUM Moscow

Константин, пока вы не оплатили ипотеку это не ваш дом, он в залоге у банка. Какая у вас ставка по кредиту, если не секрет?

«Никому не выгодно, чтобы у вас скапливались деньги»
0
Maxim Ro
TSUM Moscow

Максим, а какая у вас ставка кредита по ипотеке?

«Никому не выгодно, чтобы у вас скапливались деньги»
0
Рустем Богданов
Scade

"Второй путь — это когда мы понимаем, куда нужно развивать продукт, чтобы он был актуальным через 2-3-5 лет и подстраиваем дизайн под потребности наших пользователей."

Кейс из России: Зачем команда «Альфа-Мобайл​» меняет дизайн своего приложения
0
Ваня Мищ

Ему бы новые сезоны "чёрного зеркала" писать

«Боты станут умнее, а вы потеряете свою работу»
0
Mr_Milken

Уже есть бот рандомно-предсказатель? Срочно нужно заменить этого чувака, он мне не нравиться.

«Боты станут умнее, а вы потеряете свою работу»
0
Показать еще