Вікно в Європу: закон про зберігання персональних даних очима юриста

1. Обгрунтування необхідності закону: критичний погляд
2. Розташування баз даних на території Росії
3. Порядок блокування інтернет-сервісів
4. Проблеми, які вирішуються в процесі прийняття

В даний час законопроект № 553424-6 «Про внесення змін до окремих законодавчих актів Російської Федерації в частині уточнення порядку обробки персональних даних в інформаційно-телекомунікаційних мережах» (далі по тексту - Законопроект), який пройшов три читання Державної Думи і схвалений Радою Федерації, спрямований президенту РФ і чекає свого підписання главою держави .

Підписання даного федерального закону або відправка на доопрацювання в нижню палату Федеральних Зборів РФ (накладення на нього вето) - питання часу: 14 днів з моменту направлення його президентові РФ. Зміст даного законопроекту викликає природний резонанс в суспільстві: мова йде про російському сегменті інтернету, а саме про те, як надалі будуть складатися взаємини російських користувачів з іноземними інтернет-сервісами (або з сервісу не іноземними, але розміщують бази даних на території іноземної держави), і чи будуть складатися взагалі .

Обгрунтування необхідності закону: критичний погляд

За загальним правилом, при подачі законопроекту до нього додається пояснювальна записка, в якій обґрунтовується доцільність його прийняття. Тут можна виділити кілька основних причин внесення:

1. Удосконалення інституту обробки персональних даних громадян РФ в інформаційно-комунікаційних мережах;
2. Приведення законодавства у відповідність до практики Європейського суду з прав людини.

Перша причина не буде розглядатися, так як під вдосконаленням можна розуміти будь-яка зміна законодавства. Наскільки це відповідає дійсності, покаже тільки практика застосування.

Друга причина видається більш цікавою для аналізу: так, пояснювальна записка містить відсилання на рішення Європейського суду з прав людини (далі - ЄСПЛ), ухвалене 13 травня 2014 року. Там також наведено цитату з нього про пошукові інтернет-сервіси:

Пошукові інтернет-сервіси повинні брати до уваги прохання фізичних осіб про видалення відкрито розміщеної інформації зі згадуванням їх імені з пошукових результатів. При цьому ІТ-компанії, які володіють пошуковими системами в мережі «Інтернет», зобов'язані нести відповідальність за поширення персональних даних користувачів, опублікованих на сайтах третіх осіб.

Насправді, це рішення про « право бути забутим »№ C-131/12 Європейського суду справедливості (далі - ЕСС), який є судовим органом Європейського Союзу. Його рішення відносяться до Росії настільки, наскільки та є членом Європейського Союзу.

Європейський суд з прав людини, чиї рішення для Російської Федерації обов'язкові, використовує в своїх актах рішення Європейського Суду Справедливості в якості оцінки існуючого рівня регулювання питань. Звернувшись до практики ЄСПЛ щодо Росії, можна знайти рішення по справі Костянтина Маркіна проти Росії від 22/03/2012 (скарга 30078/06), де використана практика ЕСС для оцінки Європейської конвенції з прав людини 1950 року в світлі сьогоднішнього дня.

Тому є всі підстави вважати, що при теоретичної захисту своїх прав ІТ-компаніями в ЄСПЛ, останній може застосувати доктрину сьогоднішнього дня і прийняти до уваги дане рішення і відмовити останнім в задоволенні. Доцільність даного законопроекту обумовлена ​​прийняттям рішення Європейського Суду Справедливості, сенс якого в реалізації права бути забутим: можливості звернутися до інтернет-компанії з проханням про видалення даних з пошукової системи. Даний Законопроект, цілком ймовірно, має таку ж мету і таким чином відповідає сучасному розумінню прав людини.

Розташування баз даних на території Росії

Що відносити до персональних даних, було розглянуто на ЦП раніше. Персональні дані - це будь-яка інформація, що стосується прямо або побічно певного або визначається фізичній особі (суб'єкту персональних даних). Розглядається рішення Європейського Суду Справедливості не містить такої вимоги. Швидше за все, це зроблено для додаткового захисту персональних даних громадян РФ, забезпечувати яку останні готові шляхом проведення перевірок компетентних державних органів.

В рамках цієї Законопроекту передбачається покладання наступних додаткових обов'язків на власника інформації, оператора інформаційної системи (далі - ІТ-компанії):

1. Забезпечити знаходження баз даних інформації на території РФ, з використанням яких здійснюються збір, запис, систематизація, накопичення, зберігання, уточнення (оновлення, зміна), витяг персональних даних громадян Російської Федерації;
2. Використання баз даних з зазначеними раніше цілями обробки персональних даних за винятком таких випадків:
   • обробка персональних даних необхідна для досягнення цілей, передбачених міжнародним договором Російської Федерації або законом, для здійснення і виконання покладених законодавством Російської Федерації на оператора функцій, повноважень і обов'язків (пункт 2 частини 1 статті 6 Федерального закону № 152-ФЗ «Про захист персональних даних» );
   • обробка персональних даних необхідна для здійснення правосуддя, виконання судового акта, акта іншого органу або посадової особи, що підлягають виконанню відповідно до законодавства Російської Федерації про виконавче провадження (далі - виконання судового акта) (пункт 3 частини 1 статті 6 Федерального закону № 152-ФЗ «Про захист персональних даних»);
   • обробка персональних даних необхідна для виконання повноважень федеральних органів виконавчої влади, органів державних позабюджетних фондів, виконавчих органів державної влади суб'єктів Російської Федерації, органів місцевого самоврядування та функцій організацій, що беруть участь у наданні відповідно державних і муніципальних послуг, передбачених Федеральним законом від 27 липня 2010 року N 210-ФЗ «Про організацію надання державних та муніципальних послуг», включаючи реєстрацію суб'єкта персональних даних на єдиному порталі державних і муніципальних послуг та (або) регіональних порталах державних і муніципальних послуг (пункт 4 частини 1 статті 6 Федерального закону № 152-ФЗ «Про захист персональних даних»);
   • обробка персональних даних необхідна для здійснення професійної діяльності журналіста і (або) законній діяльності засобу масової інформації або науковій, літературній або іншої творчої діяльності за умови, що при цьому не порушуються права і законні інтереси суб'єкта персональних даних (пункт 8 частини 1 статті 6 Федерального закону № 152-ФЗ «Про захист персональних даних»);
3. Повідомлення уповноваженого федерального органу про місце знаходження бази даних інформації, що містить персональні дані громадян Російської Федерації.

Покладання подібних вимог на ІТ-компанії породжує проблему забезпечення ідентифікації громадян РФ. Питання приналежності громадянина до тієї або іншій країні відповідно до російського чинним законодавством визначається, наприклад, на підставі паспорта громадянина РФ, дипломатичного паспорта, службового паспорта. Звідси бачиться п'ять виходів:

1. Включити ідентифікацію за паспортними даними всіх користувачів;
2. Використовувати усереднені показники належності до громадянства (наприклад, російський IP, сайт в доменній зоні .RU або РФ, російський номер телефону, GPS-дані);
3. Відмовитися від російських користувачів;
4. Розташувати всі свої сервера на території РФ;
5. Ігнорувати приписи Роскомнадзора і бути заблокованим на території РФ.

Окремо хотілося б приділити увагу інституту гарантій і запевнень, широко використовується в іноземному праві, якому підпорядковані деякі призначені для користувача угоди інтернет-сервісів. Даний інститут є якісь твердження, які не вимагають перевірки: наприклад, про предмет угоди, про сторони. Порушення таких гарантій і запевнень спричинить вимога про відшкодування шкоди.

Іншими словами, якщо при реєстрації або перереєстрації в певному інтернет-сервісі ви вказуєте, що не є громадянином РФ, а потім з'ясовується зворотне, то погашення збитків може бути покладено на вас. Юридично такий шлях бачиться вигідним в випадках застосування іноземного права до призначених для користувача угодами: він знімає питання зайвої ідентифікації і перерозподіляє відповідальність за несумлінність на користувача. Інша справа, наскільки ІТ-компаніям це потрібно, і чи готові вони займатися цим юридичним структуруванням.

Порядок блокування інтернет-сервісів

У разі порушення даних положень, а також інших положень законодавства про захист персональних даних, законопроектом передбачається введення спеціального порядку звернення виключно суб'єкта персональних даних (особи, чиї персональні дані використовуються) у федеральний орган виконавчої влади, який здійснює функції з контролю і нагляду в сфері засобів масової інформації, масових комунікацій, інформаційних технологій і зв'язку (Роскомнадзор), а також правила ведення Реєстру порушників прав суб'єктів персональних х даних.

Звернення до цього органу можливе лише після отримання судового рішення суб'єктом персональних даних про порушення законодавства. На підставі цього судового рішення Роскомнадзор вносить порушника до Реєстру, відправляє провайдеру хостингу повідомлення про порушення законодавства на англійській і російській мовах. На підставі цього повідомлення провайдер хостингу пропонує усунути існуючі порушення власнику інформаційного ресурсу, в іншому випадку - протягом трьох робочих днів обмежити доступ до інформаційного ресурсу. У разі невиконання цього провайдерами хостингу, Роскомнадзор звертається до операторів зв'язку для вжиття заходів щодо обмеження доступу до даного інформаційного ресурсу, в тому числі до мережевою адресою, доменному імені, вказівником сторінок сайту в мережі «Інтернет». Після усунення порушення, особа виключається з такого реєстру, а його сторінка підлягає розблокуванню (зняття встановленого обмеження).

Діяльність уповноважених органів за даними підставах з блокування не конкретизував. Перш за все, варто вказати на наявність адміністративної відповідальності за порушення встановленого законом порядку збору, зберігання, використання або поширення інформації про громадян (персональні дані), встановленої статтею 13.11 Кодексу Російської Федерації про адміністративні правопорушення, яка передбачає попередження або накладення адміністративного штрафу на громадян у розмірі від трьохсот до п'ятисот рублів; на посадових осіб - від п'ятисот до однієї тисячі рублів; на юридичних осіб - від п'яти тисяч до десяти тисяч рублів.

Неоднозначним питанням є обмеження доступу до ресурсу в разі виявлення порушення в порядку нагляду державним органом. Тут, швидше за все, теж буде потрібно судовий акт як підстава внесення до реєстру, а, відповідно, і блокування.

Однак в даний час на підставі Федеральних законів № 152-ФЗ «Про захист персональних даних» та № 149-ФЗ «Про інформацію, інформаційні технології і про захист інформації» можна як самостійно, так і за допомогою звернення в Роскомнадзор домогтися блокування поширення персональних даних особи (наприклад, в порядку статті 21 Федерального закону № 152-ФЗ «Про захист персональних даних»).

Проблеми, які вирішуються в процесі прийняття

Профільний Комітет Державний Думи (Комітет Державної Думи з інформаційної політики, інформаційних технологій і зв'язку) не знайшов підстав для неприйняття даного законопроекту. Однак соісполняющій Комітет Державної Думи з конституційного законодавства і державного будівництва вказав, дуже обгрунтовано, на такі недоліки початкового тексту:

1. Відсутність пояснень з питання місцезнаходження бази даних (Законопроект обходить це питання стороною);
2. Невизначеність щодо категорій операторів і баз даних;
3. Регулювання відносин, пов'язаних з транскордонної передачі персональних даних (Додатковий протокол до Конвенції Ради Європи про захист прав фізичних осіб при автоматизованій обробці персональних даних, стаття 12 Федерального закону «Про персональні дані»).

Отже, перше питання було вирішене шляхом вказівки на бази даних, розташованих на території РФ, другий - проігноровано. Третє питання дійсно є цікавим і не знайшов свого відображення у фінальній версії Законопроекту. Так, Глава III Конвенції Ради Європи про захист прав фізичних осіб при автоматизованій обробці персональних даних містить в собі положення, які забороняють обмежувати транскордонні потоки з метою захисту приватного життя.

Виняток з цього правила можливо в тій мірі, в якій внутрішнє законодавство (тобто законодавство Російської Федерації) включає спеціальні правила щодо певних категорій персональних даних або автоматизованих баз персональних даних в силу характеру цих даних або цих файлів, за винятком випадків, коли положення іншої сторони передбачають таку ж захист. Додатковим протоколом ж до цієї конвенції передбачено, що спеціальні наглядові органи, створені в Сторонах до конвенції, розглядають порушення положень Конвенції з питань транскордонної передачі.

Дані положення конкретизовані в ст. 12 Федерального закону від 27.07.2006 N 152-ФЗ «Про персональних даних». Більш того, зазначений Додатковий Протокол передбачає передачу персональних даних, без спеціальної процедури, також на територію країни, яка не є Стороною до Конвенції. Так, спеціальним Наказом Роскомнадзора від 15.03.2013 N 274 встановлено перелік країн, в яких забезпечено належний рівень захисту персональних даних - в нього не входить США, зате входить, наприклад, Мексика, Канада, Перу і Сенегал.

Якщо підгрунтя дійсно в приведенні до стандартів європейського законодавства, то виникає кілька запитань: чому російські спеціальні правила будуть краще? Якщо проаналізувати, то склад Ради Європи та Євросоюзу практично ідентичний, що ставить недоцільність застосування таких правил як мінімум до країн Євросоюзу, де тепер є «право бути забутим».

В такому випадку, керівництво виключно інтересами приватного життя громадян бачиться таким, що суперечить Конвенції. Необхідно відзначити, що пропоноване регулювання мало того, що не відповідає позиції Європейського Суду Справедливості, а й дублює вже наявне регулювання в даній сфері. Переклад баз даних на територію Російської Федерації, а також питання ідентифікації російських громадян в мережі викликає багато питань, і не ясно як все це буде реалізовано і чи матиме позитивний ефект. Більш того, такий підхід видається незгоду з вимогами транскордонної передачі даних.