Персональные данные в цифровой среде
30 сентября 2023 г.
В настоящее время практически во всем мире получают широкое применение цифровые технологии, в т.ч. в сети Интернет, с помощью которых обрабатываются персональные данные, и Россия в этом отношении – не исключение. Так Указом Президента России от 09.05.2017 № 203 была утверждена «Стратегия развития информационного общества в Российской Федерации на 2017 – 2030 годы» (далее – «Стратегия»), которой предусматривался переход на цифровую экономику (деятельность, в которой ключевым фактором производства являются данные в цифровом виде).
Согласно Стратегии цифровая трансформация должна затронуть все ключевые отрасли экономики, социальной сферы и государственного управления. Так, уже сейчас функционирует Портал государственных и муниципальных услуг, позволяющий получать некоторые государственные и муниципальные услуги в электронном виде. С 2020-го года начался эксперимент по внедрению цифровой образовательной среды в школах и ВУЗах. Похожий процесс идёт и в здравоохранении, а также в других отраслях социальной сферы и экономики. Кроме того, люди стали активными пользователями Интернет-ресурсов: общаются в социальных сетях, совершают покупки в интернет-магазинах и т.п.
Вместе с тем, повсеместная цифровизация обострила вопрос о защите персональных данных граждан, поскольку риск их несанкционированного получения и распространения персональных данных в цифровой среде намного выше.
В статье рассмотрим особенности обработки персональных данных в цифровой (диджитал) среде, а также как трансформируется законодательство в данной области к современным реалиям. Вместе с тем, ввиду ограниченности объема материала не будут затронуты применяемые на практике, но неурегулированные действующим законодательством, понятия и технологии, как, например, большой массив данных (Big Data), блокчейн-технологии обработки данных и другие.
Особенности персональных данных, обрабатываемых в цифровой среде
Базовым нормативным актом, регулирующим отношения по обработке персональных данных в Российской Федерации, является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – «Закон о персональных данных», «ФЗ № 152-ФЗ»). Согласно статье 3 ФЗ № 152-ФЗ под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Исчерпывающего перечня персональных данных, а также четких критериев отнесения конкретных сведений о лице к персональным данным Закон не содержит. При этом в Интернете собирается, передается, используется большой объем информации: как стандартные (ФИО, адрес, телефон и т.п.), так и довольно специфические.
Так, на практике возникают вопросы, являются ли персональными данными адрес электронной почты, файлы «cookies», «IP адрес», «ID пользователя», данные Яндекс метрики и Google аналитики и т.п.? Постараемся разобрать наиболее часто возникающие вопросы на примерах из имеющейся судебной практики.
В отношении адреса электронной почты Роскомнадзор выражает позицию, что адрес электронной почты, содержащий ФИО, может быть отнесен к персональным данным, а в случае если адрес представляет собой только набор слов, его нельзя считать персональными данными. Верховный Суд РФ в деле А40-139096/2022[1] поддержал мнение нижестоящих судов об отказе признать адрес электронной почты персональными данными, поскольку невозможно по одному лишь адресу e-mail без наличия дополнительных идентификаторов определить конкретное лицо, которому он принадлежит. Кроме того, суды указали, что адрес электронной почты не обладает свойством «абсолютной неизменности», потому в случае удаления электронного почтового ящика с сервера по любым причинам, может быть зарегистрирован точно такой же адрес электронной почты за новым пользователем.
Схожую позицию выражают представители Роскомнадзора на видеосеминарах в отношении ID пользователя (уникального идентификационного номера аккаунта, зарегистрированного в любой социальной сети). По их мнению, для того чтобы ID пользователя был признан персональными данными необходимо, чтобы он отвечал двум признакам: «неизменность» и «уникальность».
Несколько иная ситуация складывается в отношении файлов «Cookie». «Cookie» – это небольшие текстовые файлы с данными. Они хранят информацию о предыдущих действиях пользователя на веб-ресурсе и умеют запоминать предпочтения, язык, валюту, просмотренные страницы и товары, IP-адрес и местоположение, версию операционной системы и браузера и т.п. Это позволяет «узнавать» данного пользователя при повторном посещении онлайн-ресурса. Таким образом, и судебные органы, и контролирующие органы признают «Cookie» персональными данными, поскольку они характеризуют интернет-пользователя.
Не так однозначна позиция судебных органов по вопросу квалификации IP-адресов. В некоторых случаях суды классифицируют IP-адрес как персональные данные. Рассмотрим на примере дела № 2-5354/2015[2].
В ходе проверочных мероприятий УМВД были направлены запросы в адрес регионального отделения ОАО «МегаФон» о предоставлении информации об абонентах, которым указанные в запросах время присваивались IP-адреса, и с использованием которых осуществлялся доступы к Интернет-ресурсам vk.com и ok.ru. Оператор отказал в предоставлении информации, ссылаясь на тайну связи. В связи с отказом провайдера УМВД обратилось в суд. Суд указал, что к сведениям об абонентах (персональным данным) относятся ФИО абонента-гражданина, а также адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных, в том числе о соединениях, трафике и платежах абонента.
В этом деле представляет интерес также аргументация суда по разграничению статического и динамического IP-адреса. Суд пришел к выводу, что идентификация пользователя через установление его персональных данных по статическому IP-адресу (постоянно закрепленному за оконечным пользовательским оборудованием) по своим правовым последствиям не может отличаться от случаев, когда IP-адрес присваивается пользовательскому оборудованию автоматически на период подключения период сессии к сети «Интернет» (динамический IP-адрес).
Вместе существует судебная практика, которая не признает IP-адрес персональными данными[3], также встречаются мнения специалистов, что статичный IP-адрес справедливо относить к персональным данным, так как по нему идентифицировать пользователя легко, в то время как динамический IP-адрес таковым не является.
Отметим, что, если информация о точке доступа к сети или геолокации не всегда расценивается как персональные данные, поскольку не может однозначно определять физическое лицо, то в совокупности с другими данными, как правило, квалифицируется как персональные данные. Показательно в этом плане дело № А40-51869/2016-145-449 ПАО «Сумма Телеком»[4].
По результатам проверки контрольный орган установил, что хозяйственное общество передает партнерам сведения об абонентах (поисковые запросы абонентов, модель устройства или тип браузера, используемого пользователем, интернет-адреса посещаемых веб-страниц, тематику просматриваемой информации, IP-адрес абонента), достаточные для формирования рекламного профиля абонента. Впоследствии рекламодатель персонифицировано направляет рекламу в зависимости от предпочтений субъекта. Контролирующий орган выдал предписание о прекращении распространения персональных данных без согласия абонентов. Попытка хозяйственного общества оспорить предписание в суде не увенчалась успехом. Суд указал, что передаваемая информация является информацией о соединениях и трафике конкретного абонента, а, следовательно, представляет собой его персональные данные.
Отметим, что правильная классификация информации важна для понимания того, применяются ли к ее обработке требования Закона о персональных данных. К сожалению, правоприменительная практика по данному вопросу не единообразна, а официальные разъяснения контролирующих органов отсутствуют.
Особенности получения согласий на действия с персональными данными
По общему правилу лицо, организующее или осуществляющее обработку персональных данных (далее по тексту – «оператор», «оператор ПД») должно получить согласие владельца персональных данных на их обработку. Требования к согласию регламентированы в статье 9 Закона о персональных данных. Для общих категорий данных согласие может быть дано в любой форме, позволяющей подтвердить факт его. В письменной форме требуется получать согласие на обработку специальных категорий персональных данных и биометрических. Равнозначным согласию на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.
Отметим, что Закон о персональных данных не содержит прямых правил или особенностей в отношении оформления согласий в случаях, когда персональные данные предоставляются дистанционно по сети Интернет. Это вызывает многочисленные вопросы у операторов ПД.
Согласно разъяснениям, данным Роскомнадзором на своем сайте в разделе «Часто задаваемые вопросы», если закон требует в конкретных случаях письменного согласия, документ должен быть подписан либо на бумажном носителе, либо в электронной форме посредством электронной подписи как аналога собственноручной. В случае, если наличие письменного согласия не обязательно, оно может быть выражено любым способом, в частности проставлением отметки в электронном виде. При этом, необходимо помнить, что обязанность предоставить доказательства получения согласия возлагается на оператора ПД.
На практике, рекомендуем разместить форму согласия на обработку персональных данных на своей интернет-странице. Это можно сделать несколькими способами: поместить перед формой заполнения персональных данных, или добавить активную ссылку на него, или поместить текст во всплывающем окне. Под формой заполнения персональных данных – разместить кнопку «Согласен на обработку персональных данных» или поле, в котором нужно поставить соответствующую галочку. Персональные данные не должны отправляться без подтверждения субъектом согласия на их обработку.
Кроме того, в силу части 2 статьи 18.1 Закона о персональных данных на интернет-сайте необходимо опубликовать Политику в отношении обработки персональных данных, регламентирующую цели обработки, категории и перечень обрабатываемых персональных данных, способы и сроки обработки, сведения о реализуемых мерах защиты.
С 1-го марта 2021 года вступили в силу поправки в Закон о персональных данных[5], вводящие новый термин: «персональные данные, разрешенные субъектом персональных данных для распространения» – данные, доступ неограниченного круга лиц к которым предоставлен их субъектом путем дачи согласия (часть 1.1 ст. 3 ФЗ № 152‑ФЗ). Он заменил понятие «общедоступные персональные данные». Целью таких изменений стало ограничение неконтролируемого использования данных, размещенных на сайтах и в других открытых источниках. Теперь если Оператор хочет распространять данные среди неопределённого круга лиц (например, разместить их на сайте), необходимо получить согласие субъекта персональных данных на их распространение. Оно оформляется отдельно от согласия на обработку персональных данных. Молчание или бездействие субъекта персональных данных не может считаться согласием.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (далее по тексту – «согласие на распространение ПД»), может быть предоставлено:
- непосредственно оператору ПД;
- с использованием информационной системы Роскомнадзора.
Требования к содержанию согласия на распространение ПД утверждены приказом Роскомнадзора от 24.02.2021 № 18[6]. Оно должно содержать:
- ФИО и контактные данные субъекта ПД (номер телефона, адрес электронной почты или почтовый адрес);
- сведения об операторе ПД (наименование, адрес, ИНН, ОГРН);
- сведения об информационных ресурсах Оператора (адрес, состоящий из наименования протокола («http» или «https»), сервера («www»), домена, имени каталога на сервере и имени файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц к персональным данными;
- цель обработки персональных данных;
- категории (общие, специальные или биометрические) и перечень персональных данных, на обработку которых дается согласие;
- устанавливаемые субъектом персональных данных запреты и условия доступа.
Субъект персональных данных наделен правом выбирать, какие именно персональные данные и на каких условиях он разрешает оператору ПД распространять (ч. 9 ст. 10.1 Закона о персональных данных). Например, он может разрешить опубликовать только его фамилию, но запретить публиковать фото. Также он может определить условия, при которых полученные персональные данные могут передаваться оператором ПД:
- только по его внутренней сети с доступом к информации лишь для строго определенных сотрудников;
- с использованием информационно-телекоммуникационных сетей;
- без передачи полученных персональных данных;
- срок действия согласия.
На сайте Роскомнадзора реализован функционал, позволяющий Оператору подготовить шаблон формы согласия на распространение. Сформированный шаблон Оператор по желанию может направить в Роскомнадзор для получения рекомендаций.
Также на оператора ПД возлагается обязанность опубликовать информацию об условиях обработки и о наличии запретов и условий не позднее 3-х рабочих дней с момента получения соответствующего согласия субъекта персональных данных. Данная норма также вызывает вопросы. Неясно то, каким образом и в каком виде должна быть опубликована данная информация. Согласимся с мнением некоторых исследователей, что наличие в Политике общих указаний на возможные варианты условий и запретов, которые могут быть выбраны в согласиях, достаточно для исполнения данной нормы[7].
Передача персональных данных, разрешенных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Такое требование должно включать в себя ФИО, контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД, а также перечень персональных данных, обработка которых подлежит прекращению. Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления.
За обработку персональных данных без согласия в письменной форме субъекта персональных данных либо с нарушением требований к согласию Оператора привлекут к административной ответственности по ч. 2 ст. 13.11 КоАП РФ. Наказание – штраф на граждан до 10 000 рублей, на должностных лиц – до 40 000 рублей, на юридических лиц – до 150 000 рублей.
Если законом не предусмотрена обязательная письменная форма согласия, есть риск привлечения к ответственности по части 1 ст. 13.11 КоАП РФ за обработку персональных данных вне предусмотренных законом случаев. Влечет наложение административного штрафа на граждан до 6 000 рублей, на должностных лиц – до 20 000 рублей, на юридических лиц – от 60 000 до 100000 рублей.
За повторные правонарушения наказание увеличивается.
В целях минимизации рисков нарушения законодательства, на наш взгляд, требуется на законодательном уровне регламентировать особенности дачи «дистанционных» согласий. Также поддержим мнение исследователей данной проблематики[8] о том, что в Закон о персональных данных следует добавить обязанности оператора ПД размещать на сайте/платформе типовые формы согласий и их отзыва, а также визуализировать тексты пользовательских соглашений и создавать «упрощенный вариант правил для пользователей», позволяющий считывать информацию путем беглого просмотра.
Что касается согласия на распространение, то редакция статьи 10.1 Закона о персональных данных, как нам кажется, не очень удачна и требует доработки.
Требования к локализации обработки персональных данных
Федеральным законом № 242 от 21.07.2014 года, внесшим изменения в Закон о персональных данных, были установлены требования к локализации отдельных процессов обработки персональных данных[9]. С 1-го сентября 2015 года на операторов ПД была возложена обязанность при сборе персональных данных граждан Российской Федерации осуществлять операции по их последующей обработке (накоплении, хранении и другие) только с использование баз данных, находящихся на территории Российской Федерации (часть 5 статьи 18 ФЗ № 152-ФЗ). В первую очередь, эта норма касается операторов ПД, осуществляющих обработку данных с использованием сети «Интернет». Рассмотрим данные требования подробнее.
Согласно комментариям Минцифры, размещенным на официальном сайте ведомства, под сбором следует понимать целенаправленный процесс получения персональных данных. Так, требование о локализации не распространяется на персональные данные, полученные Оператором, вследствие случайного получения по электронной почте или от другого юридического лица, если такие данные представляют собой контактную информацию представителей такого юридического лица.
Требование о локализации применяется не только к российским, но и иностранным компаниям, в том числе, которые не имеют физического присутствия в России, если они осуществляют деятельность, направленную на территорию России. О наличии направленности интернет-сайта на территорию Российской Федерации могут свидетельствовать следующие обстоятельства:
1. Использование доменного имени, связанного с Российской Федерацией или субъектом РФ (.ru, .рф, .su, .москва., .moscow и т.п.).
2. Наличие русскоязычной версии интернет-сайта. При этом, поскольку русский язык широко используется в некоторых странах за пределами Российской Федерации, для определения направленности интернет-сайта именно на территорию Российской Федерации дополнительно необходимо наличие как минимум одного из следующих элементов:
- возможность осуществления расчетов в российских рублях;
- возможность исполнения заключенного на таком интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России);
- использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту.
- иных обстоятельств, явно свидетельствующих о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.
Подтверждением соблюдения вышеуказанных требований со стороны оператора ПД, по мнению Роскомнадзора, является предоставление таких документов как:
- заверенная блок-схема размещения рабочих мест, на которых осуществляется хранение персональных данных российских пользователей;
- справка о постановке на балансовый учет организации приобретенных серверных мощностей;
- договор купли-продажи серверных мощностей[10].
В случае аренды оператором технических площадок (ЦОД, серверные мощности) на территории Российской Федерации необходимо представить копию договора аренды, заключенного с компанией, предоставляющей соответствующие услуги.
В соответствии со статьей 15.5 Федерального закона № 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и защите информации» нарушение правил сбора в сети Интернет персональных данных субъектов влечет за собой ограничение доступа к информации, обрабатываемой с нарушением о персональных данных и включение в Реестр нарушителей прав субъектов персональных данных. Данные действия осуществляются на основании вступившего в законную силу решения суда. Рассмотрим на примере дела № 33-38783/16[11].
Роскомнадзор обратился в суд с иском к ответчику LinkedIn Corporation о признании деятельности интернет-ресурсов нарушающими требования Закона о персональных данных и обязании принять меры по ограничению доступа путем внесения доменных имен, указателей страниц и сетевых адресов в Реестр нарушителей прав субъектов персональных данных. В обоснование своих требований было указано, что данным ресурсом осуществляется сбор персональных данных граждан РФ, включая ФИО, адрес электронной почты, контактных, платежных и биографических данных, при этом администратором доменного имени интернет-сайта linkedin является компания LinkedIn Corporation, расположенная на территории США. В судебном заседании ответчик заявлял, что одной лишь доступности интернет-сайта на территории России недостаточно для вывода о том, что на него распространяется законодательство Российской Федерации. Суд решил, что о направленности интернет-сайта на территорию РФ свидетельствует наличие русскоязычной версии сайта. Возможность использования рекламы на русском языке дополнительно свидетельствует о включении российской аудитории в сферу бизнес-интересов владельца сайта. Иск удовлетворил в полном объеме.
Кроме того, невыполнение обязанности по локализации баз данных влечет за собой риск привлечения к ответственности по части 8 статьи 13.11. КоАП РФ. Административный штраф на граждан – до 50 000 рублей; на должностных лиц – до 200 000 рублей; на юридических лиц – до 6 000 000 рублей.
Так, в одном из дел Роскомнадзором было установлено, что иностранная организация осуществляет сбор персональных данных граждан Российской Федерации (ФИО, номер телефона, адрес электронной почты) с использованием иностранного сервиса «Speedtest». Суд признал организацию виновной в совершении административного правонарушения, предусмотренного частью 8 статьей 13.11 КоАП РФ, назначен штраф в размере 1 000 000 рублей[12].
Особенности защиты персональных данных в информационных системах
Когда обработка данных происходит с использованием информационных систем, появляются дополнительные угрозы безопасности. Статьей 19 ФЗ № 152-ФЗ регламентированы требования к защите персональных данных в информационных системах персональных данных. Кроме того они получили свое развитие в подзаконных актах Правительства, приказах органов-регуляторов: ФСТЭК России и ФСБ России. Подробно данные требования были рассмотрены в нашей статье «Обеспечение безопасности и защита персональных данных при их обработке»[13].
В рамках настоящей статьи акцентируем внимание только на одну из мер, введенных в Закон о персональных данных Федеральным законом от 30.12.2020 № 515-ФЗ[14]. Данными поправками с 10 января 2021 года оператор ПД должен принимать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них. Перечень мер разрабатывают операторы ПД в соответствии с приказами органов-регуляторов.
Уведомление об утечках персональных данных
Несмотря на установленные требования по защите персональных данных и все возрастающие штрафы за нарушения, в последние годы значительно увеличилось количество случаев утечек персональных данных граждан в сеть Интернет. Так, по данным их открытых источников[15], в 2022 году произошли утечки из крупных компаний, осуществляющих деятельность в удаленном формате, таких как «Яндекс.Еда», «Delivery Club», «СДЭК», «Гемотест» и других.
С 1 сентября 2022 года в Закон о персональных данных введена норма[16], обязывающая Оператора уведомлять Роскомнадзор о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных (часть 3.1 статьи 21 ФЗ № 152-ФЗ). Согласно указанной норме оператор должен уведомить контролирующий орган:
- в течение 24 часов – о произошедшем инциденте, о предполагаемых причинах и вреде, о принятых мерах по устранению последствий инцидента;
- в течение 72 часов – о результатах внутреннего расследования инцидента, а также о лицах, действия которых стали причиной инцидента.
Информация передается путем направления уведомления через сайт Роскомнадзора. Порядок взаимодействия контролирующего органа с оператором ПД при учете инцидентов утвержден приказом Роскомнадзора от 14.11.2022 № 187[17]. Операторы, относящиеся к субъектам критической информационной инфраструктуры, обязаны сообщать о компьютерных инцидентах через информационную систему ГосСОПКА (часть 12 статьи 19 ФЗ № 152-ФЗ).
За нарушение обязанностей при взаимодействии с Роскомнадзором операторов ПД привлекают к административной ответственности по статье 19.7 КоАП РФ «Непредставление сведений (информации)». Штраф на должностных лиц – до 500 рублей; на юридических лиц – до 5 000 рублей.
Подводя итоги, отметим, что на сегодняшний день диджитал-технологии на несколько шагов опережает законодательную базу, регулирующей вопрос обработки и защиты персональных данных в информационной среде. На наш взгляд, необходимо на законодательном уровне определить правовой режим новых видов персональных данных, регламентировать особенности сбора и обработки данных с использованием информационных технологий, государственных информационных систем, расширить меры защиты персональных данных в цифровой среде. Для регулирования столь специфических правоотношений, полагаем, назрела необходимость разработки Цифрового кодекса.
_________________________
[1] Определение Верховного Суда РФ от 21.07.2023 № 305-ЭС23-12160.
[2] Решение Октябрьского районного суда города Самары от 24.09.2015 по делу № 2-5354/2015.
[3] Постановление Восемнадцатого арбитражного апелляционного суда от 05.04.2017 №18АП-2210/2017 по делу № А07-24090/2016.
[4] Решение Арбитражного суда г. Москвы от 25.05.2016 по делу № А40-51869/2016-145-449.
[5] Федеральный закон от 30.12. 2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».
[6] Приказ Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
[7]Абышко А.О. Конец общедоступных персональных данных в России? К вопросу о Федеральном законе от 30 декабря 2020 года № 519-ФЗ // Закон, 2022, № 3.
[8] Дмитриева Е.Г. Проблемы защиты персональных данных в цифровом мире и пути их решения // Право и бизнес, 2021, № 3.
[9] Федеральный закон от 21.07.2014 № 242 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»
[10] Письмо Роскомнадзора от 14.07.2023 № 08ВМ-59834 «О рассмотрении обращения Ассоциации российских банков».
[11] Определение Московского городского суда от 10.11.2016 по делу № 33-38783/2016.
[12] Постановление Второго кассационного суда общей юрисдикции от 26.12.2022 по делу № 16-9987/2022.
[13]См.: https://brace-lf.com/informaciya/cifrovoe/1922-obespechenie-bezopasnosti-i-zashchita-personal-nykh-dannykh-pri-ikh-obrabotke.
[14] Федеральный закон от 30.12.2020 № 515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности».
[15]Портал Сравни.ру.
[16] Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».
[17] Приказ Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».
30 сентября 2023 г.