Актуальная юридическая проблематика использования сайтов в сети «Интернет» для сбора и дальнейшей обработки персональных данных
В настоящее время можно констатировать все возрастающее значение такого способа дистанционного сотрудничества компаний со своими клиентами и партнерами как применение информационно-телекоммуникационных сетей. Одной из наиболее распространенных форм взаимодействия между бизнесом и его контрагентами является использование сайтов в сети «Интернет».
Пользователями сайтов являются физические лица безотносительно их персонального юридического статуса. Соответственно, возникает насущная необходимость юридически урегулировать отношения, возникающие по поводу обработки пользовательских данных с целью защиты прав и законных интересов всех участников данных отношений.
Ранее в правоприменительной и судебной практике не уделялось большого внимания вопросам обработки персональных данных посредством сайтов в сети «Интернет». Но в последнее время уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) и иные надзорные органы стали проявлять большую активность в указанной сфере.
Автор данного материала не ставил перед собой амбициозной цели подробно изложить все специфические аспекты правового регулирования обработки персональных данных в сети «Интернет». В рамках данного материала будут подняты некоторые вопросы, важные для любого лица, использующего сайты в сети «Интернет» для обработки персональных данных, и предложены соответствующие ответы. И рассмотрение обозначенной проблематики будет начато с попытки юридически идентифицировать целевую аудиторию данного материала – лиц, определяющих порядок использования сайта в сети «Интернет»…
Согласно статье 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»:
Администратором доменного имени является лицо, на имя которого зарегистрировано предназначенное для сетевой адресации символьное обозначение (доменное имя). Право администрирования существует в силу договора о регистрации доменного имени и действует с момента регистрации доменного имени в течение срока действия регистрации.
Ответственность за содержание информации на сайте в сети «Интернет» несет администратор домена, так как использование ресурсов сайта без его контроля невозможно. Администратор доменного имени определяет порядок использования домена, несет ответственность за выбор доменного имени, возможные нарушения прав третьих лиц, связанные с выбором и использованием доменного имени, а также несет риск убытков, связанных с такими нарушениями.
Согласно пункту 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) оператором в отношении персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператор самостоятельно определяет порядок и содержание обработки персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях (часть 1 статьи 1 152-ФЗ).
Таким образом, при условии использования сайта в сети «Интернет» для обработки персональных данных, можно поставить тождество между понятиями «владелец сайта в сети «Интернет», «администратор доменного имени» и «оператор» (в отношении персональных данных).
Операторы могут осуществлять сбор персональных данных посетителей и пользователей сайтов в сети «Интернет», функционирующих в интересах операторов, двумя основными путями:
Если состав первой категории сведений является напрямую зависимым от содержания веб-форм, то определение состава так называемых пользовательских данных часто вызывает у оператора затруднение, так как пользовательские данные могут быть получены оператором с помощью различных методов, например, файлов cookies и веб-маяков.
Для организации получения (сбора) пользовательских данных могут использоваться как технические возможности сайтов, используемых в интересах оператора, так и функционал сторонних интернет-сервисов, например, Яндекс.Метрика, Google Analytics, WebTrends. Обычно сторонние интернет-сервисы не осуществляют и не имеют возможности осуществлять сопоставление полученных ими сведений с персональными данными, указываемыми пользователями в соответствующих веб-формах на сайтах.
Ниже представлен набор пользовательских данных, являющейся близким к максимальному и который может быть рекомендован для изучения любому оператору при составлении им собственного перечня используемых пользовательских данных:
Возможны ситуации, когда оператор не проводит сопоставление информации, предоставляемой субъектами персональных данных самостоятельно посредством использования веб-форм и позволяющей идентифицировать субъектов, с пользовательскими данными, полученными оператором во время посещения субъектами сайтов в сети «Интернет» и использования их функционала. Если такая ситуация имеет место быть, то данный факт необходимо зафиксировать, например, путем указания в размещенных на сайте электронных документах – политике оператора в отношении обработки персональных данных, согласии пользователя сайта на обработку его персональных данных или в условиях пользования сайтом (пользовательское соглашение).
На оператора возлагается обязанность (часть 5 статьи 18 152-ФЗ) обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных посетителей и пользователей сайтов в сети «Интернет» функционирующих в интересах Оператора, с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 152-ФЗ. Хранение и дальнейшая обработка полученных сторонними интернет-сервисами сведений обеспечивается данными сервисами на собственных вычислительных мощностях, за территориальное размещение которых оператор ответственности не несет.
Согласно статье 18.1 152-ФЗ оператор, являющимся юридическим лицом, обязан:
Действующее законодательство не содержит положений, регламентирующих форму предоставления документа и порядок его размещения. Рассматриваемые требования обычно реализуются путем размещения общедоступной гиперссылки на текст документа, определяющего политику оператора, в нижней области (так называемый footer – «подвал») всех страниц сайта. Сам текст может быть размещен как на отдельной странице сайта, так и представлен в качестве электронного документа в одном из распространенных форматов (например, PDF).
Если оператор использует сразу несколько сайтов для сбора персональных данных, то нет необходимости в размещении текста политики оператора на каждом из сайтов. Будет достаточным поместить текст политики на одном из сайтов, а на оставшихся сайтах указать прямую гиперссылку на указанный текст.
Обработка персональных данных посетителей и пользователей сайтов в сети «Интернет», функционирующих в интересах оператора, должна быть возможна только при условии получения оператором согласия указанных субъектов персональных данных (пункт 1 части 1 статьи 6 152-ФЗ). Посетители и пользователи сайтов могут выразить свое согласие посредством:
Действующее законодательство прямо не обязывает оператора соблюдать требования части 4 статьи 9 152-ФЗ в отношении получения согласия субъекта персональных данных в письменной форме или в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Тем не менее, настоятельно рекомендуется не ограничиваться при получении согласия на обработку персональных данных общим фразами, указанными во всплывающем сообщении или специальном поле, и составить подробный текст согласия, с учетом требований части 1 статьи 9 152-ФЗ о конкретности, информированности и сознательности согласия на обработку персональных данных.
Дистанционный способ предоставления посетителями и пользователями своего согласия на обработку персональных данных порождает вопросы относительно возможности для оператора как достоверно установить факт получения согласия от конкретного субъекта персональных данных, так и иметь возможность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных согласно требованию части 3 статьи 9 152-ФЗ. С учетом текущего уровня развития информационных технологий для большинства операторов наиболее приемлемым и эффективным способом установления факта получения согласия от конкретного субъекта является дистанционное (с помощью электронных писем, текстовых сообщений или телефонных звонков) направление субъекту различного вида проверочных кодов, паролей с их последующим использованием субъектом для подтверждения достоверности его волеизъявления. Рассматриваемый подход обладает некоторыми недостатками:
Следует отметить, что подобный подход уже длительное время практикуется в качестве обязательного элемента процедур регистрации пользователей на сайтах в сети «Интернет» и регистрации разного рода обращений, направляемых посредством веб-форм. При этом, первоочередная цель имеет несколько иной характер - экономия ресурсов оператора за счет исключения обработки неполных, неточных или недостоверных сведений, предоставляемых пользователями. Соответственно, представляется возможным для операторов использовать результаты таких процедур и для выполнения требования части 3 статьи 9 152-ФЗ.
Основные меры юридической ответственности для операторов (владельцев сайтов), осуществляющих сбор и дальнейшую обработку персональных данных посредством сайтов в сети «Интернет», определены в статье 13.11 Кодекса Российской Федерации об административных правонарушениях:
Следует помнить, что юридическая ответственность за невыполнение требований законодательства в сфере обработки и защиты персональных данных обладает определёнными особенностями, рассмотренными ниже: