Взаимодействие с субъектами персональных данных посредством веб-сайтов
Актуальная юридическая проблематика использования сайтов в сети «Интернет» для сбора и дальнейшей обработки персональных данных
В настоящее время можно констатировать все возрастающее значение такого способа дистанционного сотрудничества компаний со своими клиентами и партнерами как применение информационно-телекоммуникационных сетей. Одной из наиболее распространенных форм взаимодействия между бизнесом и его контрагентами является использование сайтов в сети «Интернет».
Пользователями сайтов являются физические лица безотносительно их персонального юридического статуса. Соответственно, возникает насущная необходимость юридически урегулировать отношения, возникающие по поводу обработки пользовательских данных с целью защиты прав и законных интересов всех участников данных отношений.
Ранее в правоприменительной и судебной практике не уделялось большого внимания вопросам обработки персональных данных посредством сайтов в сети «Интернет». Но в последнее время уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) и иные надзорные органы стали проявлять большую активность в указанной сфере.
Автор данного материала не ставил перед собой амбициозной цели подробно изложить все специфические аспекты правового регулирования обработки персональных данных в сети «Интернет». В рамках данного материала будут подняты некоторые вопросы, важные для любого лица, использующего сайты в сети «Интернет» для обработки персональных данных, и предложены соответствующие ответы. И рассмотрение обозначенной проблематики будет начато с попытки юридически идентифицировать целевую аудиторию данного материала – лиц, определяющих порядок использования сайта в сети «Интернет»…
Триединая сущность: владелец сайта, администратор домена и оператор персональных данных
Согласно статье 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»:
- сайт в сети «Интернет» – это совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети Интернет по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети Интернет (пункт 13);
- доменное имя – обозначение символами, предназначенное для адресации сайтов в сети Интернет в целях обеспечения доступа к информации, размещенной в сети Интернет (пункт 15);
- владелец сайта в сети «Интернет» – лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети Интернет, в том числе порядок размещения информации на таком сайте (пункт 17).
Администратором доменного имени является лицо, на имя которого зарегистрировано предназначенное для сетевой адресации символьное обозначение (доменное имя). Право администрирования существует в силу договора о регистрации доменного имени и действует с момента регистрации доменного имени в течение срока действия регистрации.
Ответственность за содержание информации на сайте в сети «Интернет» несет администратор домена, так как использование ресурсов сайта без его контроля невозможно. Администратор доменного имени определяет порядок использования домена, несет ответственность за выбор доменного имени, возможные нарушения прав третьих лиц, связанные с выбором и использованием доменного имени, а также несет риск убытков, связанных с такими нарушениями.
Согласно пункту 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) оператором в отношении персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператор самостоятельно определяет порядок и содержание обработки персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях (часть 1 статьи 1 152-ФЗ).
Таким образом, при условии использования сайта в сети «Интернет» для обработки персональных данных, можно поставить тождество между понятиями «владелец сайта в сети «Интернет», «администратор доменного имени» и «оператор» (в отношении персональных данных).
Персональные данные посетителей и пользователей сайта
Операторы могут осуществлять сбор персональных данных посетителей и пользователей сайтов в сети «Интернет», функционирующих в интересах операторов, двумя основными путями:
- получение сведений, указываемых субъектами персональных данных в соответствующих веб-формах (например, веб-формы обратной связи или регистрации на сайте), размещенных на сайтах в сети «Интернет»;
- получение сведений технического характера («пользовательские данные»), создаваемых во время посещения субъектами персональных данных сайтов в сети «Интернет» и использования их функционала (например, функционал поиска по ключевым словам в рамках сайта, для ввода которых используется текстовое поле).
Если состав первой категории сведений является напрямую зависимым от содержания веб-форм, то определение состава так называемых пользовательских данных часто вызывает у оператора затруднение, так как пользовательские данные могут быть получены оператором с помощью различных методов, например, файлов cookies и веб-маяков.
Для организации получения (сбора) пользовательских данных могут использоваться как технические возможности сайтов, используемых в интересах оператора, так и функционал сторонних интернет-сервисов, например, Яндекс.Метрика, Google Analytics, WebTrends. Обычно сторонние интернет-сервисы не осуществляют и не имеют возможности осуществлять сопоставление полученных ими сведений с персональными данными, указываемыми пользователями в соответствующих веб-формах на сайтах.
Ниже представлен набор пользовательских данных, являющейся близким к максимальному и который может быть рекомендован для изучения любому оператору при составлении им собственного перечня используемых пользовательских данных:
- сетевой адрес пользовательского устройства;
- сведения о факте, дате, времени посещения сетевых адресов;
- сведения о факте, дате, времени посещения сайтов и (или) страниц сайтов в сети «Интернет»;
- сведения о способе попадания пользователя на страницу сайта в сети «Интернет»;
- сведения о переходе пользователя по гиперссылке со страницы сайта в сети «Интернет» на страницу другого сайта в сети «Интернет»;
- сведения о факте и количестве загрузок пользователем файлов с сайта в сети «Интернет», а также о наименовании и типе загруженных файлов;
- продолжительность пользовательской сессии;
- наименование интернет-провайдера пользователя;
- сведения об объеме потребленного сетевого трафика;
- выданный пользователю идентификатор файла cookie;
- сведения о веб-браузере пользователя (наименование и версия браузера, доступные шрифты, установленные плагины, тип доступных медиа-устройств, доступные программные компоненты и их параметры, цифровой отпечаток);
- сведения о пользовательском устройстве (тип, производитель и модель устройства, архитектура процессора, разрешение и глубина цвета экрана, наименование и версия операционной системы, перечень поддерживаемых языков интерфейса, установленный часовой пояс);
- поисковые запросы пользователя;
- географический адрес точки подключения пользователя к сети «Интернет»;
- псевдоним пользователя;
- сведения о факте, дате, времени регистрации и прекращения регистрации пользователя;
- сведения о факте, дате, времени авторизации и деавторизации пользователя;
- хеш-сумма пользовательских данных.
Возможны ситуации, когда оператор не проводит сопоставление информации, предоставляемой субъектами персональных данных самостоятельно посредством использования веб-форм и позволяющей идентифицировать субъектов, с пользовательскими данными, полученными оператором во время посещения субъектами сайтов в сети «Интернет» и использования их функционала. Если такая ситуация имеет место быть, то данный факт необходимо зафиксировать, например, путем указания в размещенных на сайте электронных документах – политике оператора в отношении обработки персональных данных, согласии пользователя сайта на обработку его персональных данных или в условиях пользования сайтом (пользовательское соглашение).
На оператора возлагается обязанность (часть 5 статьи 18 152-ФЗ) обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных посетителей и пользователей сайтов в сети «Интернет» функционирующих в интересах Оператора, с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 152-ФЗ. Хранение и дальнейшая обработка полученных сторонними интернет-сервисами сведений обеспечивается данными сервисами на собственных вычислительных мощностях, за территориальное размещение которых оператор ответственности не несет.
Размещение на сайте политики оператора в отношении обработки персональных данных
Согласно статье 18.1 152-ФЗ оператор, являющимся юридическим лицом, обязан:
- принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, в частности, издать документ, определяющий политику оператора в отношении обработки персональных данных и содержащего сведения о реализуемых требованиях к защите персональных данных (пункт 1 части 1);
- при осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сети «Интернет» опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий политику оператора в отношении обработки персональных данных и содержащего сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (часть 2).
Действующее законодательство не содержит положений, регламентирующих форму предоставления документа и порядок его размещения. Рассматриваемые требования обычно реализуются путем размещения общедоступной гиперссылки на текст документа, определяющего политику оператора, в нижней области (так называемый footer – «подвал») всех страниц сайта. Сам текст может быть размещен как на отдельной странице сайта, так и представлен в качестве электронного документа в одном из распространенных форматов (например, PDF).
Если оператор использует сразу несколько сайтов для сбора персональных данных, то нет необходимости в размещении текста политики оператора на каждом из сайтов. Будет достаточным поместить текст политики на одном из сайтов, а на оставшихся сайтах указать прямую гиперссылку на указанный текст.
Согласие посетителей и пользователей сайта на обработку их персональных данных
Обработка персональных данных посетителей и пользователей сайтов в сети «Интернет», функционирующих в интересах оператора, должна быть возможна только при условии получения оператором согласия указанных субъектов персональных данных (пункт 1 части 1 статьи 6 152-ФЗ). Посетители и пользователи сайтов могут выразить свое согласие посредством:
- всплывающего окна (pop-up), автоматически отображаемого для впервые посещающих сайт в сети «Интернет» посетителей и содержащего текст «Продолжая посещать данный сайт и использовать его функционал, Вы предоставляете согласие на обработку Ваших персональных данных», а также содержащего гиперссылку на полный текст согласия на обработку персональных данных;
- активации пользователями сайта в сети «Интернет» специального флажка («чекбокса») в поле «Согласие на обработку персональных данных» и (или) активации функции ввода сведений при заполнении соответствующей веб-формы, при условии размещения в указанном поле или веб-форме гиперссылки на полный текст согласия на обработку персональных данных;
- принятия субъектами (например, путем нажатия на кнопки «Принимаю», «Согласен» и т.п.) размещенного на сайте в сети «Интернет» пользовательского соглашения или пользовательских условий/правил, находящихся в статусе публичной оферты и содержащих положения о согласии субъектов на обработку их персональных данных.
Действующее законодательство прямо не обязывает оператора соблюдать требования части 4 статьи 9 152-ФЗ в отношении получения согласия субъекта персональных данных в письменной форме или в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Тем не менее, настоятельно рекомендуется не ограничиваться при получении согласия на обработку персональных данных общим фразами, указанными во всплывающем сообщении или специальном поле, и составить подробный текст согласия, с учетом требований части 1 статьи 9 152-ФЗ о конкретности, информированности и сознательности согласия на обработку персональных данных.
Дистанционный способ предоставления посетителями и пользователями своего согласия на обработку персональных данных порождает вопросы относительно возможности для оператора как достоверно установить факт получения согласия от конкретного субъекта персональных данных, так и иметь возможность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных согласно требованию части 3 статьи 9 152-ФЗ. С учетом текущего уровня развития информационных технологий для большинства операторов наиболее приемлемым и эффективным способом установления факта получения согласия от конкретного субъекта является дистанционное (с помощью электронных писем, текстовых сообщений или телефонных звонков) направление субъекту различного вида проверочных кодов, паролей с их последующим использованием субъектом для подтверждения достоверности его волеизъявления. Рассматриваемый подход обладает некоторыми недостатками:
- необходимость получения от субъекта его контактных данных (адрес электронной почты, номер телефона), что подразумевает обязательное использование веб-форм и развертывания соответствующей инфраструктуры по направлению проверочных кодов и учету их использования;
- затруднительность реализации в отношении посетителей сайта, не использующих функционал веб-форм обратной связи или регистрации на сайте;
- направленность на проверку контактных данных пользователя, но не иных сведений, указанных пользователем.
Следует отметить, что подобный подход уже длительное время практикуется в качестве обязательного элемента процедур регистрации пользователей на сайтах в сети «Интернет» и регистрации разного рода обращений, направляемых посредством веб-форм. При этом, первоочередная цель имеет несколько иной характер - экономия ресурсов оператора за счет исключения обработки неполных, неточных или недостоверных сведений, предоставляемых пользователями. Соответственно, представляется возможным для операторов использовать результаты таких процедур и для выполнения требования части 3 статьи 9 152-ФЗ.
Юридическая ответственность за нарушения при обработке персональных данных посредством сайта
Основные меры юридической ответственности для операторов (владельцев сайтов), осуществляющих сбор и дальнейшую обработку персональных данных посредством сайтов в сети «Интернет», определены в статье 13.11 Кодекса Российской Федерации об административных правонарушениях:
- обработка персональных посетителей и пользователей сайта без получения их согласия влечет предупреждение или наложение административного штрафа на должностных лиц оператора – от пяти тысяч до десяти тысяч рублей; на самого оператора – от тридцати тысяч до пятидесяти тысяч рублей;
- неопубликование оператором в сети «Интернет» документа, определяющему политику оператора в отношении обработки персональных данных и содержащего сведения о реализуемых требованиях к защите персональных данных, влечет предупреждение или наложение административного штрафа на должностных лиц оператора – от трех тысяч до шести тысяч рублей; на самого оператора – от пятнадцати тысяч до тридцати тысяч рублей.
Следует помнить, что юридическая ответственность за невыполнение требований законодательства в сфере обработки и защиты персональных данных обладает определёнными особенностями, рассмотренными ниже:
- оператор и лицо, ответственное за организацию обработки персональных данных (при условии виновности вышеуказанного лица), могут быть привлечены к административной и гражданской ответственности солидарно;
- назначение административного наказания не освобождает оператора и лицо, ответственное за организацию обработки персональных данных, от исполнения обязанности, за неисполнение которой административное наказание было назначено;
- если оператором, являющимся юридическим лицом, не был назначен ответственный за организацию обработки персональных данных (пункт 1 части 1 статьи 18.1 152-ФЗ), то административное наказание будет назначено непосредственно руководителю оператора.