Охрана прав субъекта персональных данных в сети Интернет

Важной особенностью дальнейшей разработки и построения механизмов идентификации должен являться учет особенностей существующих стандартов и протоколов обмена и хранения информации. При этом должно допускаться создание механизмов, когда идентификация проводится не непосредственно участниками отношений в момент их возникновения или развития, а только при определенных обстоятельствах при обращении за информацией к другим субъектам, не участвовавшим в них, но обеспечивающим функционирование инфраструктуры — аппаратно-программных решений, за счет использования функционала которых передастся и хранится информация (операторов связи, информационных посредников, организаторов распространения информации)^[1].

Об охране прав субъекта персональных данных в российском законодательстве уже шла речь в параграфе 4.5. Далее хотелось остановиться на аспектах распространения персональных данных в информационно-телекоммуникационной сети Интернет, особенно в связи с последними законодательными инициативами, которые вызвали широкий резонанс в интернет-сообществе.

Очевидно, что в современном информационном обществе очень сложно сохранить свою частную жизнь действительно приватной. Особенно это связано с появлением информационно-телекоммуникационных сетей, где информация не только быстро распространяется, но и может храниться неограниченное время.

Начиная с середины прошлого столетия законодательство о персональных данных многих развитых стран пополнилось новыми законами о неприкосновенности частной жизни, которые призваны обеспечить защиту граждан от незаконного использования их персональных данных и гарантировать им право доступа к своим персональным данным для проверки их точности и достоверности. Однако на практике кардинальных изменений не произошло: Google, Facebook, Apple и другие крупные интернет-компании постоянно уличают в незаконном сборе информации.

Важнейшая проблема связана с переводом в электронный вид оказания государственных услуг и осуществления государственных функций. Сегодня государственные органы, однажды получившие согласие гражданина, имеют право передавать его данные между собой неопределенно долго с минимальными ограничениями, не уведомляя владельцев. Это может создавать риск нецелевого использования этих данных. Поэтому многими специалистами предлагается ограничить право госорганов обрабатывать персональные данные без согласия субъекта только целями предоставления конкретной услуги.

В мае 2013 г. был принят целый пакет изменений в 14 законодательных актов, среди которых Федеральный закон «О персональных данных», ТК РФ, ГПК РФ, законодательство о прокуратуре, о пенсионных фондах, о государственной социальной помощи. Эти изменения направлены на более эффективное обеспечение конфиденциальности и защиты персональных данных. Цель этих изменений — привести федеральный закон в соответствие с требованиями времени: учитывать особенности социальных сетей, аспекты, связанные с оказания услуг в электронном виде, использование «облачных» сервисов.

Так, существующая проблема трансграничной передачи персональных данных получила только частичное решение. Согласно закону до начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных на территории РФ, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, в законе не предусмотрено. Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством РФ в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных 1981 г. с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию.

В случае, если государство не присоединилось к Конвенции, для оценки адекватности защиты прав субъектов персональных данных на территории другого государства оператору, осуществляющему трансграничную передачу персональных данных, необходимо самостоятельно убедиться: что государство имеет свои национальные законы по защите прав субъектов персональных данных и есть механизм правовой защиты этих прав; что зарубежный контрагент знает об этих законах и применяет их на практике; что существуют государственные технические регламенты или стандарты по защите информации в целом и персональных данных в частности и субъект, которому осуществляется передача персональных данных, применяет их. Большинству операторов персональных данных, не являющимися крупными компаниями, осуществить указанный перечень действий самостоятельно невозможно. Поэтому Роскомнадзор взял на себя решение этой проблемы. Так, приказом Роскомнадзора от 15.03.2013 № 274 утвержден перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных, в который вошли 17 стран.

Сегодня проблемы трансграничной передачи персональных данных тесно связаны с проблемами обработки персональных данных в «облаках». «Облачные» сервисы предполагают расположение серверов, реализующих «облачные» вычисления, в разных странах. Если информация попадает в «облако» какого-нибудь крупного оператора, то в большинстве случаев невозможно сказать, на территории какой страны будет храниться та или иная информация. И более того, как предупреждает Эдвард Сноуден, как только данные попадают в «облако», сразу же это становится доступно третьим лицам в лице спецслужб.

В июле 2014 г. принят Федеральный закон от 21.07.2014 № 242-ФЗ, который устанавливает требование к операторам персональных данных хранить персональные данные российских граждан на территории РФ. Так, согласно ст. 15.5 Закона об информации в целях ограничения доступа к информации в сети Интернет, обрабатываемой с нарушением законодательства РФ в области персональных данных, создастся автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». В реестр нарушителей включаются:

• 1) доменные имена и (или) указатели страниц сайтов в сети Интернет, содержащих информацию, обрабатываемую с нарушением законодательства РФ в области персональных данных;
• 2) сетевые адреса, позволяющие идентифицировать сайты в сети Интернет, содержащие информацию, обрабатываемую с нарушением законодательства РФ в области персональных данных;
• 3) указание на вступивший в законную силу судебный акт;
• 4) информация об устранении нарушения законодательства РФ в области персональных данных;
• 5) дата направления операторам связи данных об информационном ресурсе для ограничения доступа к этому ресурсу.

Создание, формирование и ведение реестра нарушителей осуществляет Роскомнадзор. Основанием для включения в реестр нарушителей информации является вступивший в законную силу судебный акт.

Указанные поправки в законодательство вступили в силу с 1 сентября 2015 г. С принятием Федерального закона от 21.07.2014 № 242-ФЗ возникло много вопросов с его реализацией: возможна ли параллельная обработка персональных данных россиян за рубежом при условии согласия субъектов; должны ли новые требования применяться к данным, собранным до 1 сентября 2015 г. и др. Поэтому операторы персональных данных ждут разъяснений и подзаконных актов Правительства РФ и Роскомнадзора.

Однако уже сегодня, стремясь выполнить требования законодательства, иностранные компании переносят часть своих информационных систем на российские серверы или в российские дата-центры^[2].

• [1] Наумов В. Б. К вопросу о развитии института идентификации в информационном праве // Информационное право: актуальные проблемы теории и практики: сб. докладов науч.-практ. конференции, Москва, 3 апреля 2015. М.: Издательский центр Университета имени О. Е. Кутафина (МГЮЛ), 2015. С. 85−88
• [2] URL: pcwcck.ru/govcr/articlc/dctail.php? ID-176 112