Право

Защита персональных данных в Интернете

Яна Блукис, юрист

На сегодняшний день многие предприниматели задаются вопросом о необходимости размещения на сайтах документов, регулирующих правила пользования сайтом (сервисом), порядок и основания обработки персональных данных пользователей. После внесения поправок в КоАП РФ, которые увеличили ответственность за нарушение законодательства в области персональных данных, эта тема приобрела особую актуальность. Разберемся, какие обязательства возникают у оператора-администратора сайта, какие документы необходимо размещать на его страницах и как избежать санкций.

В соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — ​закон) оператор — ​это государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

«Обработка персональных данных» — ​это любое действие (операция) или некоторые действия (операции), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Если на сайте имеется какая-либо форма запроса, регистрации или иная форма, подразумевающая ввод и предоставление персональных данных пользователем, то лицо, осуществляющее их сбор (администратор сайта), признается оператором персональных данных.

Соответственно, персональные данные — ​это любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (субъекту персональных данных).

Установленная законодателем формулировка очень расплывчата, в связи с чем в судебной практике имеется большое количество споров по вопросу отнесения тех или иных данных к персональным.

Например, самый актуальный вопрос на сегодня: является ли номер телефона, без предоставления имени, фамилии и иной конкретизирующей информации, персональными данными?

В разъяснениях Роскомнадзора прослеживается позиция о непринадлежности номера телефона, без указаний на дополнительную информацию о субъекте, к персональным данным. При этом судебная практика говорит об обратном. Суды подчеркивают, что, даже если номер телефона размещен в Интернете (находится в открытом доступе), использовать номер телефона в своих целях без согласия субъекта неправомерно. (Апелляционное определение Нижегородского областного суда от 11.10.2016 по делу № 33–12355/2016).

Если говорить о предоставлении субъектом одного только имени (даже вымышленного), то здесь уместно вспомнить уже ставшее известным дело о возложении Рос­комнадзором штрафа на юридическую компанию в связи с тем, что в форме запроса не была опубликована политика конфиденциальности, хотя пользователь мог предоставить только имя без указания на иные данные (Постановление № 4А‑288/2016 от 4 октября 2016 года по делу № 4А‑288/2016).

В связи с тем что законодатель не установил четкого перечня персональных данных, имя, фамилия, номер телефона, адрес электронной почты и т. д., предоставленные по отдельности, по мнению судов, подпадают под определение понятия «персональные данные» и к нарушителям можно применять соответствующие меры ответственности. Поэтому, если администратор сайта собирает какие-либо данные, прямо или косвенно определяемые с лицом, стоит позаботиться об оформлении надлежащих документов на сайт.

На что следует обратить внимание в случае создания сайта или его активного использования:

Предоставляя персональные данные, любой пользователь должен получить непосредственный доступ к обязательному документу — ​политике конфиденциальности/обработки ПДн. Такую обязанность устанавливает уже упоминаемый Федеральный закон «О персональных данных». Документ должен содержать подробное описание порядка получения согласия пользователя на обработку его персональных данных (Ф. И. О., телефон, адрес электронной почты и прочие), способы и цели обработки ПДн, требования к обеспечению их конфиденциальности, сроки обработки и иную информацию, указанную в п. 7 ст. 14, п. 1 ст. 18 ФЗ «О персональных данных».

То есть политика конфиденциальности размещается в обязательном порядке.

Далее законодатель устанавливает обязанность администратора сайта получать согласие субъекта на обработку его персональных данных.

Устанавливается форма согласия в любой, позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Некоторые сайты, наряду с политикой, предоставляют текст согласия. Но чаще всего пользователь дает согласие путем проставления галочки «отправить/подтверждаю», что правильнее?

Обязательное условие для формы согласия субъекта о предоставлении персональных данных — ​возможность подтвердить факт его получения, поэтому целесообразно включить в форму запроса рамку для галочки. Размещение одного только текста согласия будет являться нарушением, хотя в дополнение к галочке нелишним.

Обращая внимание на проверки Роскомнадзора и назначения органом многочисленных штрафов, в форме запроса следует разместить в обязательном порядке:

  • Ссылку на политику конфиденциальности.
  • Фразу о том, что пользователь ознакомлен с соглашением и политикой и согласен с предлагаемыми условиями, осознанно дает согласие на обработку персональных данных: «Даю согласие на обработку моих персональных данных…».
  • Форму для галочки.

На сайте располагается сервис, предоставляющий пользователям, зарегистрированным в соответствующем порядке, доступ к его использованию/Сайт предоставляет личный кабинет

Примером могут быть те же социальные сети, сайты с играми и иные сайты, содержащие личный кабинет и/или предоставляющие широкий функционал.

В данном случае целесообразно заключить с пользователем соглашение, которым будут устанавливаться права и обязанности сторон. Такой договор приобрел свое наименование — «Пользовательское соглашение» и раскрывается как соглашение пользователя с условиями, предлагаемыми администратором сайта. Размещение его в форме запроса/регистрации рассматривается как оферта — ​предложение заключить договор на определенных одной стороной условиях. Совершение пользователем действий (поставил галочку, нажал кнопку «отправить», прошел процедуру регистрации, предоставил данные), в зависимости от того, какой порядок установлен в соглашении, будет считаться акцептом — ​согласием.
В форме регистрации, обратной связи и иной форме, подразумевающей предоставление пользователем персональных данных, так же, как и в первом случае, должны располагаться политика, галочка, фраза и теперь еще соглашение.

Пользовательское соглашение для администратора сайта будет помощником в вопросе надлежащего использования сервиса/сайта. В соглашении можно определить, каким образом пользователь использует сайт, запреты и ограничения использования, получение доступа в личный кабинет, блокировка, удаление пользователя, ответственность администратора/пользователя и иные условия.

На данном этапе суды признают пользовательские соглашения в качестве надлежащего доказательства. Тем самым оно способно защитить интересы владельца/администратора сайта.

В качестве примера можно привести судебное дело между ЗАО «Правда.ру» и ЗАО «Рутьюб». «Рутьюб» осуществил воспроизведение и распространение фильма на своем сайте. Истец (ЗАО «Правда.ру») потребовал взыскать с ответчика компенсацию за нарушение авторских прав на фильм. Суды всех инстанций отказали во взыскании компенсации, обосновав тем, что в пользовательском соглашении, размещенном на сайте ответчика, ответственность за противоправное распространение фильма несет пользователь (Постановление 9 ААС № 09АП‑32374/11 от 27 декабря 2011 года).

Закон пока не устанавливает обязанности оператора по заключению и размещению подобного соглашения, но, как показывает практика, его установление только поспособствует минимизации рисков оператора.

В новой редакции КоАП Российской Федерации увеличена ответственность лиц:

  • осуществляющих обработку персональных данных, несовместимую с целями их сбора, влечет наложение штрафа на граждан — ​до 3 000 рублей, на юридических лиц — ​до 50 000 рублей;
  • обрабатывающих персональные данные без согласия в письменной форме субъекта, если такое согласие требуется в соответствии с законом, либо обработка персональных данных с нарушением к составу сведений, включаемых в согласие в письменной форме субъекта, — ​штраф на граждан — ​до 5 000 рублей, на юридических лиц — ​до 75 000 рублей;
  • в случае неопубликования на сайте политики обработки персональных данных влечет наложение штрафа на граждан — ​до 1 500 рублей, на юридических лиц — ​до 30 000 рублей.

А также иные виды ответственности, размер штрафных санкций по которым может достигать для юридических лиц 290 000 тысяч рублей.