Читать книгу Научно-практический постатейный комментарий к Федеральному закону «О персональных данных» - Александр Савельев, А. И. Савельев - Страница 4
Глава 1. Общие положения
Статья 1. Сфера действия настоящего федерального закона
Оглавление1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее – государственные органы), органами местного самоуправления, иными муниципальными органами (далее – муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) утратил силу. – Федеральный закон от 25 июля 2011 № 261-ФЗ;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».
1. Несмотря на название комментируемая статья определяет лишь предметную сферу действия комментируемого Закона, а именно отношения, на которые он распространяется, а также перечень изъятий из сферы его действия. Сфера действия данного Закона во времени определяется в его ст. 25. К сожалению, комментируемый Закон никак не конкретизирует сферу своего действия в пространстве, что особенно актуально для определения круга иностранных лиц, на которых распространяются его требования. Как следствие, территориальная сфера действия настоящего Закона определяется посредством системного толкования положений иных законов и конкретизирована в разъяснениях Минкомсвязи России, которое является федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных и уполномоченным на дачу разъяснений по указанным вопросам1. Данные разъяснения опубликованы на официальном сайте Минкомсвязи России2 и будут предметом подробного анализа далее.
1.1. Предметная сфера действия законодательства РФ о персональных данных определена в комментируемой статье посредством указания на два основных признака правоотношений:
1) наличие связи таких отношений с процессами обработки персональных данных;
2) использование средств автоматизации или иных средств, которые по своему характеру схожи с ними и позволяют осуществлять поиск персональных данных в соответствии с заданным алгоритмом.
Первый признак имеет место всегда, когда положительно решен вопрос о квалификации выступающей объектом правоотношения информации в качестве персональных данных, поскольку существующая дефиниция обработки персональных данных охватывает любые действия, совершаемые с ними (о понятиях персональных данных и их обработки см. комментарий к ст. 3 Закона о персональных данных).
Второй признак имеет место во всех случаях автоматизированной обработки, т.е. использования средств вычислительной техники для обработки персональных данных (компьютеров, планшетов, смартфонов, «умных часов», устройств, подключенных к сети «Интернет», и т.п.). Фактически об автоматизированной обработке персональных данных можно вести речь всегда, когда такие данные выражены в цифровой форме.
Кроме того, рассматриваемый признак имеет место при осуществлении «неавтоматизированной» обработки персональных данных, удовлетворяющей в совокупности следующим условиям (далее – квази-автоматизированная обработка):
а) поиск и (или) доступ к таким данным осуществляется в соответствии с определенным алгоритмом, что предполагает наличие систематизации соответствующих документов по конкретным критериям (например, по фамилиям в алфавитном порядке и (или) по годам);
б) использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека независимо от того, хранятся такие сведения в информационной системе персональных данных или нет3.
1.2. В отсутствие систематизации документов по определенным критериям невозможно осуществление действий с ними по определенному алгоритму, а следовательно, такие действия не могут по своему характеру соответствовать действиям, осуществляемым при автоматизированной обработке, и не подпадают под действие Закона о персональных данных. При этом следует подчеркнуть, что буквальное толкование ч. 1 комментируемой статьи позволяет сделать вывод о том, что требование о наличии алгоритма установлено в виде альтернативы применительно как к поиску, так и к доступу к соответствующим данным, а не только к поиску, как иногда указывается в литературе4. Кроме того, настоящий Закон прямо указывает на то, что речь идет о доступе к «таким данным», отсылая тем самым к предыдущей фразе, в которой речь идет о «зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных». Иными словами, к хранению и иным видам обработки несистематизированных персональных данных без использования средств автоматизации Закон о персональных данных не применяется, даже если к таким сведениям возможен последующий доступ третьих лиц.
1.3. Примером квази-автоматизированной обработки, подпадающей под действие комментируемого Закона, являются действия оператора, связанные с ведением различного рода картотек личных дел сотрудников организации; договоров, заключенных с физическими лицами; медицинских карт пациентов в регистратурах поликлиник; журналов выдачи одноразовых пропусков на территорию и т.п. При этом если персональные данные, содержащиеся в «бумажных» документах и систематизированные в картотеках, параллельно используются, уточняются, распространяются или уничтожаются с помощью средств вычислительной техники (например, при использовании программных продуктов по расчету зарплат и управлению персоналом), то имеет место так называемая смешанная обработка ‒ обработка, осуществляемая оператором без использования средств автоматизации и автоматизированным способом одновременно. Данный термин хотя и не фигурирует в законе, но используется на практике контрольно-надзорными органами и судами (см.: Постановление Четвертого арбитражного апелляционного суда от 17 января 2011 г. по делу № А19-25289/2009; Апелляционное определение Владимирского областного суда от 20 января 2015 г. по делу № 33-139/2015; п. 9 Рекомендаций Роскомнадзора по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных от 29 января 2016 г.). Несмотря на то что в данном случае оба средства обработки подпадают под действие Закона о персональных данных, существуют определенные отличия в правовых последствиях их осуществления, которые необходимо учитывать, например, в части наличия или отсутствия обязанности по уведомлению Роскомнадзора об обработке персональных данных ( см. подробнее комментарий к ст. 22 настоящего Закона). При этом следует учитывать п. 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствии с которым «обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее».
1.4. Если деятельность по обработке персональных данных не сопряжена с использованием автоматизированных или квази-автоматизированных средств обработки, то она в соответствии с ч. 1 комментируемой статьи не подпадает под действие Закона о персональных данных. Например, если осуществляется обработка персональных данных контрагента по «бумажному» договору при оформлении дополнительных документов к нему (актов, дополнительных соглашений, договоров уступки) без использования вычислительных средств, а также без внесения этих документов в систематизированные картотеки (Постановление Двадцатого арбитражного апелляционного суда от 12 июля 2016 г. № 20АП-3775/2016 по делу № А23-4903/2012).
По тем же причинам не подпадают под действие Закона о персональных данных устное разглашение личных сведений о физическом лице в присутствии третьих лиц (Апелляционное определение Курганского областного суда от 27 марта 2014 г. по делу № 33-929/2014) и разглашение личных данных посредством направления письма, содержащего их, в адрес третьих лиц (Кассационное определение Саратовского областного суда от 7 февраля 2012 г. по делу № 33-697). Однако если указанные действия совершались с использованием вычислительных средств, например, посредством сети «Интернет», то они по общему правилу подпадают под действие Закона о персональных данных.
1.5. В судебной практике сформировалась позиция, согласно которой действие Закона о персональных данных не распространяется на «отношения по собиранию, проверке, хранению сведений в процессе возбуждения, расследования и рассмотрения уголовных дел и сам по себе он (указанный Закон. – А.С.) не может ограничивать права участников уголовного процесса и заявителей о преступлениях на ознакомление с материалами уголовных дел и проверок сообщений о преступлениях»5 (Определение Конституционного Суда РФ от 29 сентября 2011 г. № 1251-О-О; Апелляционное определение Санкт-Петербургского городского суда от 1 октября 2014 г. № 33-14325/2014 по делу № 2-1111/2014). Таким образом, наличие в материалах проверки по заявлению о правонарушении персональных данных иных лиц при отсутствии в них сведений об их частной жизни и иных конфиденциальных сведений, не может ограничивать право гражданина на ознакомление с этими материалами, непосредственно затрагивающими его права и свободы (Апелляционное определение Верховного суда Республики Башкортостан от 18 мая 2016 г. № 33а-9145/2016).
1.6. Хотя Конвенция 1981 г. формально касается лишь автоматизированной обработки персональных данных, она допускает возможность распространения ее положений не только на случаи автоматизированной обработки, но и на обработку без использования средств автоматизации, что было учтено Российской Федерацией при ратификации этой Конвенции6.
Аналогичные положения содержатся и в европейском законодательстве, оперирующем понятием «система учета документов» (filling system), под которой понимается любой структурированный массив персональных данных, доступных в соответствии с определенными критериями, безотносительно к тому, является ли он централизованным, децентрализованным или распределенным на функциональной или географической основе. В соответствии со ст. 3 Директивы 1995 г. ее положения распространяются как на автоматизированную обработку персональных данных, так и на их обработку иными способами, при которых персональные данные являются частью системы учета документов. При этом отмечается, что «досье (файлы) или их наборы, а также их обложки, не являющиеся структурированными в соответствии с определенными критериями, ни при каких обстоятельствах не охватываются рамками настоящей Директивы» (п. 27 Преамбулы).
Примечательно, что данные положения не были затронуты реформой законодательства о персональных данных и в неизменном виде содержатся также в Регламенте 2016 г. (ст. 2, п. 15 Преамбулы). Как следствие, судебная практика отдельных европейских стран не относит к системе учета документов неструктурированные массивы документов, которые по своему характеру несопоставимы с автоматизированными средствами обработки данных, например, набор документов, который бессистемно хранится в коробках (Smith v. Lloyds TSB Bank Plc, [2005] EWHC 246 (Ch)), или недостаточно объемные массивы документов (например, четыре досье) (Durant v. Financial Services Authority, [2003] EWCA Civ. 1746).
1.7. Следует отметить, что цели обработки персональных данных по общему правилу не имеют значения для решения вопроса о распространении на нее положений Закона о персональных данных, за исключением случаев, прямо указанных в ч. 2 комментируемой статьи. Поэтому безотносительно к тому, осуществляется ли обработка данных в коммерческих, политических, научно-исследовательских, статистических и прочих целях, она подпадает под действие Закона о персональных данных.
Равным образом для определения сферы применения Закона о персональных данных не имеет значения статус субъекта, осуществляющего обработку персональных данных: в качестве такового может выступать любое лицо, обладающее правоспособностью. Часть 1 комментируемой статьи относит к указанным лицам государственные и муниципальные органы власти, юридических и физических лиц. Таким образом, российское законодательство о персональных данных имеет универсальный характер и в равной степени распространяется на частный и публичный секторы, что, правда, не означает отсутствия специальных норм в отношении последнего.
2. Часть 2 комментируемого Закона содержит закрытый перечень видов отношений по обработке персональных данных, которые не подпадают под его действие независимо от того, какие средства используются при их обработке (автоматизированная или квази-автоматизированная). Таким образом, ставить вопрос о применимости каких-либо из данных видов исключений можно лишь после того, как положительно решен вопрос о применимости Закона о персональных данных к соответствующим отношениям в соответствии с положениями ч. 1 комментируемой статьи.
2.1. Закон о персональных данных не распространяется на обработку персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных. Появление данного исключения в российском законодательстве является следствием оговорки, сделанной Россией при ратификации Конвенции 1981 г., о неприменении ее положений к определенным категориям автоматизированных данных7, в связи с чем это исключение не противоречит международным обязательствам Российской Федерации. Аналогичное извлечение из сферы действия законодательства о персональных данных существует и в Европейском Союзе (ст. 3 (2) Директивы 1995 г., ст. 2 (2) (с) Регламента 2016 г.).
2.2. Понятия личных и семейных нужд в комментируемом Законе не конкретизируются. Представляется, что для толкования этих понятий можно обратиться к гражданскому законодательству и законодательству о защите прав потребителей, в которых также используются указанные термины. Так, одним из условий квалификации гражданина в качестве потребителя является приобретение товаров (работ, услуг) «исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности»8. Как следствие, не является потребителем гражданин, приобретающий товары (работы, услуги) или использующий их в деятельности, которую он осуществляет самостоятельно на свой риск с целью извлечения прибыли. При этом под предпринимательской деятельностью понимается «самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке» (п. 1 ст. 2 ГК РФ). Таким образом, если процесс обработки персональных данных физическим лицом направлен на осуществление предпринимательской деятельности, он не охватывается понятием «личных» и «семейных» нужд и подпадает под действие Закона о персональных данных. Факт получения разовой прибыли от деятельности, связанной с обработкой персональных данных физическим лицом, не должен сам по себе лишать возможности применения рассматриваемого исключения из сферы действия Закона о персональных данных, при условии, что отсутствуют нарушения прав субъектов персональных данных.
2.3. В отечественной доктрине отмечается, что понятие «личные нужды» следует понимать как «потребности, которые существуют у самого гражданина или лиц, связанных с ним личными (например, семейными) связями, и их удовлетворение никак не связано с удовлетворением потребностей неопределенного круга третьих лиц»9. Данная идея находит отражение в практике Суда ЕС. В деле Bodil Lindquist Суд указал, что распространение физическим лицом персональных данных третьих лиц в сети «Интернет» не подпадает под действие исключения об обработке данных для личных нужд, поскольку такие данные становятся доступными неопределенному кругу лиц (Bodil Lindqvist v. Åklagarkammaren i Jönköping, ECJ, Case C-101/01. 6 November 2003, [47]). Представляется, что данный подход вполне укладывается в нормы российского Закона о персональных данных, который содержит положение о неприменении исключения об обработке персональных данных для личных нужд с условием о ненарушении прав субъектов персональных данных. Распространение данных в сети «Интернет», их доступность неопределенному кругу лиц означают утрату контроля над дальнейшим использованием таких данных, что в совокупности с потенциальной возможностью их последующей обработки инструментами аналитики «больших данных» определенно затрагивает права субъектов персональных данных и в ряде случаев может их нарушать (например, при публикации одним лицом совместных фотографий в отсутствие согласия других присутствующих на них лиц). Следует отметить, что Регламент 2016 г. содержит несколько иной подход, согласно которому исключение об обработке персональных данных для личных нужд может применяться и к онлайн деятельности лица, в том числе при использовании социальных сетей (п. 18 Преамбулы). Пока не очень понятно, как будет соотноситься данное положение с правовой позицией Европейского Суда Справедливости, учитывая, что положения преамбулы формально не имеют юридической силы.
Представляется, что решение о применении или неприменении исключения об обработке персональных данных для личных нужд должно приниматься с учетом всех обстоятельств конкретного случая, при этом целесообразно учитывать степень доступности содержимого интернет-ресурса, в частности, настройки приватности (при их наличии)10.
2.4. В европейской судебной практике возник вопрос о возможности применения исключения об обработке для личных нужд персональных данных применительно к случаям установки лицом для целей охраны своей собственности камеры видеонаблюдения, которая осуществляет циклическую запись на жесткий диск происходящего, например, на улице перед домом. В деле František Ryneš Суд ЕС признал недопустимым распространение рассматриваемого исключения на подобного рода ситуации, поскольку такая обработка данных не ограничена пределами частных владений лица, направлена за его пределы и касается данных, полученных из публичных мест (улица), в связи с чем не является их обработкой, осуществляемой исключительно для личных и семейных нужд (František Ryneš v. Úřad pro ochranu osobních údajů, ECJ, Case C-212/13, 11 December 2014). Тем самым была подтверждена правомерность решения национального уполномоченного органа по защите персональных данных о нарушении субъектом, установившим камеру, положений об обработке персональных данных (отсутствие согласия прохожих на обработку, непредоставление им информации о целях и иных условиях обработки, неподача уведомления об обработке в уполномоченный орган).
Фактически Суд ЕС исходил из максимально ограничительного толкования исключения об обработке для личных нужд и высказался о несовместимости личных и семейных нужд с обработкой данных из публичных мест, особенно в тех случаях, когда она осуществляется на систематической основе. Следует отметить, что согласно действующему российскому законодательству граждане и юридические лица, не уполномоченные на проведение оперативно-розыскных мероприятий, не вправе устанавливать и использовать скрытые видеокамеры (технические средства для негласного визуального наблюдения)11. В этой связи вряд ли можно рассматривать установку камер видеонаблюдения за публичными местами в качестве обработки персональных данных, осуществляемой для личных и семейных нужд.
Кроме того, возникает вопрос о правовом статусе доказательств, полученных посредством такой камеры, в случаях, когда положения законодательства о персональных данных были нарушены. Формально такие доказательства могут считаться полученными с нарушениями требований закона и, как следствие, недопустимыми в рамках производства по делу об административном правонарушении. Согласно ч. 3 ст. 26.2 КоАП РФ не допускается использование доказательств по делу об административном правонарушении, в том числе результатов проверки, проведенной в ходе осуществления государственного контроля (надзора) и муниципального контроля, если указанные доказательства получены с нарушением закона. Что касается уголовного процесса, то здесь все не так очевидно, поскольку ст. 75 УПК РФ признает недопустимыми доказательства, полученные с нарушением требований именно данного Кодекса , а не любого закона (ч. 1 ст. 75 УПК РФ). Однако нельзя совсем исключать ситуации, в которых нарушение требований законодательства о персональных данных в отношении участника уголовного процесса может быть «подогнано» под нарушение какого-либо требования УПК РФ.
2.5. Принимая во внимание вышеизложенные соображения, можно предположить, что под обработку персональных данных для личных и семейных нужд будут подпадать организация и использование списка контактов в телефонах или коммуникационных сервисах; хранение писем, содержащих персональные данные на компьютерных устройствах, и т.п. При этом, как представляется, использование чужих визитных карточек не подпадает под данное исключение, поскольку, с одной стороны, обычно сопряжено с профессиональной деятельностью субъекта персональных данных, а с другой – не охватывается понятием автоматизированной обработки или обработки без использования средств автоматизации и тем самым выпадает из-под действия Закона о персональных данных в силу ч. 1 комментируемой статьи, а не ее п. 1 ч. 2.
2.6. Согласно п. 2 ч. 2 настоящей статьи действие Закона о персональных данных не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации. Данное положение корреспондирует ч. 3 ст. 4 Закона об информации, согласно которой порядок хранения и использования включенной в состав архивных фондов документированной информации устанавливается законодательством об архивном деле в Российской Федерации.
В число актов указанной отрасли законодательства входят Федеральный закон от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации» (далее – Закон об архивном деле) и принятые в соответствии с ним подзаконные нормативные правовые акты, законы и иные нормативные правовые акты субъектов Российской Федерации. Субсидиарное применение законодательства о персональных данных к рассматриваемым отношениям не предусмотрено, информационному законодательству, в отличие от гражданского законодательства, не известно понятие применения закона по аналогии при наличии пробела в регулировании.
В соответствии со ст. 3 Закона об архивном деле под архивным делом понимается деятельность государственных органов, органов местного самоуправления, организаций и граждан в сфере организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов. При этом под архивным документом понимается материальный носитель с зафиксированной на нем информацией, который имеет реквизиты, позволяющие его идентифицировать, и подлежит хранению в силу значимости указанных носителя и информации для граждан, общества и государства.
Разновидностью архивных документов являются так называемые документы по личному составу, которые отражают содержание трудовых отношений работника и работодателя. Государственные органы, органы местного самоуправления, организации и индивидуальные предприниматели обязаны обеспечивать сохранность архивных документов, в том числе документов по личному составу, в течение сроков их хранения: для документов по личному составу, созданных до 2003 г., – не менее 75 лет с момента создания; для документов, созданных после 2003 г., – не менее 50 лет с момента создания12. В отношении иных документов необходимо руководствоваться специальными перечнями13.
Неприменение закона к отношениям по обработке персональных данных при организации хранения, комплектования, учета и использования архивных документов не означает, что право граждан на частную жизнь никак не учитывается. В данном случае применяется специальная норма ч. 3 ст. 25 Закона об архивном деле, согласно которой существует ограничение на доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности. Данное ограничение устанавливается на срок 75 лет со дня создания указанных документов. С письменного разрешения гражданина, а после его смерти – с письменного разрешения наследников этого гражданина ограничение на доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, может быть отменено ранее чем через 75 лет со дня создания указанных документов.
Оценивая данное исключение из сферы действия Закона о персональных данных, нельзя не отметить его достаточно спорный характер. Оно не упоминается в Законе о ратификации Конвенции 1981 г., отсутствуют схожие положения и в общеевропейском законодательстве. Напротив, Регламент 2016 г. прямо упоминает архивные цели в качестве возможных целей обработки персональных данных (п. 73, 153 Преамбулы и другие положения). Вряд ли данное изъятие можно объяснить отсутствием в законодательстве об архивной деятельности понятия «электронный архив», в связи с чем оно не может регулировать автоматизированную обработку данных14, поскольку законодательство о персональных данных распространяется в том числе и на обработку персональных данных без средств автоматизации, поэтому отсутствие понятия «электронный архив» не может само по себе препятствовать его применению. По всей видимости, включение данного положения было продиктовано желанием сохранить сложившееся регулирование в области архивного дела и не инициировать глубокую его переработку в связи с появлением нового пласта регулирования. Однако попадание в сферу архивного законодательства документов, создаваемых в процессе отношений, которые при прочих равных условиях относятся к «компетенции» законодательства о персональных данных, например, документов, содержащих сведения о трудовых правоотношениях («документов по личному составу»), может повлечь правовые коллизии и правоприменительные ошибки. Куда более логичным было бы введение отношений по обработке персональных данных в архивной деятельности в общую орбиту законодательства о персональных данных с установлением ряда специальных норм, учитывающих особенности данной сферы.
2.7. Еще одним исключением из сферы действия Закона о персональных данных являются отношения по обработке персональных данных, составляющих государственную тайну, т.е. защищаемых государством сведений в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Данное исключение было предусмотрено в оговорке, сделанной при ратификации Конвенции 1981 г., о неприменении ее положений к определенным категориям автоматизированных данных15, в связи с чем это исключение не противоречит международным обязательствам Российской Федерации. Порядок отнесения сведений к государственной тайне и их правовой режим устанавливаются Законом РФ от 21 июля 1993 г. № 5485-I «О государственной тайне».
2.8. Четвертым и последним изъятием из сферы действия Закона о персональных данных являются отношения, связанные с предоставлением уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 г. № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации». Данное исключение связано с действием принципа гласности судопроизводства. Однако его практическая реализация обладает спецификой в зависимости от типа суда, который вынес судебный акт.
Так, тексты судебных актов, принятых арбитражными судами, Конституционным Судом РФ и конституционными судами субъектов РФ, по общему правилу размещаются в сети «Интернет» в полном объеме.
Как отметил Высший Арбитражный Суд РФ, опубликование судебных актов, содержащих персональные данные лиц, участвующих в производстве по делу об административном правонарушении, не может само по себе рассматриваться как наносящее ущерб безопасности таких лиц, членов их семей, их близких, а также их чести и достоинству. При этом содержание персональных данных в судебных актах арбитражных судов не препятствует их размещению в сети «Интернет» в полном объеме. В случае необходимости сохранения коммерческой или иной охраняемой законом тайны разбирательство дел об административных правонарушениях осуществляется в закрытом судебном заседании при удовлетворении судом соответствующего ходатайства лица, участвующего в деле16.
При размещении в сети «Интернет» текстов судебных актов, прирнятых судами общей юрисдикции, по общему правилу в целях обеспечения безопасности участников судебного процесса из указанных актов исключаются персональные данные, кроме фамилий и инициалов истца, ответчика, третьего лица, гражданского истца, гражданского ответчика, осужденного, оправданного либо лица, в отношении которого ведется производство по делу об административном правонарушении, секретаря судебного заседания, рассматривавших (рассматривавшего) дело судей (судьи), а также прокурора, адвоката и представителя, если они участвовали в судебном разбирательстве. Вместо исключенных персональных данных используются инициалы, псевдонимы или другие обозначения, не позволяющие идентифицировать участников судебного процесса (ч. 3 ст. 15 Федерального закона от 22 декабря 2008 г. № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации»). При этом некоторые судебные решения в целях защиты прав граждан на неприкосновенность частной жизни, личной и семейной тайны , их чести и деловой репутации не подлежат публикации в сети «Интернет» (например, решения по делам, возникающим из семейно-правовых отношений, в том числе по делам об усыновлении (удочерении) ребенка, другим делам, затрагивающим права и законные интересы несовершеннолетних; по делам о преступлениях против половой неприкосновенности и половой свободы личности; об ограничении дееспособности гражданина или о признании его недееспособным; о принудительной госпитализации гражданина в психиатрический стационар и принудительном психиатрическом освидетельствовании; о внесении исправлений или изменений в запись актов гражданского состояния). Правда, следует отметить, что на практике опубликованные в сети «Интернет» судебные решения обычно не содержат фамилий и инициалов участников процесса вопреки требованиям ч. 5 ст. 15 вышеуказанного Закона. Во многом это связано с тем, что перед публикацией судебные акты проходят процедуру деперсонификации в автоматизированном режиме с использованием соответствующего модуля сопряжения подсистемы «Интернет-портал» с базой данных подсистемы «Банк судебных решений (судебная практика)» ГАС «Правосудие»17.
3. Обратимся к сфере действия Закона о персональных данных в пространстве. Как отмечалось ранее, ни комментируемая статья, ни иные положения Закона о персональных данных не содержат каких-либо положений, регламентирующих данный вопрос. В то же время ясное представление понимание сферы применения законодательства о персональных данных по территории и кругу лиц является необходимым условием обеспечения правовой определенности для всех участников отношений, регулируемых законодательством о персональных данных: субъектов персональных данных, использующих интернет-ресурсы в своей повседневной деятельности; операторов персональных данных, использующих инструментарий сети «Интернет» для осуществления своей деятельности; уполномоченных органов по контролю и надзору за соблюдением законодательства о персональных данных. В этой связи необходимо отметить следующее.
3.1. Гражданство или местожительства субъекта персональных данных, сведения о котором обрабатываются, не имеют значения при решении вопроса о применимости российского законодательства о персональных данных. Такой подход соответствует целям Конвенции 1981 г., которая согласно ст. 1 «состоит в обеспечении на территории каждой Стороны для каждого физического лица, независимо от его гражданства или местожительства, уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в отношении автоматизированной обработки касающихся его персональных данных» (курсив мой. – А.С.).
3.2. Требования Закона о персональных данных распространяются на лиц, осуществляющих обработку персональных данных, которые являются гражданами РФ и юридическими лицами, созданными по законодательству РФ, в силу того, что юрисдикция Российской Федерации по общему правилу распространяется на всех граждан государства, безотносительно к их фактическому местоположению (так называемая личная юрисдикция)18. Кроме того, поскольку понятия физического и юридического лица, упомянутые в комментируемой статье, включают в себя, так как прямо не указано иное, и иностранных лиц, которым в соответствии со ст. 2 ГК РФ предоставляется национальный режим, можно сделать вывод, что Закон о персональных данных может распространяться и на иностранных физических и юридических лиц, на официальном сайте суда общей юрисдикции, утв. Постановлением Президиума Совета судей РФ от 27 января 2011 г. № 253.
осуществляющих обработку персональных данных. Если иностранное лицо физически присутствует на территории России в форме представительства или иного обособленного подразделения, то это является достаточным условием для распространения на него положений российского законодательства, как минимум, в части деятельности, осуществляемой через такое обособленное подразделение, и соответственно обработки персональных данных, производимой в связи с деятельностью, осуществляемой посредством такого обособленного подразделения. Если лицо, обрабатывающее персональные данные, не имеет физического присутствия на территории России, Закон о персональных данных может применяться к нему в случае установления факта «виртуального» его присутствия на территории Российской Федерации.
Концепция «виртуального» присутствия связана с осуществлением лицом деятельности в информационно-телекоммуникационной сети «Интернет», которая в силу своего трансграничного, децентрализованного и виртуального характера не позволяет четко обозначить географические границы осуществления такой деятельности. Одной лишь доступности интернет-сайта на территории Российской Федерации недостаточно для вывода, что на него распространяется законодательство Российской Федерации, в том числе о персональных данных, поскольку в таком случае сфера его применения носила бы по существу всемирный характер и делала бы практически невозможным контроль за исполнением им российского законодательства.
Принимая во внимание указанные обстоятельства, Минкомсвязи России конкретизировало условия, при наличии которых Закон о персональных данных распространяется на иностранных лиц19. В их основе лежит критерий направленности деятельности, который используется в международном частном праве, а также в европейской практике20. Так, согласно ст. 1212 ГК РФ выбор права, подлежащего применению к договору, стороной которого является потребитель, не может повлечь за собой лишение такого лица защиты его прав, предоставляемой императивными нормами права страны места жительства потребителя, если контрагент потребителя любыми способами направляет свою деятельность на территорию этой страны. Кроме того, критерий направленности деятельности получил отражение и в информационном законодательстве применительно к «праву быть забытым». В соответствии со ст. 10.3 Закона об информации соответствующие обязанности по удалению ссылок на информацию о заявителе возлагаются на операторов поисковых систем, которые распространяют в сети «Интернет» «рекламу, которая направлена на привлечение внимания потребителей, находящихся на территории Российской Федерации».
Для определения направленности деятельности в указанных разъяснениях выделены два базовых и ряд дополнительных факторов (критериев), которые были подготовлены с учетом европейского опыта толкования положений о направленной деятельности (Joined cases: Peter Pammer v. Reederei Karl Schlüter GmbH & Co. KG (C-585/08) and Hotel Alpenhof GesmbH v. Oliver Heller (C-144/09), 7 December 2010).
Базовые критерии
1) Использование географического доменного имени, связанного с РФ (.ru, .рф., .su) или ее отдельными регионами (например., .moscow, .москва).
Данный критерий основан на презумпции, согласно которой регистрация и фактическое использование доменного имени в указанных зонах являются проявлением намерения владельца интернет-ресурса осуществлять свою деятельность «с прицелом» на Россию, что обусловлено сильной географической привязкой данных доменов к ее территории. В качестве исключения можно рассматривать регистрацию доменного имени без его последующего фактического использования, когда такая регистрация осуществляется в защитных целях для предотвращения захвата такого доменного имени конкурентами или киберсквоттерами.
Схожий критерий применения российского законодательства в сети «Интернет» используется Федеральной антимонопольной службой РФ для определения сферы применения в сети «Интернет» законодательства о рекламе21. Наличие зарегистрированного доменного имени в зоне «.ru» признается достаточным для установления юрисдикции российских судов и в отечественной судебно-арбитражной практике (см., например, Постановление Суда по интеллектуальным правам от 2 октября 2014 г. № С01-856/2014 по делу № А40-102183/2013, в котором говорится: «Поскольку доменное имя, о запрете администрирования которого ответчиком просит истец, зарегистрировано в доменной зоне «.ru», рассматриваемый спор относится к компетенции арбитражных судов Российской Федерации»).
Критерий использования географического доменного имени, связанного с территорией России, носит самодостаточный характер и может применяться вне зависимости от наличия иных критериев. В частности, данному критерию будет удовлетворять использование такого доменного имени для целей переадресации на иной интернет-ресурс, который может располагаться под функциональным доменом типа «.com». Например, в случае использования доменного имени «abc. ru», с которого осуществляется переадресация на «abc.com».
2) Наличие русскоязычной версии интернет-ресурса (в совокупности с одним из вторичных критериев, указанных ниже).
Использование русского языка на интернет-ресурсе является сильным аргументом в пользу присутствия направленности деятельности такого сайта на территорию РФ безотносительно к его доменному имени (т.е. данный критерий применим и к случаям, когда интернет-сайт использует функциональный домен типа .com, .org). При этом во внимание должна приниматься именно целенаправленная локализация интернет-сайта, осуществленная самим владельцем или иным привлеченным им лицом, применение систем автоматического перевода не должно приниматься во внимание. Однако необходимо учитывать, что использование русского языка во многих, но не во всех случаях свидетельствует о направленности на территорию РФ. Например, если из содержания сайта очевидно, что в качестве целевой аудитории могут выступать граждане Белоруссии, Казахстана, русскоязычное население Европы, Канады или других стран. В этой связи базовый критерий использования русского языка подлежит применению при наличии как минимум одного из дополнительных (вторичных) критериев.
Вторичные критерии
1) возможность заключения и исполнения договора с российским резидентом, в частности, осуществление доставки товара или цифрового контента на территорию России;
2) возможность осуществления расчетов в российских рублях;
3) использование контекстной или баннерной рекламы на русском языке, включающей ссылку на соответствующий интернет-ресурс;
4) иные обстоятельства, которые явно свидетельствуют о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию. Например, к ним может быть отнесено наличие на интернет-ресурсе способов обратной связи, касающихся территории РФ, например, номера телефона, на который можно бесплатно позвонить с территории России (общефедерального бесплатного номера (8-800…), или телефона с кодом российского города. Факты приобретения владельцем интернет-сайта соответствующих услуг связи, готовность оформлять документацию с отечественным оператором связи и нести расходы по оплате услуг, подобных использованию номера 8-800… и т.д., говорят о высокой заинтересованности владельца в российских потребителях.
Следует отметить, что схожие по существу критерии направленности деятельности также приведены в комментариях, размещенных на официальном сайте Роскомнадзора22.
3.3. Вышеуказанные критерии были применены на практике при рассмотрении спора о внесении интернет-сайта социальной сети LinkedIn в Реестр нарушителей прав субъектов персональных данных и блокировании доступа к нему на территории РФ в связи с нарушением обязанности по локализации отдельных процессов обработки персональных данных в соответствии с ч. 5 ст. 18 Закона о персональных данных (см. комментарий к ней). Удовлетворяя указанное требование, суд указал на то, что «о направленности интернет-сайта www.linkedin.com на территорию РФ свидетельствует наличие русскоязычной версии интернет-сайта. При этом интернет-сайт допускает возможность использования рекламы на русском языке, что дополнительно свидетельствует о включении российской аудитории в сферу бизнес-интересов владельца сайта» (Определение Московского городского суда от 10 ноября 2016 г. по делу № 33-38783/2016). Как видно, суд руководствовался вторым базовым критерием в совокупности с дополнительным критерием в виде наличия рекламы на русском языке. К этому следует добавить, что пользовательские соглашения указанного сервиса были доступны и на русском языке, а также что наличие факта использования географического доменного имени «linkedin.ru», с которого осуществлялась переадресация на сайт «linkedin.com», позволяло говорить о применении и первого базового критерия направленности деятельности на территорию России.
3.4. Критерий направленной деятельности как условие распространения законодательства о персональных данных на иностранное лицо, не имеющее присутствия на территории страны ‒ члена Европейского Союза, пришел на смену критерию местонахождения оборудования, содержащемуся в ст. 4 (1) Директивы 1995 г.23, и был имплементирован в европейское законодательство Регламентом 2016 г., в соответствии со ст. 3 (2) которого указанный Регламент распространяется на процессы обработки персональных данных, связанные c:
a) предложением товаров или услуг безотносительно к наличию встречной обязанности по их оплате лицам, проживающим на территории Европейского Союза, или b) мониторингом поведения таких лиц в той мере, в какой такое поведение имеет место на территории Европейского Союза (этот критерий касается различного рода интернет-сервисов, которые осуществляют сбор пользовательских данных в целях их последующего использования для предоставления таргетированной рекламы).
Таким образом, европейское законодательство о персональных данных приобретает в значительной степени экстерриториальный характер, в связи с чем в литературе отмечается, что единственным легальным способом не соблюдать положения Регламента 2016 г. является решение о неведении бизнеса в странах Европейского Союза24.
Из всего сказанного следует, что российский подход к определению территориальной сферы действия Закона о персональных данных находится в русле развития европейского законодательства и отражает специфику регулирования юрисдикционных аспектов отношений в сети «Интернет». Остается выразить надежду, что он рано или поздно перерастет рамки разъяснений правоприменительных органов, данных по результатам систематического толкования иных законодательных положений и доктрины, и будет формализован на уровне закона.
1
См. п. 1 и 6.6 Положения о Министерстве связи и массовых коммуникаций Российской Федерации, утв. постановлением Правительства РФ от 2 июня 2008 г. № 418 «О Министерстве связи и массовых коммуникаций Российской Федерации» // СПС «КонсультантПлюс».
2
http://www.minsvyaz.ru/ru/personaldata/.
3
Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
4
См.: Федеральный закон «О персональных данных»: Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 8‒9.
5
Здесь и далее при цитировании судебных актов сохранены орфография и пунктуация первоисточников.
6
См. ст. 2 Федерального закона от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» // СПС «КонсультантПлюс».
7
См. ст. 2 Федерального закона от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
8
Преамбула к Закону РФ от 8 февраля 1992 г. № 2300-I «О защите прав потребителей»; ст. 1212 ГК РФ.
9
Эрделевский А. Банковский вклад и права потребителей // Законность. 1998. № 4.
10
К примеру, в практике уполномоченного органа по защите персональных данных Норвегии обработка персональных данных на странице социальной сети, доступ к которой ограничен и доступен только для зарегистрированных пользователей, подпадает под действие рассматриваемого исключения. См.: Bygrave A. Data Privacy Law: An International Perspective. Oxford: University Press, 2014. P. 144.
11
См. ст. 6 Федерального закона от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности»; п. 2 Перечня видов специальных технических средств, утв. Постановлением Правительства РФ от 1 июля 1996 г. № 770.
12
См. ст. 22.1 Закона об архивном деле.
13
См. приказы Минкультуры России от 25 августа 2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»; от 31 июля 2007 г. № 1182 «Об утверждении Перечня типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения».
14
Указанная точка зрения высказана представителями Роскомнадзора. См.: Федеральный закон «О персональных данных»: Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 10.
15
См. п. «б» ст. 1 Федерального закона от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
16
См. п. 17 постановления Пленума ВАС РФ от 8 октября 2012 г. № 61 «Об обеспечении гласности в арбитражном процессе».
17
См.: Регламент организации размещения сведений о находящихся в суде делах и текстов судебных актов в информационно-телекоммуникационной сети «Интернет»
18
Международное право: Учебник / Б.М. Ашавский, М.М. Бирюков, В.Д. Бордунов и др.; отв. ред. С.А. Егоров. М.: Статут, 2015.
19
http://minsvyaz.ru/ru/personaldata/
20
См. ст. 3 (2) Регламента 2016 г.; ст. 15(1)(с) Регламента ЕС № 44/2001 от 22 декабря 2000 г. «О юрисдикции, признании и исполнении судебных решений по гражданским и торговым делам»; ст. 6 Регламента EC № 593/2008 от 17 июня 2008 г. «О праве, применимом к договорным отношениям».
21
Письмо ФАС России от 3 августа 2012 г. № АК/24981 «О рекламе алкогольной продукции в Интернете и печатных СМИ»
22
См.: Комментарий к Федеральному закону от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». C. 15. URL: https://pd.rkn.gov.ru/library/p195/. К сожалению, этот документ не содержит указания на авторов данного комментария.
23
В соответствии со ст. 4 (1)(с) Директивы 1995 г. государство − участник ЕС применяет свое национальное законодательство о персональных данных, если «оператор учрежден не на территории ЕС и в целях обработки персональных данных использует оборудование, расположенное на территории такого государства − участника ЕС (если только такое оборудование не используется исключительно для целей транзита по территории Сообщества)». Данный подход был признан неудовлетворительным, поскольку: 1) достаточно много споров вызывает понятие «оборудование»; 2) распространение облачных сервисов со свойственным им динамическим распределением вычислительных мощностей в зависимости от конкретных потребностей заказчика и распределенным хранением данных в различных дата-центрах вызывает существенные трудности в применении этого критерия; 3) он создает условия для обхода обременительных требований Европейского Союза посредством искусственного подчинения правоотношения правопорядку другого государства, на территории которого находятся соответствующие мощности. См.: Opinion 8/2010 On Applicable Law. Article 29 Data Protection Working Party. 16 December 2010.
24
Calder Alan. EU General Data Protection Regulation (GDPR) аn Implementation and Compliance Guide. IT Governance Publishing. 2016. Kindle Edition (Kindle Locations 3-5).