С вступлением в законную силу Федерального закона «О персональных данных» полномочия по защите прав субъектов персональных данныхбыли возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор).
Сегодня Роскомнадзор является федеральным органом, осуществляющим государственный контроль и надзор за исполнением принимаемых Федеральным Собранием Российской Федерации законодательных актов в области персональных данных.
В своей деятельности Роскомнадзор также руководствуется положениями международных правовых актов.
В первую очередь это Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных от 28 января 1981 г. ETS N 108. После подписания данной Конвенции 7 ноября 2001 г. Российская Федерация возложила на себя обязательства по приведению в соответствие с нормами европейского законодательства как национального законодательства, так и деятельности в области защиты прав субъектов персональных данных.
Разрабатывая национальное законодательство, Российская Федерация учитывала в том числе и положения европейских правовых актов, в частности:
— Директивы 95/46/EC Европейского парламента и Совета Европейского союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных»;
— Директивы 97/66/EC Европейского парламента и Совета Европейского Союза от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе.
В настоящее время в Российской Федерации вопросы, связанные с защитой прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, регулируются:
— Конституцией Российской Федерации от 12 декабря 1993 г.;
— Федеральным законом от 19 декабря 2005 г. N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
— Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;
— Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Центральное место в системе российского национального законодательства в области персональных данных занимает Федеральный закон «О персональных данных», основанный на конституционных положениях, гарантирующих защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
Федеральный закон «О персональных данных» закрепил статус и полномочия российского уполномоченного органа, условия осуществления государственного контроля и надзора, унифицировал правила сбора и обработки персональных данных физических лиц, а также правовые, организационные и технические меры, направленные на обеспечение защиты прав граждан при сборе и обработке их персональных данных. В Федеральном законе закреплены все общепризнанные Европейским сообществом принципы обработки персональных данных.
Кроме того, во исполнение отдельных положений Федерального закона «О персональных данных» был принят ряд подзаконных нормативных правовых актов:
— Постановление Правительства Российской Федерации от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
— Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
— Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Вопрос, касающийся защиты персональных данных субъектов в сети Интернет, на сегодняшний день является актуальным. В первую очередь это связано с невысоким уровнем грамотности населения в вопросах безопасности собственных персональных данных.
Так, субъекты персональных данных при регистрации на интернет-сайтах (социальных сетях, интернет-магазинах и др.) предоставляют свои персональные данные, включающие в себя фамилию, имя, отчество, электронный почтовый адрес, номер мобильного телефона, адрес местожительства и другую личную информацию.
Кроме того, при регистрации субъект проставляет галочку в поле электронной формы регистрации, содержащей информацию о его согласии с правилами и условиями обработки предоставленных персональных данных.
Хотелось бы отметить, что проставление субъектом персональных данных галочки в поле электронной формы регистрации/заказа не может считаться аналогом согласия субъекта персональных данных, установленного действующим законодательством Российской Федерации в области персональных данных.
И тем самым в соответствии с ч. 1 ст. 9 Федерального закона «О персональных данных» субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.
Согласно ч. 1 ст. 435 и ч. 2 ст. 437 Гражданского кодекса Российской Федерации офертой признается адресованное одному или нескольким конкретным лицам предложение, которое достаточно определенно и выражает намерение лица, сделавшего предложение, считать себя заключившим договор с адресатом, которым будет принято предложение.
Оферта должна содержать существенные условия договора.
Содержащее все существенные условия договора предложение, из которого усматривается воля лица, делающего предложение, заключить договор на указанных в предложении условиях с любым, кто отзовется, признается офертой (публичная оферта).
Таким образом, субъект персональных данных (пользователь) при регистрации на интернет-сайте (www.zxzxzxz.xx) принимает условия пользования интернет-сайтом (пользовательское соглашение) и тем самым берет на себя обязательства, установленные указанным соглашением.
Приведем пример, когда в социальной сети «XXXXXXX» была заблокирована персональная страница пользователя, для ее разблокировки администрация сайта «XXXXXXXXX» просила указать свой мобильный номер телефона. У пользователя сайта сразу же возникает вопрос о правомерности действий администрации сайта «XXXXXXXXXX».
В связи с вышеуказанными статьями Федерального закона «О персональных данных» и Гражданским кодексом Российской Федерации субъект персональных данных (Пользователь) при регистрации на интернет-сайте XXXXX.XX принимает условия пользования интернет-сайтом (пользовательское соглашение) и тем самым берет на себя обязательства, установленные указанным соглашением.
В соответствии с положением регламента сайта «XXXXXXXXX» при невозможности совершения авторизации в связи с утратой пароля, блокировкой профиля и по иным причинам пользователь вправе обратиться в службу поддержки администрации сайта либо следовать инструкциям, размещенным в разделе «Помощь» и/или иных разделах сайта. Способы восстановления доступа к аккаунту, авторизации пользователя могут быть изменены, отменены или дополнены администрацией в одностороннем порядке.
Согласно разделу «Помощь» восстановление пароля при утрате доступа к аккаунту пользователя производится путем направления СМС-сообщения на номер мобильного телефона, указанного пользователем в качестве контактной информации при регистрации.
В соответствии с положением регламента сайта «XXXXXXXXX» при разблокировании аккаунта пользователя администрация сайта запрашивает номер мобильного телефона для отправки СМС-сообщения с кодом подтверждения для разблокирования персональной страницы пользователя.
Таким образом, нарушений законодательства Российской Федерации в области персональных данных администратором сайта XXXXX.XX не усматривается.
Рассмотрим пример о правомерности предоставления сайтом www.xxxxxx.xx доступа неограниченному кругу лиц к персональным данным субъектов, а именно к телефонному справочнику.
В соответствии со ст. 3 Федерального закона «О персональных данных» персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Действующим законодательством Российской Федерации в области персональных данных установлено обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Вместе с тем на сайте отсутствует информация, подтверждающая наличие у администратора сайта согласия граждан на обработку их персональных данных либо иных законных оснований на обработку указанных персональных данных. Таким образом, администратором сайта допущено нарушение требования конфиденциальности, установленного ст. 7 Федерального закона «О персональных данных».
При обращении в адрес администратора сайта о правовых основаниях деятельности по распространению в информационно-телекоммуникационной сети Интернет персональных данных субъектов администратором сайта было сказано, что указанные персональные данные в телефонном справочнике являются общедоступными и получены с материального носителя, приобретенного в книжном магазине.
Согласно ч. 1 ст. 8 Федерального закона «О персональных данных» в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
В случае если администратором сайта не были представлены сведения о том, что указанные персональные данные размещены с письменного согласия субъектов, то согласно законодательству Российской Федерации в действиях администратора сайта усматриваются признаки административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, — нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Кроме того, субъект персональных данных также вправе обратиться в суд с исковым заявлением о незаконном распространении его персональных данных администратором доменного имени xxxxxx.xx без соответствующего согласия.
После вступления в силу Федерального закона «О персональных данных» администратор доменного имени вправе потребовать от регистратора доменного имени убрать свои персональные данные из общедоступного источника, каковым является whois-сервис регистратора.
Тем не менее реальные данные администратора доменного имени должны храниться у регистратора сайта.
Согласно п. 9.1.5 Правил регистрации доменных имен в доменах .RU и .РФ, утвержденных от 5 октября 2011 г. N 2011-18/81, регистратор вправе сообщить информацию о полном наименовании (имени) администратора и его местонахождении (местожительстве) по письменному мотивированному запросу третьих лиц, содержащему обязательство использовать полученную информацию исключительно для целей предъявления судебного иска.
В случае если регистратор отказывается в предоставлении сведений или информации об администраторе доменного имени, то субъекту персональных данных придется назначить ответчиком регистратора, затем в ходе судебного разбирательства получать от него персональные данные истинного администратора доменного имени и затем менять ненадлежащего ответчика.
Согласно опубликованной информации Роскомнадзора, а именно в разделе «Персональные данные» подразделе «Пресечение распространения персональных данных в Интернете», информация, содержащая персональные данные граждан Российской Федерации, удалена администратором сайта xxxxxx.xx.
Роскомнадзором активизирована работа по выявлению интернет-сайтов, незаконно распространяющих персональные данные субъектов. Так, на основании судебных решений, принятых по требованию уполномоченного органа, персональные данные удалены с пяти интернет-ресурсов. Еще с 31 сайта конфиденциальная информация о гражданах удалена администраторами в досудебном порядке. Деятельность 104 интернет-ресурсов регистраторами доменных имен прекращена полностью, поскольку данные сайты специализировались исключительно на публикации охраняемых законом персональных данных (Перечень интернет-ресурсов доменной зоны .ru, прекративших незаконное распространение персональных данных по требованию Роскомнадзора).
Выявлено также 13 сайтов, предлагающих доступ к персональным данным на возмездной основе путем отправки СМС-сообщений. Материалы по этим сайтам направлены в правоохранительные органы с целью проверки на предмет мошенничества.
В вопросе защиты персональных данных необходимо отметить особенность распространения персональных данных в сети Интернет за пределами Российской Федерации, где действие законодательства Российской Федерации в области персональных данных не распространяется.
Российским законодательством установлены широкие возможности защиты прав субъектов персональных данных, и сегодня они активно используются и гражданами, и Роскомнадзором как уполномоченным органом.
Отмечу, что Роскомнадзор решает эту проблему в тесном сотрудничестве с иностранными коллегами — уполномоченными органами по защите прав субъектов персональных данных, а там, где их нет, — с регистраторами доменных имен. Уже имеется положительная практика.
Для пресечения противоправной деятельности интернет-ресурсов, расположенных за пределами Российской Федерации, Роскомнадзором направлялись письма с просьбой о содействии в адрес уполномоченных органов Франции, Германии, Канады, Казахстана, Кыргызстана, Молдовы, Украины, Беларуси, а также регистраторов доменных имен, осуществляющих деятельность на территории Франции, Индии, Китая, Австралии, Содружества Багамских Островов и США. В общей сложности на сегодняшний день по результатам рассмотрения материалов Роскомнадзора прекращено делегирование 34 доменных имен, зарегистрированных вне зоны .ru; в 28 случаях информация, содержащая персональные данные, удалена.
В целях пресечения правонарушений законодательства Российской Федерации в области персональных данных пользователь сети Интернет всегда должен помнить о безопасности и защите своих персональных данных. При регистрации на интернет-сайтах пользователь сети Интернет сам несет персональную ответственность за предоставление своих персональных данных.