Чтобы тайное не стало явным
(Харитонова Л.)
(«ЭЖ-Юрист», 2011, N 45)
ЧТОБЫ ТАЙНОЕ НЕ СТАЛО ЯВНЫМ
Л. ХАРИТОНОВА
Людмила Харитонова, заместитель генерального директора по правовым вопросам, г. Москва.
Каждый день тысячи людей регистрируются на сайтах и форумах, создают свой бизнес в Интернете. Но в РФ практически нет нормативной базы, регулирующей взаимоотношения субъектов в сети, например защиту персональных данных. Как компания должна обрабатывать такие данные, чтобы не нарушать закон?
Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному физическому лицу (субъекту персональных данных). Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»).
Получается, что владельцы интернет-магазинов, форумов, других интернет-ресурсов, при регистрации на которых пользователи указывают сведения о себе, обрабатывают персональные данные. Необходимо помнить, что эти данные охраняются законом и их обработка должна осуществляться по определенным правилам.
Согласно ч. 5 п. 1 ст. 6 Закона N 152-ФЗ данные могут обрабатываться без согласия лица, когда это необходимо для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Так как в большинстве случаев компании заключают с пользователем пользовательское соглашение, можно признать, что они имеют право обрабатывать данные без специального согласия, только на основании этого соглашения.
А считается ли в таком случае пользовательское соглашение подписанным в надлежащем виде, в том числе и для целей обработки персональных данных? Ведь бумажной формы такого документа не существует. Пользователь, как правило, лишь проставляет галочку в необходимом окне, принимая тем самым условия соглашения.
Статья 5 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи» среди видов электронной подписи называет простую электронную подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Следовательно, при регистрации на сайте с помощью паролей (кодов) и принятии условий соглашения можно считать, что пользовательское соглашение подписано надлежащим образом.
В соглашении обязательно следует указать, что оно подписывается именно таким образом. Также в нем должен быть пункт об обязанности лица, создающего и (или) использующего ключ (пароль) простой электронной подписи, соблюдать его конфиденциальность.
Еще один необходимый документ — соглашение о конфиденциальности, в котором необходимо максимально четко и полно прописать условие о конфиденциальности полученных персональных данных, способ их обработки и условия передачи третьим лицам.
В договоре на хостинг следует указать обязанность хостера хранить и защищать персональные данные, хранящиеся на сервере, и использовать защищенное соединение. Кроме того, нужно утвердить внутренний акт, указав в нем способы хранения и механизмы защиты данных.
Согласно Закону N 152-ФЗ пользователь имеет право запросить информацию, касающуюся обработки его персональных данных, в том числе:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки;
3) применяемые оператором способы обработки данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или федерального закона;
5) обрабатываемые персональные данные, источник их получения, если иной порядок представления не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование (или Ф. И.О.) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена такому лицу.
Конечно, ответы на вышеперечисленные запросы и принятие мер по защите данных займут много времени. По нашему мнению, выходом может стать применение к персональным данным режима общедоступности. В этом случае пользователь должен дать согласие на общедоступность сведений и перечислить, какие именно сведения будут таковыми.
Таким образом, законодательство предусматривает несколько способов законной обработки данных пользователей. Какой из них выбрать — решать вам.
——————————————————————