Защита персональных данных в информационно-телекоммуникационной сети международного информационного обмена

(Передня В. А.)

(«Юридический мир», 2013, N 6)

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

В ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ

МЕЖДУНАРОДНОГО ИНФОРМАЦИОННОГО ОБМЕНА

В. А. ПЕРЕДНЯ

Передня Вячеслав Александрович, старший государственный инспектор уполномоченного органа по защите прав субъектов персональных данных (г. Москва).

В статье указываются основные нормативные документы, руководствуясь которыми субъекты персональных данных могут восстановить и защитить свои права при пользовании информационно-телекоммуникационной сетью Интернет, а также приведены примеры защиты субъектов персональных данных Роскомнадзором. С развитием информационно-телекоммуникационных технологий в современной повседневной жизни субъектам необходимо помнить о защите своей личной информации, в частности о защите и сохранении конфиденциальности своих персональных данных.

Ключевые слова: субъект персональных данных, защита персональных данных, администратор доменного имени, оператор персональных данных.

Protection of personal data in informational-telecommunication network of international information deficit

V. A. Perednya

The article outlines the main regulations that guided the subjects of personal data can recover and protect their rights when using information and telecommunications network Internet, and provides examples of the protection of personal data Roscomnadzor. With the development of information and communication technology in modern everyday life subjects to remember about protecting their personal information, in particular the protection and confidentiality of your personal data.

Key words: the subject of personal data, the protection of personal data, the administrator; statement of personal data.

С вступлением в законную силу Федерального закона «О персональных данных» полномочия по защите прав субъектов персональных данных были возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор).

Сегодня Роскомнадзор является федеральным органом, осуществляющим государственный контроль и надзор за исполнением принимаемых Федеральным Собранием Российской Федерации законодательных актов в области персональных данных.

В своей деятельности Роскомнадзор также руководствуется положениями международных правовых актов.

В первую очередь это Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных от 28 января 1981 г. ETS N 108. После подписания данной Конвенции 7 ноября 2001 г. Российская Федерация возложила на себя обязательства по приведению в соответствие с нормами европейского законодательства как национального законодательства, так и деятельности в области защиты прав субъектов персональных данных.

Разрабатывая национальное законодательство, Российская Федерация учитывала в том числе и положения европейских правовых актов, в частности:

— Директивы 95/46/EC Европейского парламента и Совета Европейского союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных»;

— Директивы 97/66/EC Европейского парламента и Совета Европейского Союза от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе.

В настоящее время в Российской Федерации вопросы, связанные с защитой прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, регулируются:

— Конституцией Российской Федерации от 12 декабря 1993 г.;

— Федеральным законом от 19 декабря 2005 г. N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;

— Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;

— Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Центральное место в системе российского национального законодательства в области персональных данных занимает Федеральный закон «О персональных данных», основанный на конституционных положениях, гарантирующих защиту прав на неприкосновенность частной жизни, личную и семейную тайну.

Федеральный закон «О персональных данных» закрепил статус и полномочия российского уполномоченного органа, условия осуществления государственного контроля и надзора, унифицировал правила сбора и обработки персональных данных физических лиц, а также правовые, организационные и технические меры, направленные на обеспечение защиты прав граждан при сборе и обработке их персональных данных. В Федеральном законе закреплены все общепризнанные Европейским сообществом принципы обработки персональных данных.

Кроме того, во исполнение отдельных положений Федерального закона «О персональных данных» был принят ряд подзаконных нормативных правовых актов:

— Постановление Правительства Российской Федерации от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

— Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

— Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

— Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Вопрос, касающийся защиты персональных данных субъектов в сети Интернет, на сегодняшний день является актуальным. В первую очередь это связано с невысоким уровнем грамотности населения в вопросах безопасности собственных персональных данных.

Так, субъекты персональных данных при регистрации на интернет-сайтах (социальных сетях, интернет-магазинах и др.) предоставляют свои персональные данные, включающие в себя фамилию, имя, отчество, электронный почтовый адрес, номер мобильного телефона, адрес местожительства и другую личную информацию.

Кроме того, при регистрации субъект проставляет галочку в поле электронной формы регистрации, содержащей информацию о его согласии с правилами и условиями обработки предоставленных персональных данных.

Хотелось бы отметить, что проставление субъектом персональных данных галочки в поле электронной формы регистрации/заказа не может считаться аналогом согласия субъекта персональных данных, установленного действующим законодательством Российской Федерации в области персональных данных.

И тем самым в соответствии с ч. 1 ст. 9 Федерального закона «О персональных данных» субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.

Согласно ч. 1 ст. 435 и ч. 2 ст. 437 Гражданского кодекса Российской Федерации офертой признается адресованное одному или нескольким конкретным лицам предложение, которое достаточно определенно и выражает намерение лица, сделавшего предложение, считать себя заключившим договор с адресатом, которым будет принято предложение.

Оферта должна содержать существенные условия договора.

Содержащее все существенные условия договора предложение, из которого усматривается воля лица, делающего предложение, заключить договор на указанных в предложении условиях с любым, кто отзовется, признается офертой (публичная оферта).

Таким образом, субъект персональных данных (пользователь) при регистрации на интернет-сайте (www. zxzxzxz. xx) принимает условия пользования интернет-сайтом (пользовательское соглашение) и тем самым берет на себя обязательства, установленные указанным соглашением.

Приведем пример, когда в социальной сети «XXXXXXX» была заблокирована персональная страница пользователя, для ее разблокировки администрация сайта «XXXXXXXXX» просила указать свой мобильный номер телефона. У пользователя сайта сразу же возникает вопрос о правомерности действий администрации сайта «XXXXXXXXXX».

В связи с вышеуказанными статьями Федерального закона «О персональных данных» и Гражданским кодексом Российской Федерации субъект персональных данных (Пользователь) при регистрации на интернет-сайте XXXXX. XX принимает условия пользования интернет-сайтом (пользовательское соглашение) и тем самым берет на себя обязательства, установленные указанным соглашением.

В соответствии с положением регламента сайта «XXXXXXXXX» при невозможности совершения авторизации в связи с утратой пароля, блокировкой профиля и по иным причинам пользователь вправе обратиться в службу поддержки администрации сайта либо следовать инструкциям, размещенным в разделе «Помощь» и/или иных разделах сайта. Способы восстановления доступа к аккаунту, авторизации пользователя могут быть изменены, отменены или дополнены администрацией в одностороннем порядке.

Согласно разделу «Помощь» восстановление пароля при утрате доступа к аккаунту пользователя производится путем направления СМС-сообщения на номер мобильного телефона, указанного пользователем в качестве контактной информации при регистрации.

В соответствии с положением регламента сайта «XXXXXXXXX» при разблокировании аккаунта пользователя администрация сайта запрашивает номер мобильного телефона для отправки СМС-сообщения с кодом подтверждения для разблокирования персональной страницы пользователя.

Таким образом, нарушений законодательства Российской Федерации в области персональных данных администратором сайта XXXXX. XX не усматривается.

Рассмотрим пример о правомерности предоставления сайтом www. xxxxxx. xx доступа неограниченному кругу лиц к персональным данным субъектов, а именно к телефонному справочнику.

В соответствии со ст. 3 Федерального закона «О персональных данных» персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Действующим законодательством Российской Федерации в области персональных данных установлено обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Вместе с тем на сайте отсутствует информация, подтверждающая наличие у администратора сайта согласия граждан на обработку их персональных данных либо иных законных оснований на обработку указанных персональных данных. Таким образом, администратором сайта допущено нарушение требования конфиденциальности, установленного ст. 7 Федерального закона «О персональных данных».

При обращении в адрес администратора сайта о правовых основаниях деятельности по распространению в информационно-телекоммуникационной сети Интернет персональных данных субъектов администратором сайта было сказано, что указанные персональные данные в телефонном справочнике являются общедоступными и получены с материального носителя, приобретенного в книжном магазине.

Согласно ч. 1 ст. 8 Федерального закона «О персональных данных» в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

В случае если администратором сайта не были представлены сведения о том, что указанные персональные данные размещены с письменного согласия субъектов, то согласно законодательству Российской Федерации в действиях администратора сайта усматриваются признаки административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, — нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Кроме того, субъект персональных данных также вправе обратиться в суд с исковым заявлением о незаконном распространении его персональных данных администратором доменного имени xxxxxx. xx без соответствующего согласия.

После вступления в силу Федерального закона «О персональных данных» администратор доменного имени вправе потребовать от регистратора доменного имени убрать свои персональные данные из общедоступного источника, каковым является whois-сервис регистратора.

Тем не менее реальные данные администратора доменного имени должны храниться у регистратора сайта.

Согласно п. 9.1.5 Правил регистрации доменных имен в доменах. RU и. РФ, утвержденных от 5 октября 2011 г. N 2011-18/81 [6], регистратор вправе сообщить информацию о полном наименовании (имени) администратора и его местонахождении (местожительстве) по письменному мотивированному запросу третьих лиц, содержащему обязательство использовать полученную информацию исключительно для целей предъявления судебного иска.

В случае если регистратор отказывается в предоставлении сведений или информации об администраторе доменного имени, то субъекту персональных данных придется назначить ответчиком регистратора, затем в ходе судебного разбирательства получать от него персональные данные истинного администратора доменного имени и затем менять ненадлежащего ответчика.

Согласно опубликованной информации Роскомнадзора [5], а именно в разделе «Персональные данные» подразделе «Пресечение распространения персональных данных в Интернете», информация, содержащая персональные данные граждан Российской Федерации, удалена администратором сайта xxxxxx. xx.

Роскомнадзором активизирована работа по выявлению интернет-сайтов, незаконно распространяющих персональные данные субъектов. Так, на основании судебных решений, принятых по требованию уполномоченного органа, персональные данные удалены с пяти интернет-ресурсов. Еще с 31 сайта конфиденциальная информация о гражданах удалена администраторами в досудебном порядке. Деятельность 104 интернет-ресурсов регистраторами доменных имен прекращена полностью, поскольку данные сайты специализировались исключительно на публикации охраняемых законом персональных данных [5].

Выявлено также 13 сайтов [5], предлагающих доступ к персональным данным на возмездной основе путем отправки СМС-сообщений. Материалы по этим сайтам направлены в правоохранительные органы с целью проверки на предмет мошенничества.

В вопросе защиты персональных данных необходимо отметить особенность распространения персональных данных в сети Интернет за пределами Российской Федерации, где действие законодательства Российской Федерации в области персональных данных не распространяется.

Российским законодательством установлены широкие возможности защиты прав субъектов персональных данных, и сегодня они активно используются и гражданами, и Роскомнадзором как уполномоченным органом.

Отмечу, что Роскомнадзор решает эту проблему в тесном сотрудничестве с иностранными коллегами — уполномоченными органами по защите прав субъектов персональных данных, а там, где их нет, — с регистраторами доменных имен. Уже имеется положительная практика.

Для пресечения противоправной деятельности интернет-ресурсов, расположенных за пределами Российской Федерации, Роскомнадзором направлялись письма с просьбой о содействии в адрес уполномоченных органов Франции, Германии, Канады, Казахстана, Кыргызстана, Молдовы, Украины, Беларуси, а также регистраторов доменных имен, осуществляющих деятельность на территории Франции, Индии, Китая, Австралии, Содружества Багамских Островов и США. В общей сложности на сегодняшний день по результатам рассмотрения материалов Роскомнадзора прекращено делегирование 34 доменных имен, зарегистрированных вне зоны. ru; в 28 случаях информация, содержащая персональные данные, удалена [7].

В целях пресечения правонарушений законодательства Российской Федерации в области персональных данных пользователь сети Интернет всегда должен помнить о безопасности и защите своих персональных данных. При регистрации на интернет-сайтах пользователь сети Интернет сам несет персональную ответственность за предоставление своих персональных данных.

Список литературы

1. Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 N 51-ФЗ (в ред. от 06.12.2011, с изм. от 27.06.2012) // СЗ РФ. 1994. N 32. Ст. 3301.

2. Конвенция о защите физических лиц в связи с автоматической обработкой персональных данных ETS N 108 (Страсбург, 28 января 1981 г.): с изм. и доп. от 15 июня 1999 г. // Собрание законодательства РФ (СЗ РФ). 2005. N 52. Ч. 1. Ст. 5573.

3. Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (с изменениями и дополнениями) [Электронный ресурс] // Доступ из справ.-правовой системы «Гарант».

4. Официальный сайт Роскомнадзора. URL: http://www. rsoc. ru.

5. Перечень интернет-ресурсов доменной зоны. ru, прекративших незаконное распространение персональных данных по требованию Роскомнадзора [Электронный ресурс]. URL: http://www. rsoc. ru/docstore/ doc1124.htm? print=1 (дата обращения: 03.04.2013).

6. Правила регистрации доменных имен в доменах. RU и. РФ [Электронный ресурс]. URL: http://www. cctld. ru/ru/ docs/rules. php (дата обращения: 03.04.2013).

7. Роскомнадзор планирует модернизировать подходы к реализации своих функций по защите прав субъектов персональных данных. [Электронный ресурс] URL: http://www. rsoc. ru/news/ rsoc/news19400.htm (дата обращения: 18.04.2013).

8. Серго А. Г. Доменные имена. Правовое регулирование. М.: ГОУ ВПО РГАИС, 2013. 312 с.

9. Федотов Н. Форензика — компьютерная криминалистика. М.: Onebook. ru, 2012. 420 с.

——————————————————————