Коллизионные вопросы трансграничной обработки персональных данных

(Терехова Е. В.) («Информационное право», 2013, N 5)

КОЛЛИЗИОННЫЕ ВОПРОСЫ ТРАНСГРАНИЧНОЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ <*>

Е. В. ТЕРЕХОВА

——————————— <*> Статья рекомендована кафедрой международного частного права Московского государственного юридического университета имени О. Е. Кутафина (МГЮА).

Терехова Елена Викторовна, аспирантка Московского государственного юридического университета имени О. Е. Кутафина (МГЮА), кафедра международного частного права.

В статье рассматриваются вопросы выбора применимого права к отношениям по трансграничной обработке персональных данных, сверхимперативные нормы российского права, право, применимое к отношениям в случае причинения вреда субъекту персональных данных, и сфера действия применимого права.

Ключевые слова: трансграничная обработка персональных данных, применимое право, сверхимперативные нормы, обязательственный статут, сфера действия применимого права.

Conflict of law issues of transborder processing of personal data E. V. Terekhova

The article covers issues of choice of applicable law to the relations on transborder processing of personal data, overimperative rules of Russian law, applicable law to relations in case of infliction of harm to the subject of personal data and field of applicable law.

Key words: transborder processing of personal data, applicable law, overimperative rules, executory statute, field of applicable law.

Вопрос необходимости выбора применимого права возникает как в связи с отношениями по трансграничной передаче персональных данных, так и в связи с отношениями обработки персональных данных, осложненной иностранным элементом, например, когда сервер, на котором хранятся персональные данные российских субъектов, находится на территории иностранного государства. Поскольку передача персональных данных в силу подп. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» <1> (далее — Закон о персональных данных) является одним из видов обработки персональных данных, далее в настоящей статье термин «трансграничная обработка персональных данных» будет использоваться как применительно к трансграничной передаче персональных данных, так и к обработке персональных данных, осложненной иностранным элементом. ——————————— <1> Собрание законодательства Российской Федерации. 2006. N 31 (ч. 1). Ст. 3451.

Вопрос о применимом праве к отношениям по трансграничной обработке персональных данных не решен в российском праве. В зависимости от квалификации отношений, возникающих в процессе трансграничной обработки персональных данных в качестве договорных либо деликтных, для определения применимого права к таким отношениям необходимо обращаться к различным коллизионным правилам <2> раздела VI части третьей Гражданского кодекса Российской Федерации <3> (далее — ГК РФ). Квалификацию таких отношений в силу ст. 1187 ГК РФ необходимо осуществлять по российскому праву. ——————————— <2> См.: Канашевский В. А. Правовой режим трансграничной передачи персональных данных // Законодательство. 2012. N 12. С. 21. <3> Собрание законодательства Российской Федерации. 2001. N 49. Ст. 4552.

Отношения между российским субъектом персональных данных и российским или иностранным оператором персональных данных должны быть квалифицированы как договорные. «Согласие субъекта персональных данных на обработку его данных и последующую фактическую передачу таких данных оператору следует рассматривать как оферту, а фактическое принятие оператором персональных данных к обработке должно квалифицироваться как акцепт» <4>. ——————————— <4> См.: Канашевский В. А. Указ. соч. С. 21.

Субъект и оператор в силу ст. 1210 ГК РФ могут выбрать применимое право к отношениям по трансграничной обработке персональных данных. В случае если стороны не избрали применимое право к трансграничной обработке персональных данных, то применимое право будет определяться исходя из общих правил ст. 1211 ГК РФ: к отношениям по трансграничной обработке персональных данных будет применяться право страны, с которой договор наиболее тесно связан, т. е. право страны, где находится место жительства или основное место деятельности стороны, которая осуществляет исполнение, имеющее решающее значение для содержания договора. Думается, что стороной, осуществляющей решающее исполнение в отношениях трансграничной передачи персональных данных, является оператор. Поэтому права, применимые к отношениям по трансграничной передаче персональных данных, будут регулироваться правом государства, в котором находится место деятельности оператора персональных данных. Сложнее ситуация обстоит с выбором применимого права к отношениям трансграничной передачи персональных данных, когда российский субъект передает свои персональные данные российскому оператору, а российский оператор передает иностранному обработчику за границу для обработки персональных данных российского субъекта. Отношения между российским оператором персональных данных и иностранным обработчиком персональных данных также следует квалифицировать как договорные. Офертой в данном случае будет являться фактическая передача персональных данных российского субъекта российским оператором иностранному обработчику, а акцептом — фактическое принятие иностранным обработчиком персональных данных российского субъекта к обработке. Следует полагать, что в зависимости от характера отношений между российским и иностранным операторами и распределением обязанностей по осуществлению обработки персональных данных решающее исполнение будет иметь либо российский, либо иностранный оператор, либо третье лицо, привлеченное для осуществления обработки персональных данных. Помимо трансграничной передачи персональных данных, вопросы применимого права возникают также и в иных случаях обработки персональных данных, осложненной иностранным элементом. Зачастую обработка персональных данных осуществляется российским или иностранным обработчиком с использованием облачных технологий — «средств распределенной обработки, хранения и передачи данных посредством Интернета» <5>. ——————————— <5> Баранова О. В. Влияние облачных технологий на аудит финансовой отчетности // Аудитор. 2012. N 1. С. 18.

Думается, что право, применимое к отношениям, когда российский оператор осуществляет обработку персональных данных иностранного субъекта или с использованием оборудования, находящегося на территории иностранного государства, либо обработка персональных данных иностранного субъекта осуществляется иностранным оператором при помощи оборудования, находящегося на территории России, должно определяться также исходя из положений п. 2 ст. 1186 ГК РФ и п. п. 1, 2 ст. 1211 ГК РФ. Поэтому в случае обработки персональных данных иностранного субъекта российским оператором персональных данных применимым правом к таким отношениям будет являться российское право. Обязательственным статутом трансграничной обработки персональных данных будет являться гражданское право государства, право которого применимо к данным отношениям. После определения обязательственного статута трансграничной обработки персональных данных возникает вопрос о том, какой круг вопросов будет им регулироваться. С учетом положений ст. 1215 ГК РФ, устанавливающих сферу действия права, применимого к договору, думается, что право, применимое к трансграничной обработке персональных данных, должно регулировать следующий круг вопросов: — возможность передачи персональных данных оператору; — круг передаваемых на обработку персональных данных; — способы и средства правовой защиты интересов субъекта персональных данных; — круг операций обработки <6>; ——————————— <6> Канашевский В. А. Указ. соч. С. 21.

— круг обязанностей оператора, осуществляющего обработку персональных данных; — контроль и надзор за осуществлением обработки персональных данных; — ответственность за нарушения обязательств по обработке персональных данных; — способы защиты нарушенных прав субъекта персональных данных. Следует согласиться с авторами, отмечающими, что физическая безопасность и стандарты охраны данных, используемых компьютерными сетями, должны регулироваться законом места нахождения оборудования таких компьютерных сетей <7>. Следовательно, «правовой режим обработки персональных данных должен регулироваться правом той страны, где находится соответствующий сервер, исходя из территориального принципа охраны прав на персональные данные и критерия тесной связи <8>. ——————————— <7> Houston Putnam Lowry. Transborder Data Flow: Public and Private International Law Aspects // Houston Journal of International Law. 1984. Volume 6. N 2. P. 171. <8> Канашевский В. А. Указ. соч. С. 21.

Поэтому следует полагать, что право, применимое к определению правового режима обработки персональных данных в случае использования для обработки персональных данных оборудования, находящегося на территории иностранного государства, будет определять условия обработки персональных данных, меры для обеспечения защиты персональных данных и др. Применимое право к трансграничной обработке персональных данных не должно нарушать основополагающие принципы российского правопорядка. Российское право должно очертить допустимые границы применения иностранного права <9> к отношениям с участием российских субъектов персональных данных. Этой цели служат сверхимперативные нормы российского права (ст. 1192 ГК РФ). ——————————— <9> См.: Международное частное право: Учебник / Отв. ред. Г. К. Дмитриева. С. 155 — 156.

Вопрос о сверхимперативных нормах российского права к трансграничной передаче персональных данных возникает постольку, поскольку ст. 12 Закона о персональных данных содержит указание на то, что «трансграничная передача персональных данных на территории иностранных государств… осуществляется в соответствии с настоящим Федеральным законом». Согласно буквальному толкованию данного положения на российского оператора при передаче персональных данных за рубеж для обработки, в том числе в случае привлечения им иностранного обработчика, должны распространяться все нормы Закона о персональных данных. Отдельных норм, имеющих особое значение, законодатель не выделяет. Между тем очевидно, что иностранный обработчик персональных данных российского субъекта не может и не должен соблюдать все нормы российского Закона о персональных данных, поскольку к его деятельности будет применяться закон его основного места деятельности. Для того чтобы очертить круг сверхимперативных норм российского законодательства о персональных данных, необходимо уяснить, какие нормы имеют особое значение для обеспечения прав и охраняемых законом интересов участников отношений по обработке персональных данных. Сущность и основная ценность персональных данных состоит в том, что эти данные не известны третьим лицам, относятся к конфиденциальной информации. Статья 7 Закона о персональных данных предусматривает, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Поэтому следует полагать, что основной обязанностью оператора при обработке персональных данных российского субъекта является соблюдение конфиденциальности персональных данных, обеспечение безопасности персональных данных при их обработке. Данная обязанность должна сохраняться и при трансграничной передаче персональных данных на территорию другого государства независимо от того, кто осуществляет обработку персональных данных российского субъекта: российский оператор или иностранный обработчик. Поэтому ст. 7 Закона о персональных данных будет являться сверхимперативной нормой и применяться к отношениям трансграничной обработки персональных данных независимо от применимого права. Также сверхимперативной нормой, ввиду особого значения для обеспечения конфиденциальности персональных данных, будет являться п. 1 ст. 19 Закона о персональных данных, предусматривающий, что оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. В статье 5 Закона о персональных данных («Принципы обработки персональных данных») установлены основополагающие начала в работе с персональными данными, сбор и обработка которых осуществляется на законных основаниях. Как отмечается в литературе, данные принципы являются «принципами деятельности операторов информационных систем персональных данных. Соблюдение этих принципов обеспечивает законность обработки персональных данных граждан и является гарантией защиты от злоупотреблений со стороны операторов» <10>. ——————————— <10> Петрыкина Н. И. Правовое регулирование оборота персональных данных. Теория и практика. М., 2011. С. 51.

Следует полагать, что именно недопустимость злоупотребления иностранными операторами своими правами и обеспечение защиты прав субъектов персональных данных являются основными приоритетами Закона о персональных данных и имеют особое значение для обеспечения защиты прав российских субъектов персональных данных. Поэтому нормы ст. 5 Закона о персональных данных будут являться сверхимперативными. Однако помимо принципов обработки персональных данных особое значение также имеют принципы оборота персональных данных российских субъектов. Думается, что основополагающим принципом оборота персональных данных, который должен иметь сверхимперативный характер, является принцип добровольности предоставления персональных данных субъектом, принцип законности деятельности операторов (ст. 6 Закона о персональных данных) <11>. ——————————— <11> См.: Петрыкина Н. И. Указ. соч. С. 52.

Помимо вышеуказанных норм особое значение имеет п. 7 ст. 14 Закона о персональных данных, предусматривающий право субъекта персональных данных на получение информации, касающейся обработки его персональных данных. М. Н. Малеина справедливо отмечает, что в положениях ст. 14 Закона о персональных данных нашло отражение содержание права на тайну и неприкосновенность персональных данных <12>. Поэтому п. 7 ст. 14 Закона о персональных данных будет являться сверхимперативной нормой. ——————————— <12> См.: Малеина М. Н. Право на тайну и неприкосновенность персональных данных // Журнал российского права. 2010. N 11. С. 22.

Положения абзаца 1 п. 8 ст. 14 Закона о персональных данных, устанавливающие, что право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, также имеют особое значение, поскольку в них реализуется конституционное положение о возможности ограничений прав и свобод человека и гражданина только на основании федерального закона. Все вышеуказанные права, предоставляемые субъекту персональных данных, служат основной цели Закона о персональных данных — «обеспечению защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну». Поэтому думается, что ст. 12 Закона о персональных данных, где говорится, что «трансграничная передача персональных данных на территории иностранных государств… осуществляется в соответствии с настоящим Федеральным законом», следует применять с учетом сверхимперативных норм Закона о персональных данных: ст. 5, подп. 1 п. 1 ст. 6, ст. 7, п. п. 1, 7 ст. 14, абз. 1 п. 8 ст. 14, п. 1 ст. 19. Вопросы применимого права к отношениям, возникающим в случае нарушения прав российского субъекта персональных данных, не урегулированы российским правом. Выбор применимого права к таким отношениям будет зависеть от их правовой квалификации. В случае причинения вреда российскому субъекту персональных данных иностранным оператором, которому российский субъект напрямую передал свои персональные данные, а также в случае причинения вреда российскому субъекту лицом, не состоящим в договорных отношениях с субъектом персональных данных, оператором или обработчиком, отношения по возмещению причиненного вреда будут носить деликтный характер, и применимое право к таким обязательствам будет определяться на основании ст. 1219 ГК РФ. В соответствии с п. 1 ст. 1219 ГК РФ к обязательствам, возникающим вследствие причинения вреда, применяется право страны, где имело место действие или иное обстоятельство, послужившие основанием для требования о возмещении вреда. В случае, когда в результате такого действия или иного обстоятельства вред наступил в другой стране, может быть применено право этой страны, если причинитель вреда предвидел или должен был предвидеть наступление вреда в этой стране. При определении применимого права к обязательствам из причинения вреда субъекту персональных данных в случае трансграничной передачи его персональных данных достаточно трудно определить, на территории какого государства имело место действие или иное обстоятельство, послужившее основанием для требования о возмещении вреда. Поэтому если последствия несанкционированного разглашения персональных данных российского субъекта проявляются в России, то «российский суд может применить к возникшим деликтным отношениям российское право» <13>. ——————————— <13> Канашевский В. А. Указ. соч. С. 21.

Следует обратить внимание на то, что в новой редакции п. 3 ст. 1219 ГК РФ, которая вступает в силу с 1 ноября 2013 г. <14>, предусмотрено следующее: «Если из совокупности обстоятельств дела вытекает, что обязательство вследствие причинения вреда тесно связано с договором между потерпевшим и причинителем вреда, заключенным при осуществлении этими сторонами предпринимательской деятельности, к этому обязательству применяется право, подлежащее применению к такому договору». Следует отметить, что такой подход отличается от общепринятого понимания обязательства вследствие причинения вреда как строго внедоговорного обязательства <15>. ——————————— <14> См.: Федеральный закон от 30.09.2013 N 260-ФЗ «О внесении изменений в часть третью Гражданского кодекса Российской Федерации» // Собрание законодательства Российской Федерации. 2013. N 40 (ч. III). Ст. 5030. <15> Комментарий к проекту изменений Гражданского кодекса Российской Федерации // СПС «КонсультантПлюс» (документ опубликован не был).

Таким образом, после вступления в законную силу новой редакции ст. 1219 ГК РФ применимое право к обязательствам иностранного обработчика персональных данных российского субъекта будет определяться иначе, чем ранее. Поскольку российский субъект персональных данных и иностранный обработчик состоят в договорных отношениях, а обязательства из причинения вреда российскому субъекту тесно связаны с таким договором, то применимым правом к таким обязательствам будет то же право, что и к договору, т. е. право страны места осуществления деятельности иностранного обработчика персональных данных. Обращаясь к случаю причинения вреда российскому субъекту персональных данных третьим лицом, состоящим в договорных отношениях с российским или иностранным операторами, следует отметить, что в Законе о персональных данных (п. 5 ст. 6) содержатся особые положения для определения ответственности такого лица: «В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор». Следовательно, правом, применимым к обязательствам иностранного лица, причинившего вред российскому субъекту персональных данных, когда такое иностранное лицо состоит в договорных отношениях с российским оператором персональных данных, будет российское право. На основании права, подлежащего применению к обязательствам, возникающим вследствие причинения вреда российскому субъекту персональных данных, в силу ст. 1220 ГК РФ будут определяться, в частности: способность лица нести ответственность за причиненный вред, возложение ответственности за вред на лицо, не являющееся причинителем вреда, основания ответственности, основания ограничения ответственности и освобождения от нее, способы возмещения вреда, объем и размер возмещения вреда. При этом следует отметить, что способность иностранного обработчика персональных данных нести ответственность за причиненный российскому субъекту вред будет определяться не на основании его личного закона, а на основании права, применимого к его обязательствам из причинения вреда. Данное положение имеет большое значение для российского субъекта персональных данных, поскольку дает возможность гарантировать уровень защиты прав субъектов персональных данных, предоставляемую российским Законом о персональных данных.

Литература

1. Собрание законодательства Российской Федерации. 2001. N 49. Ст. 4552. 2. Собрание законодательства Российской Федерации. 2006. N 31 (ч. 1). Ст. 3451. 3. Федеральный закон от 30.09.2013 N 260-ФЗ «О внесении изменений в часть третью Гражданского кодекса Российской Федерации» // Собрание законодательства Российской Федерации. 2013. N 40 (ч. III). Ст. 5030. 4. Комментарий к проекту изменений Гражданского кодекса Российской Федерации // СПС «КонсультантПлюс» (документ опубликован не был). 5. Баранова О. В. Влияние облачных технологий на аудит финансовой отчетности // Аудитор. 2012. N 1. С. 18. 6. Канашевский В. А. Правовой режим трансграничной передачи персональных данных // Законодательство. 2012. N 12. С. 21. 7. Houston Putnam Lowry. Transborder Data Flow: Public and Private International Law Aspects // Houston Journal of International Law. 1984. Volume 6. N 2. P. 171. 8. Малеина М. Н. Право на тайну и неприкосновенность персональных данных // Журнал российского права. 2010. N 11. С. 22. 9. Международное частное право: Учебник / Отв. ред. Г. К. Дмитриева. С. 155 — 156. 10. Петрыкина Н. И. Правовое регулирование оборота персональных данных. Теория и практика. М., 2011. С. 51.

——————————————————————