Комментарии в СМИ

Юрист практики по интеллектуальной собственности / информационным технологиям «Качкин и Партнеры» Андрей Алексейчук поясняет, почему компании обязывают хранить персональные данные россиян на территории РФ, и рассказывает о том, как сейчас защищают персональные данные в России.

В пресс-службе ведомства «АГ» сообщили, что компании предоставили формальные ответы о локализации персональных данных российских пользователей, а потому Роскомнадзор начинает в отношении обеих компаний административное производство. Эксперты рассказали, скажется ли это на пользователях соцсетей. Также юристы пояснили, как в России защищаются персональные данные, предупредили о возможных угрозах их владельцев и дали им рекомендации.

В пресс-службе Роскомнадзора «АГ» сообщили о том, что Facebook и Twitter предоставили ведомству сведения о локализации баз персональных данных российских пользователей.

Напомним, что Закон о персональных данных обязывает российские и иностранные компании хранить персональные данные россиян на территории РФ. За исполнением этой нормы следит Роскомнадзор.

Как рассказали в ведомстве, «компании, управляющие соцсетями Facebook и Twitter, предоставили формальные ответы на наши требования подтвердить локализацию персональных данных российских пользователей в России. Они не содержат конкретики ни о фактическом исполнении законодательства на текущий момент, ни о сроках исполнения данных норм в будущем. В связи с этим сегодня [21 января 2019 г. – Прим. «АГ»] Роскомнадзор начинает в отношении обеих компаний административное производство».

«АГ» попросила юриста практики по интеллектуальной собственности/информационным технологиям АБ «Качкин и Партнеры» Андрея Алексейчука прокомментировать эту ситуацию.

Если Facebook и Twitter откажутся соблюдать требования Закона о персональных данных или не предоставят необходимые сведения Роскомнадзору, работу соцсетей заблокируют?

На данный момент единственной эффективной мерой воздействия на компании, которые отказываются хранить данные российских граждан на территории РФ, является блокировка сайта, с помощью которого осуществляется сбор персональных данных. Такое возможно на основании статьи 15.5 Закона об информации [1] по решению суда. В этом случае сайт, используемый для сбора данных, будет недоступен на территории РФ. При этом компания после этого не прекратит работу. Более того, граждане России смогут получить доступ к заблокированному сайту с помощью специальных технологий. Запрета на использование заблокированных сервисов или средств обхода блокировок гражданами законодательство пока не содержит. Впрочем, Роскомнадзор может заблокировать работу конкретного сервиса, позволяющего обходить блокировки, например VPN, если такой сервис не предпринимает действий по ограничению доступа к заблокированным интернет-ресурсам. Но пока Роскомнадзор не осуществляет активной деятельности в этом направлении: большинство известных VPN-сервисов по-прежнему работают и позволяют получить доступ к заблокированным сайтам.

Показательным примером последствий несоблюдения требования закона о локализации персональных данных является дело LinkedIn – социальной сети для осуществления деловых контактов. LinkedIn отказалась выполнять требование Закона о персональных данных, руководствуясь тем, что она является иностранной компанией, не имеет представительств на территории РФ, и потому на нее не могут распространяться требования российского законодательства. После этого в 2016 г. доступ к сайту компании был заблокирован по решению суда [2]. При этом социальная сеть LinkedIn не прекратила свою деятельность, и любой гражданин РФ может получить к ней доступ, используя средства для обхода блокировок. Многие россияне продолжают вести в LinkedIn свои страницы.

Почему компании обязывают хранить персональные данные россиян на территории РФ?

Любое государство может требовать выполнения своих законов только на своей территории. Если персональные данные российских граждан будут храниться на территории иностранного государства, Россия не сможет контролировать исполнение требований Закона о персональных данных иностранной компанией в отношении данных своих граждан. Более того, даже если российская компания будет хранить персональные данные на территории другого государства, Россия не сможет проконтролировать выполнение своих правил, поскольку не имеет возможности, например, прийти с проверкой на территорию другой страны. Максимум, чего можно будет потребовать от российской компании, – предоставления отчетов о мерах, принимаемых для обеспечения безопасности хранения персональных данных. Но не факт, что такие отчеты не будут содержать ложную или искаженную информацию. Поэтому теоретически запрет на хранение персональных данных за рубежом имеет под собой определенные основания.

Другое дело, что соответствующее положение Закона о персональных данных не обязывает компании хранить персональные данные исключительно на территории России. Речь идет только о том, что на территории РФ должны быть обеспечены сбор, запись, систематизация, накопление, хранение и уточнение персональных данных. При этом запрет на параллельную обработку персональных данных на территории другого государства законодательство не содержит. То есть обязанность компаний, по сути, заключается в создании актуальной копии персональных данных граждан на территории РФ. А после создания такой копии данные могут передаваться и храниться в том числе на территории иностранного государства (с соблюдением требований Закона о персональных данных, касающихся трансграничной передачи данных).

Это подтверждает и Минкомсвязи в своих разъяснениях [3]: «Персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней (“первичная база данных”), могут далее передаваться в базы данных, расположенные за пределами России (“вторичные базы данных”), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных. Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр.». В такой трактовке цель правила о локализации персональных данных не совсем ясна, но, по моему мнению, она не связана с необходимостью защиты персональных данных граждан РФ.

Как сейчас защищают персональные данные в России?

По моему мнению, нельзя сказать, что в России сейчас обеспечивается защита персональных данных на должном уровне. Это в первую очередь связано с тем, что Закон о персональных данных был принят более 10 лет назад, когда такие сведения собирались и обрабатывались преимущественно без использования интернета.

В современном мире данные обрабатываются в основном онлайн. Более того, огромное коммерческое значение приобрели сведения о пользователе, его поведении, действиях и предпочтениях, которые формально могут и не являться персональными данными, поскольку их нельзя соотнести с конкретным лицом. Например, некий интернет-сервис, которым пользуется обычный человек, может не знать Ф.И.О. этого человека, но зато собирать информацию обо всех совершенных им действиях, его местоположении и перемещениях (если интернет-сервис, к примеру, установлен на телефоне), круге друзей и т.п. Такая информация зачастую обезличивается. После этого в форме, не подпадающей под регулирование Закона о персональных данных, эти сведения передаются третьим лицам, например для показа персонализированной рекламы.

Отметим, что значительную угрозу нарушения прав граждан представляют утечки персональных данных. Например, в предыдущем году в Сбербанке произошло несколько таких утечек. Эти случаи широко обсуждали в СМИ, и неизвестно еще, сколько подобных утечек под внимание прессы не попало или произошло у менее крупных компаний.

Эффективность деятельности Роскомнадзора можно оценить на основании опубликованных ведомством данных за первое полугодие 2018 г. [4] Так, за указанный период Роскомнадзор провел 1505 контрольно-надзорных мероприятий, составил 3317 административных протоколов в отношении выявленных нарушений. При этом только в реестре зарегистрированных операторов обработки персональных данных содержатся сведения о 392 816 операторах. То есть можно сделать вывод, что за первое полугодие Роскомнадзор осуществил проверку деятельности менее 0,5% зарегистрированных лиц, осуществляющих обработку персональных данных. По моему мнению, это не свидетельствует об эффективной работе.

«АГ» попросила старшего партнера юридической компании «Катков и партнеры», члена Совета ТПП РФ по интеллектуальной собственности Павла Каткова рассказать о том, как владельцам персональных данных избежать рисков и защитить свои права.

Зачем при подписании документов требуют согласия на обработку персональных данных?

Закон защищает персональные данные граждан. Это означает, что для их обработки, в том числе сбора, записи, хранения, передачи и иных действий, необходимо получить разрешение человека, чьи данные лицо собирается обрабатывать. Такое разрешение называется согласием на обработку персональных данных, а лицо, которое будет обрабатывать их, называется оператором персональных данных. Соответственно, при подписании документов, например на получение кредита в банке, гражданин-заемщик является владельцем персональных данных, а банк-кредитор становится оператором персональных данных, так как получает и обрабатывает данные этого гражданина, включая данные о его личности, месте работы, платежах. Подобные правоотношения встречаются и в других ситуациях. Это защищает граждан от несанкционированного использования их данных, ведь без их согласия это будет незаконно.

Как защитить свои персональные данные?

В первую очередь данными не стоит «разбрасываться». Не посылайте скан паспорта. Тем более не выкладывайте его в публичный доступ. То же касается штрих-кодов с авиабилетов и иных технологических ключей; любых сведений, дающих доступ к персональной информации. Избегайте публичных анкет и анкет на непроверенных сайтах.

Следите за информационной безопасностью. Берегите пароли от личных кабинетов и электронных почтовых ящиков. Пользуйтесь антивирусами и средствами технической защиты. Соблюдайте общепринятые меры компьютерной безопасности.

Я бы рекомендовал внимательно знакомиться с документами до их подписания. К таким документам относятся и бумажные договоры и соглашения, а также сопроводительные бумаги к ним, и электронные оферты на сайтах, почтовых службах, мобильных приложениях и иных электронных сервисах. Изменить их, как правило, невозможно, но, во всяком случае, вы будете знать, на что идете.

Так, пользователи Windows 10, прочитав, насколько сильно они должны будут «раскрываться» перед данным оператором персональных данных для пользования продуктом, зачастую отказывались от апгрейда либо вручную выключали его наиболее одиозные опции, направленные на обработку персональных данных.

Что делать владельцу персональных данных, если он обнаружил, что его права нарушены?  

Если человек считает, что его права нарушены, он может пойти несколькими путями. Первый – досудебное урегулирование, претензионный порядок, т.е. обратиться с претензией к лицу, нарушившему правила обработки персональных данных. Часто это помогает.

Если это не помогло, целесообразно направить жалобу в Роскомнадзор – федеральный орган власти, осуществляющий надзор в данной сфере.

Наконец, для граждан доступен судебный порядок защиты прав.

Если вы добровольно дали согласие на обработку персональных данных, помните, что по закону такое согласие может быть отозвано субъектом данных.

Это самые общие рекомендации по управлению своими персональными данными. Вопрос этот гораздо сложнее и имеет множество правовых нюансов, которые полезно знать. Для лучшего понимания я бы рекомендовал ознакомиться с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также публичными материалами и рекомендациями Роскомнадзора по данному вопросу.

[1] Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

[2] Определение Московского городского суда от 10 ноября 2016 г. по делу № 33-38783/2016.

[3] https://digital.gov.ru/ru/personaldata/#1438546984884

[4] https://rkn.gov.ru/news/rsoc/news59176.htm

Материал опубликован на сайте «Адвокатской газеты» 21.01.2019