|
|||
Конспект содержательной части кружка виртуального права
Подготовлено Сосниной Е. Конспект содержательной части кружка виртуального права от 12.11.2015 Дискуссия с ДФУ об изменениях, внесенных в ФЗ «О персональных данных», локализация персональных данных При анализе положений ФЗ-242 от 21.07.2014, были выделены ряд проблем: Для начала, какие именно персональные данные подпадают под регулирование ФЗ «О персональных данных», в частности п.5 ст.18? Согласно ст. 3 ФЗ «О персональных данных» персональные данные - это любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Таким образом, в качестве персональных данных может выступать любая информация. Более того, с точки зрения Минкомсвязи России, ФЗ «О персональных данных» не содержит полномочия по уточнению этого термина подзаконными актами. · Таким образом, ФЗ «О персональных данных» защищает не любую информацию о человеке, а только такую ее совокупность, которая позволяет идентифицировать лицо. Например, к таким данным можно отнести фамилию, имя, отчество субъекта, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другие данные. Проблема №1. Дефиниция понятия базы данных, находящихся на территории РФ, согласно ч.5 ст.18 ФЗ «О персональных данных». Разъяснение данного понятия было дано РосКомНадзором от 19.01.2015, в соответствии с ним, это упорядоченный массив персональных данных, независимо от вида материального носителя информации и используемого средства для его обработки, в котором содержится информация о персональных данных граждан. Также правовая природа баз данных раскрывается в ч.4 ГК, пп.3 п.1 ст.1225, база данных определяется в качестве охраняемого результата интеллектуальной деятельности, и носит нематериальный характер (как и информация, размещенная в базе данных), при этом, должна иметь материальный носитель, из которого может быть воспринята третьими лицами. Однако, в ч.5 ст.18 ФЗ «О персональных данных» указано, что именно база данных должна находится на территории РФ, а не материальный носитель. В свою очередь, база данных как нематериальный объект не может находится на определенной территории. · В связи с этим, по мнению коллег, данное требование, распространяется именно на материальный носитель. Проблема №2. Сфера действия ФЗ-242 во времени. В соответствии с устоявшимися правовыми принципами придание обратной силы правовым нормам, ухудшающим правовое положение лиц и устанавливающим новые обязанности, является, по общему правилу, недопустимым. Исключение составляют случаи, когда обратная сила прямо предусмотрена в законе, но ФЗ-242 не содержит подобного рода положений. Соответственно, обязанность по локализации, предусмотренная ч. 5 ст. 18 Федерального закона «О персональных данных», распространяется на отношения по обработке персональных данных, которые возникнут после вступления его в силу. Проблема №3. Проблема определения гражданства субъекта персональных данных. По мнению РосКомНадзора, сами операторы должны определять к кому следует применять правило ч.5 ст.18 ФЗ «О персональных данных». Но, если оператор этого не сделает, данное требование необходимо распространять на всех лиц, персональные данные которых обрабатываются на территории РФ (то есть такое правило также может распространятся и на иностранных граждан, находящихся на территории РФ). Данное положение является спорным, так как в случае нарушения ч.5 ст.18 возможно применение административной ответственности, для которой необходимо установить виновность лица. Проблема в определением вины заключается в том, что оператор вправе определять гражданство исходя из косвенных характеристик, с которыми не будет согласен РосКомНадзор. · При этом, по мнению Роскомнадзора, персональные данные российских граждан, которые работают в иностранных компаниях за рубежом, не подпадают под требования Закона . То же правило распространяется на российских граждан в период их временного нахождения за границей (командировка, отпуск и т.д.). Меры административной ответственности в данном случае, крайне не эффективны, ст.13.11 КоАПа предусматривает в виде ответственности штраф в размере 10 000 рублей. При этом, при сравнении данной суммы ответственности с ценой услуг специалистов в отрасли обработки персональных данных, становится понятно, что сумма штрафа не существенна. Таким образом, можно сделать вывод, что предпринимателю будет выгоднее уплата штрафа, нежели приведение своих систем в соответствие с законодательством. Подлежит ли иностранный оператор административной ответственности, согласно КоАП РФ? Если лицо и будет привлечено к такой ответственности, то встает вопрос реализации данного решения, с учетом того, что оператор (юридическое лицо) находится в юрисдикции другого государства. Единственным выходом из данной ситуации может быть лишь блокировка ресурса на территории РФ. Однако, здесь снова появляется проблема эффективности именно административной ответственности. Проблема №4. Трансграничная передача персональных данных. Согласно статье 3 ФЗ «О персональных данных» трансграничная передача персональных данных - это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Существует также Конвенция от 28 января 1981 г. ETS № 108 (участником которой является РФ), которая регулирует трансграничную передачу данных. Изменения, ФЗ-242, не затронули положения о трансграничной передаче персональных данных. Соответственно такая передача возможна, как и ранее, если соблюдаются все требования ФЗ «О персональных данных», в том числе ст.12. Таким образом, положения ч.5 ст.18 ФЗ «О персональных данных» распространяются только на первичную обработку персональных данных, вторичная обработка возможна уже за пределами РФ. · Согласно комментарию РосКомНадзора, трансграничная передача персональных данных наравне с любым иным способом обработки персональных данных должна соответствовать целям сбора персональных данных. То есть осуществление передачи данных на основании закона или с согласия субъекта персональных данных невозможно; должна быть цельтакой передачи, соответствующая целям сбора. При этом, При трансграничной передаче персональных данных ответственность за действия, совершаемые в отношении переданных персональных данных, несет иностранный оператор в соответствии с применимым к нему законодательством. Следовательно, возникает также еще одна проблема -> Проблема №5. Ответственность иностранного лица за нарушение правил обработки персональных данных, переданных из РФ. По общему принципу иностранное лицо не является оператором обработки персональных данных в России, поэтому не несет ответственность по российскому законодательству. В случае причинения вреда российскому субъекту персональных данных иностранным оператором, которому российский субъект напрямую передал свои персональные данные, а также в случае причинения вреда российскому субъекту лицом, не состоящим в договорных отношениях с субъектом персональных данных, оператором или обработчиком, отношения по возмещению причиненного вреда будут носить деликтный характер, и применимое право к таким обязательствам будет определяться на основании 1219 ГК РФ. Согласно п. 3 ст. 1219 ГК РФ, поскольку российский субъект персональных данных и иностранный обработчик состоят в договорных отношениях, а обязательства из причинения вреда российскому субъекту тесно связаны с таким договором, то применимым правом к таким обязательствам будет то же право, что и к договору, т.е. право страны места осуществления деятельности иностранного обработчика персональных данных. Однако, ч.1 ст.1219 ГК указывает на то, что если вред наступил в другой стране, то может быть применено право этой страны, если причинитель вреда предвидел или должен был предвидеть наступление вреда в этой стране. Значит ли это, что операторы должны изучать законодательство каждой страны для предвиденья причинения вреда? РосКомНадзор давал разъяснения (23.06.2015), согласно которым предпринимателям действительно придется понести затраты по изучению иностранного законодательства. В частности, данная позиция содержала ссылку на ст.1212 ГК, согласно которой выбор права, подлежащего применению, когда стороной договора является физическое лицо не может повлечь за собой лишение физического лица права использовать законодательство его государства. Кроме того, РосКомНадхором и МинКомСвязи были разработаны критерии, которые могли бы свидетельствовать о направленности деятельности оператора на физическое лицо конкретного государства (см.Конспект содержательной части кружка, от 26.09). В случае, когда вред причиняется российскому субъекту третьим лицом, состоящим в договорных отношениях с российским или иностранным операторами, то в ФЗ «О персональных данных» (п. 5 ст. 6) содержатся положения для определения ответственности такого лица: "В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор". Следовательно, правом, применимым к обязательствам иностранного лица, причинившего вред российскому субъекту персональных данных, когда такое иностранное лицо состоит в договорных отношениях с российским оператором персональных данных, будет российское право. Проблема №6. Положения ч.5 ст.18 ФЗ «О персональных данных»: При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона. Исключения, которые называет данная норма противоречат положениям, указанным в ч.2.1 ст.13 ФЗ «Об информации». Так, положение ФЗ «Об информации» устанавливает, что Технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации. Таким образом, требование о локализации всей технической инфраструктуры, использующейся в государственным (муниципальных) информационных системах неизбежно влечет обработку всей содержащейся там информации. Проблема №7. Применение внесенных в ФЗ «О персональных данных» изменений на практике, в частности, в сфере гражданской авиации. В настоящее время обработка персональных данных пассажиров при бронировании и продаже воздушных перевозок гражданской авиации осуществляется с использованием глобальных распределительных систем, таких как: Amadeus, Gabriel. Именно они позволяют осуществлять продажу билетов на рейсы российских авиакомпаний в различных странах. В этой связи, выполнение требований ФЗ-242 в установленные сроки не представляется возможным, потому что требует согласия провайдеров таких систем на размещение баз данных в РФ. Таким образом, рассмотренные изменения в ФЗ «О персональных данных» требуют доработки и уточнения, так как в данный момент достаточно много проблем, связанных с толкование данного закона, а также с его дальнейшим применением.
|
|||
|