Среда, 29 Май 2013 20:19

Персональные данные, получаемые через Интернет: практические вопросы

  • Автор(ы): Зоркольцев Р.Д.
  • Информация об авторе(ах): адвокат, член адвокатской платы г. Москвы.
  • Информация о публикации: Зоркольцев Р.Д. Персональные данные, получаемые через Интернет: практические вопросы // СПС КонсультантПлюс. 2012.

В банковском, страховом бизнесе и других сферах деятельности, при создании новой компании или формировании бизнес-проекта, когда предполагается предоставление услуг посредством Интернет, нередко возникают вопросы в работе с персональными данными потенциальных клиентов. Какие сведения будут считаться персональными данными и что является достаточным подтверждением согласия клиента на обработку его данных при заполнении им специальной анкеты в Интернете для последующего оформления страхового полиса, банковской или иной услуги (достаточно ли проставления галочки при заполнении формы на интернет-сайте)? Можно ли хранить персональные данные за пределами России, и допускается ли передача обработки этих данных на аутсорсинг? Эти и другие актуальные для практики проблемы освещаются в статье.

В некоторых сферах деятельности (страхование, банковская деятельность) компании развивают веб-сервисы, при пользовании которыми от потенциальных клиентов, прежде чем оформить с ними правоотношения, требуется заполнение специальной формы на интернет-сайте (анкеты, заявления и т.п.). В этой форме клиент должен отразить информацию, необходимую для заключения договора (оформления страхового полиса, получения банковской или иной услуги).
Будет ли считаться персональными данными та информация, которую предоставляет клиент, заполняя в анкете на интернет-сайте специальные поля, указывая кроме фамилии, имени, отчества, места жительства, паспортных данных также сведения из других документов, относящихся к гражданину опосредованно?
В п. 1 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных, или Закон) определено, что персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Очевидно, что фамилия, имя, отчество, место жительства, реквизиты паспорта являются персональными данными, поскольку они прямо относятся к определенному гражданину. Об этом свидетельствует судебная практика <1>. Полагаю, что также будут являться персональными данными, например, сведения о паспорте транспортного средства, принадлежащего гражданину, сведения из правоустанавливающих документов на принадлежащее ему недвижимое имущество (свидетельство о государственной регистрации права в ЕГРП), вносимые в заявление на страхование или анкету клиента для пользования другого рода услугой, поскольку эти сведения имеют отношение к определенному физическому лицу. Сведения из других документов также могут являться персональными данными, если они, как указывает Закон, прямо или косвенно имеют отношение к определенному или определяемому физическому лицу.
--------------------------------
<1> См., например: Постановление Президиума Верховного Суда РФ от 21 июля 2010 г. N 11-ПВ10, Постановление Президиума ВАС РФ от 6 сентября 2011 г. N 1089/11, Определение Кассационной коллегии Верховного Суда РФ от 17 июля 2008 г. N КАС08-347.

Для тех, кто ведет свой бизнес в Интернете, актуален вопрос о месте и стране обработки и хранения персональных данных. Можно ли хранить персональные данные за пределами России? Допускается ли при этом возможность поручить обработку этих данных третьему лицу (передать на аутсорсинг), в том числе находящемуся за границей?
В п. 2 ст. 3 Закона о персональных данных определено понятие оператора. Им может быть государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В силу ч. 3 ст. 6 Закона оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (поручение оператора).
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона (в ней приведены меры по обеспечению безопасности персональных данных при их обработке).
Согласно ч. ч. 4 и 5 ст. 6 Закона лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона о персональных данных).
Из этого определения следует, что понятие обработки персональных данных включает в себя хранение и передачу таких данных, а понятие передачи - также их трансграничную передачу, под которой понимается их передача на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу (п. 11 ст. 3 Закона).
В соответствии со ст. 12 Закона допускается трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных <2>, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.
--------------------------------
<2> Конвенция о защите физических лиц при автоматизированной обработке персональных данных ETS N 108 (Страсбург, 28 января 1981 г.).

Оператор, работающий с персональными данными, до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
Понятия "адекватной защиты" в российском законодательстве не содержится, следовательно, это понятие оценочное. По всей видимости, с юридической точки зрения, об адекватности защиты прав субъектов персональных данных на территории иностранного государства может свидетельствовать, во-первых, сам факт присоединения этого государства к Конвенции <3>, во-вторых (это касается стран, не присоединившихся к Конвенции), наличие в государстве юридических и практических мер (национальных законов, подзаконных актов и административных распоряжений), обеспечивающих полную, своевременную и реальную защиту прав субъектов персональных данных. Для стран - членов ЕС, например, в числе принципов передачи персональных данных в третьи страны, изложенных в ст. 25 Директивы Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24 октября 1995 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, предусмотрено, что достаточность уровня защиты, предоставляемого третьей страной, оценивается в свете всех обстоятельств, связанных с операцией по передаче или с последовательностью операций по передаче данных; особое внимание уделяется характеру данных, цели и продолжительности предлагаемой операции или операций по обработке, стране происхождения и стране конечного назначения, законодательным правилам, как общим, так и отраслевым, действующим в соответствующей третьей стране, а также профессиональным правилам и мерам безопасности, соблюдаемым в этой стране.
--------------------------------
<3> Об этом см.: письмо Министерства связи и массовых коммуникаций РФ от 13 мая 2009 г. N ДС-П11-2502 "Об осуществлении трансграничной передачи персональных данных" (ответ на запрос Ассоциации российских банков от 23 марта 2009 г. N А-01/5-140).

В ряде случаев, перечисленных в ч. 4 ст. 12 Закона, трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, все же возможна. Она может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Как видно, нормы Закона о персональных данных не запрещают передачу персональных данных за пределы России и не запрещают передачу обработки персональных данных на аутсорсинг за границу. При должном соблюдении всех прав субъектов персональных данных это поможет также снизить риски бизнесменов, поскольку в ряде случаев в практике реализации интернет-проектов у них отсутствует доверие к качеству хостинга, предоставляемого российскими провайдерами (хостинг-провайдерами, хостерами), которые допускают так называемые "обвалы сайтов".
Исходя из ч. 4 ст. 9 Закона согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности, перечень действий с персональными данными, на совершение которых дается согласие и общее описание используемых оператором способов обработки персональных данных. В связи с этим, если речь идет о поручении обработки персональных данных на аутсорсинг за границу, рекомендуется получить согласие гражданина на обработку его персональных данных в данном конкретном иностранном государстве.
Еще более важной для практики ведения бизнеса в Интернете является проблема, связанная с формой выражения согласия субъекта персональных данных на их обработку. Что является достаточным подтверждением согласия субъекта на обработку его персональных данных? Является ли таким согласием проставление им галочки при заполнении специальной анкеты на интернет-сайте для последующего оформления страхового полиса, банковской или иной услуги?
Исходя из ст. 9 Закона о персональных данных субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Таким образом, в целом допускается проставление галочки в документе, который подписывается субъектом персональных данных, либо формулирование в документе фразы о том, что субъект персональных данных подписанием этого документа дает свое согласие оператору или другому лицу, определяемому оператором, на обработку персональных данных. Однако если речь идет о согласии в форме электронного документа, то оно должно сопровождаться электронной подписью, т.е. обязательным реквизитом.
Между тем в одном из судебных актов <4> указано, что обработка персональных данных может осуществляться с согласия субъектов персональных данных, при этом Законом о персональных данных определено два способа получения указанного согласия: путем принятия субъектом персональных данных решения на обработку своих данных своей волей и в своем интересе, а также путем получения согласия субъекта персональных данных в письменной форме. В этом судебном споре, в котором рассматривалась ситуация получения ипотечного кредита, выводы суда были следующими: "Физические лица - потенциальные клиенты на получение ипотечного кредита, заполняя анкету-запрос в письменном электронном виде на веб-ресурсах www.kredituem.com и www.creditsbrf.ru, последовательно отвечали на вопросы анкеты, содержащей сведения о персональных данных; цель предоставления данных - получение ипотечного кредита и обработка персональных данных, поскольку в анкете было указано, что кредит предоставляется банком... Затем данные физические лица отправляли анкету в электронном виде ООО "Кредитмарт", которое непосредственно имело доступ в административную часть порталов указанных веб-ресурсов под профилем "Руководитель офиса"... Отправив свои данные по указанному алгоритму заполнения анкеты, физические лица фактически выразили свое согласие на передачу своих персональных данных, то есть при обработке персональных данных указанных лиц ООО "Авторим" получало их письменное согласие в смысле, определенном пунктом 4 статьи 9 Закона о персональных данных".
--------------------------------
<4> Постановление ФАС Северо-Западного округа от 13 декабря 2010 г. N Ф07-13220/2010 по делу N А56-73636/2009.

Исходя из такого толкования проставление галочки в полях специально отведенной электронной формы на интернет-сайте допускается. Такая практика может применяться, например, при заключении договора страхования. В этом случае получается, что заполнение в электронной форме на интернет-сайте заявления на страхование, анкеты и т.п., где, помимо прочего, предусматривается необходимость заказчика услуги (страхователя) проставить в отведенном для этого месте галочку в подтверждение своего согласия с обработкой его персональных данных, означает как заключение самого договора страхования, так и предоставление согласия на обработку персональных данных. Если предположить, что сразу после этого клиент внесет необходимую сумму (оплатит полис или другую услугу) посредством безналичных расчетов, то договор будет считаться заключенным, согласие на обработку персональных данных - полученным.
В законодательстве регламентированы случаи, когда факт оплаты услуг будет свидетельствовать об акцепте, следовательно, о заключении договора. Согласно ст. 434 ГК РФ письменная форма договора считается соблюденной, если письменное предложение заключить договор принято в порядке, предусмотренном п. 3 ст. 438 ГК РФ: совершение лицом, получившим оферту, в срок, установленный для ее акцепта, действий по выполнению указанных в ней условий договора (отгрузка товаров, предоставление услуг, выполнение работ, уплата соответствующей суммы и т.п.) считается акцептом, если иное не предусмотрено законом, иными правовыми актами или не указано в оферте.
Однако есть и иное толкование Закона о персональных данных судебными инстанциями.
В другом судебном деле <5> вывод суда был таким: "Само по себе заключение от имени фирмы публичных договоров с гражданами не свидетельствует о согласии последних на распространение их персональных данных третьим лицам". Хотя нужно учитывать специфику этого спора: публичная оферта была выражена в письменной форме в печатном издании, а не в электронной форме на интернет-сайте. В этом деле речь тоже шла о кредитовании. Обществом в средствах массовой информации ("Российская газета") были опубликованы условия договора (публичной оферты), согласно которому пользователь согласен на представление сведений о нем третьим лицам, в том числе его персональных данных, юридическим лицам, осуществляющим формирование, обработку, хранение и выдачу информации об исполнении должником принятых на себя договорных обязательств, включая бюро кредитных историй. Ссылка общества на то, что, подписав договор, граждане фактически согласились с возможностью распространения их персональных данных третьим лицам, была признана необоснованной. По мнению судов апелляционной и кассационной инстанций, рассматривавших спор, действующим законодательством установлены специальные требования к письменному согласию субъекта персональных данных, и само по себе заключение публичных договоров между обществом и гражданами не свидетельствует о согласии последних на распространение их персональных данных третьим лицам.
--------------------------------
<5> Постановление ФАС Уральского округа от 18 марта 2010 г. N Ф09-1736/10-С1 по делу N А34-5785/2009.


Оставить комментарий




TPL_TPL_FIELD_SCROLL