CC BY
18В.А. ПЕРЕДНЯ, г. Москва
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННО-ТЕЛЕКОМУНИКАЦИОННОЙ СЕТИ МЕЖДУНАРОДНОГО ИНФОРМАЦИОННОГО ОБМЕНА
В статье указываются основные нормативные документы, руководствуясь которыми субъекты персональных данных могут восстановить и защитить свои права при пользовании информационно-телекоммуникационной сети Интернет. С развитием информационно-телекоммуникационных технологий в современной повседневной жизни субъектам необходимо помнить о защите своей личной информации, в частности защите и сохранении конфиденциальности своих персональных данных, а также приведены примеры защиты субъектов персональных данных Роскомнадзором.
Ключевые слова и фразы: субъект персональных данных; защита персональных данных; администратор доменного имени; оператор персональных данных.
V.A.PEREDNYA, Moscow
PROTECTION OF PERSONAL INFORMATION IN INFORMATION ТЕ^ЕКОМУНMКАЦMОННОM
NETWORKS OF THE INTERNATIONAL INFORMATION EXCHANGE
In article the main normative documents are specified, being guided with which subjects of personal information can restore and protect the rights when using the information and telecommunication Internet. With development of information and telecommunication technologies in a modern everyday life subjects need to remember protection of the personal information, in particular protection and preservation of confidentiality of the personal information, and also examples of protection of subjects of personal information are given by Roskomnadzor.
Keywords and phrases: subject of personal information; protection of personal information; administrator of a domain name; operator of personal information.
С вступлением в законную силу Федерального закона «О персональных данных» полномочия по защите прав субъектов персональных данных были возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор).
Сегодня Роскомнадзор является федеральным органом, осуществляющим государственный контроль и надзор за исполнением принимаемых Федеральным собранием Российской Федерации законодательных актов в области персональных данных. В своей деятельности Рос-комнадзор также руководствуется положениями международных правовых актов. В первую очередь, это Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных от 28 января 1981 г. ЕТБ № 108. После подписания данной Конвенции 7 ноября 2001 г. Российская Федерация возложила на себя обязательства по приведению в соответствие с нормами европейского законодательства как национального законодательства так и деятельности в области защиты прав субъектов персональных данных.
Разрабатывая национальное законодательство Российская Федерация учитывала, в том числе, и положения европейских правовых актов, в частности:
- Директивы 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных
данных и о свободном движении таких данных»;
- Директивы 97/66/ЕС Европейского парламента и Совета Европейского Союза от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе.
В настоящее время в Российской Федерации вопросы, связанные с защитой прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну регулируются:
- Конституцией Российской Федерации от 12 декабря 1993 г.;
- Федеральным законом от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
- Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Центральное место в системе российского национального законодательства в области персональных данных занимает Федеральный закон «О персональных данных», основанный на конституционных положениях, гарантирующих защиту прав на неприкосновенность частной жизни, личную и семейную тайну. Федеральный закон «О персональных данных» закрепил статус и полномочия российского Уполномочен-
ного органа, условия осуществления государственного контроля и надзора, унифицировал правила сбора и обработки персональных данных физических лиц, а также правовые, организационные и технические меры, направленные на обеспечение защиты прав граждан при сборе и обработке их персональных данных. В Федеральном законе закреплены все общепризнанные европейским сообществом принципы обработки персональных данных. Кроме того, во исполнение отдельных положений Федерального закона «О персональных данных», был принят ряд подзаконных нормативных правовых актов:
- постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государ-
ственными или муниципальными органами»;
- постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Вопрос, касающийся защиты персональных данных субъектов в сети Интернет на сегодняшний день является актуальным. В первую очередь это связано с невысоким уровнем грамотности населения в вопросах безопасности собственных персональных данных. Так субъекты персональных данных при регистрации на интернет-сайтах (социальные сети, интернет — магазины и др.) предоставляют свои персональные данные, включающие в себя фамилию, имя, отчество, электронный почтовый адрес, номер мобильного телефона, адрес местожительства и другую личную информацию.
Кроме того, при регистрации субъект проставляет «галочку» в поле электронной формы регистрации, содержащей информацию о его согласии с правилами и условиями обработки предоставленных персональных данных.
Хотелось бы отметить, что проставление субъектом персональных данных «галочки» в поле электронной формы регистрации/заказа, не может считаться аналогом согласия субъекта персональных данных, установленного действующим законодательством Российской Федерации в области персональных данных.
И тем самым в соответствии с частью 1 статьи 9 Федерального закона «О персональных данных» субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Согласно части 1 статьи 435 и части 2 статьи 437 Гражданского кодекса Российской Федерации офертой признается адресованное одному или нескольким конкретным лицам предложение, которое достаточно определенно и выражает намерение лица, сделавшего предложение, считать себя заключившим договор с адресатом, которым будет принято предложение.
Оферта должна содержать существенные условия договора.
Содержащее все существенные условия договора предложение, из которого усматривается воля лица, делающего предложение, заключить договор на указанных в предложении условиях с любым, кто отзовется, признается офертой (публичная оферта).
Таким образом, субъект персональных данных (Пользователь) при регистрации на интернет-сайте (www.zxzxzxz.xx) принимает условия пользования интернет-сайтом (пользовательское соглашение) и тем самым берет на себя обязательства, установленные указанным соглашением.
Приведем пример, когда в социальной сети «ХХХХХХХ» была заблокирована персональная страница пользователя, для ее разблокировки администрация сайта «ХХХХХХХХХ» просила указать
свой мобильный номер телефона. У пользователя сайтом сразу же возникает вопрос о правомерности действий администрации сайта «ХХХХХХХХХХ»?
В связи с вышеуказанными статьями Федерального закона «О персональных данных» и Гражданским кодексом Российской Федерации субъект персональных данных (Пользователь) при регистрации на интернет-сайте ХХХХХ.ХХ принимает условия пользования интернет-сайтом (пользовательское соглашение) и тем самым берет на себя обязательства, установленные указанным соглашением.
В соответствии с положением Регламента сайта «ХХХХХХХХХ» при невозможности совершения авторизации в связи с утратой пароля, блокировкой профиля и по иным причинам пользователь вправе обратиться в службу поддержки администрации сайта, либо следовать инструкциям, размещенным в разделе «Помощь» и/или иных разделах сайта. Способы восстановления доступа к аккаунту, авторизации пользователя могут быть изменены, отменены или дополнены администрацией в одностороннем порядке.
Согласно разделу «Помощь» восстановление пароля при утрате доступа к аккаунту пользователя производится путем направления вшб-сообщения на номер мобильного телефона, указанного пользователем в качестве контактной информации при регистрации.
В соответствии с положением Регламента сайта «ХХХХХХХХХ» при разблокировании аккаунта
пользователя, администрация сайта запрашивает номер мобильного телефона для отправки вшБ-сообщения с кодом подтверждения для разблокирования персональной страницы пользователя.
Таким образом, нарушений законодательства Российской Федерации в области персональных данных администратором сайта ХХХХХ.ХХ не усматривается. Рассмотрим пример о правомерности предоставления сайтом www.xxxxxx.xx доступа неограниченному кругу лиц к персональным данным субъектов, а именно к телефонному справочнику.
В соответствии со статьей 3 Федерального закона «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Действующим законодательством Российской Федерации в области персональных данных установлено обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Вместе с тем, на сайте отсутствует информация, подтверждающая наличие у администратора сайта согласия граждан на обработку их персональных данных либо иных законных оснований на обработку указанных персональных данных. Таким образом, администратором сайта допущено нарушение требований кон-
фиденциальности, установленного ст. 7 Федерального закона «О персональных данных».
При обращении в адрес администратора сайта о правовых основаниях деятельности по распространению в информационно-телекоммуникационной сети Интернет персональных данных субъектов администратором сайта было сказано, что указанные персональные данные в телефонном справочники являются общедоступными и получены с материального носителя, приобретённого в книжном магазине.
Согласно части 1 статьи 8 Федерального закона «О персональных данных» в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
В случае если администратором сайта не были представлены сведения, что указанные персональные данные размещены с письменного согласия субъектов, то согласно законодательству Российской Федерации в действиях администратора сайта усматриваются признаки административного правонарушения, предусмотренного ст. 13.11. КоАП РФ - нарушение установленного законом порядка сбора, хранения, ис-
пользования или распространения информации о гражданах (персональных данных).
Кроме того, субъект персональных данных также вправе обратиться в суд с исковым заявлением о незаконном распространении его персональных данных администратором доменного имени xxxxxx.xx без соответствующего согласия. После вступления в силу Федерального закона «О персональных данных», администратор доменного имени вправе потребовать от регистратора доменного имени убрать свои персональные данные из общедоступного источника, каковым является whois-сервис регистратора.
Тем не менее, реальные данные администратора доменного имени должны храниться у регистратора сайта.
Согласно пункту 9.1.5. Правил регистрации доменных имен в доменах .RU и .РФ, утвержденного от 5 октября 2011 г. № 2011-18/81 [http:// www.cctld.ru/ru/docs/rules.php], регистратор вправе сообщить информацию о полном наименовании (имени) администратора и его местонахождении (местожительстве) по письменному мотивированному запросу третьих лиц, содержащему обязательство использовать полученную информацию исключительно для целей предъявления судебного иска.
В случае если регистратор отказывается в предоставлении сведений или информации об администраторе доменного имени, то субъекту персональных данных придется назначить ответчиком регистратора, затем в
ходе судебного разбирательства получать от него персональные данные истинного администратора доменного имени и затем менять ненадлежащего ответчика.
Согласно опубликованной информации Роскомнадзора, а именно в разделе «Персональные данные» подраздел «Пресечение распространения персональных данных в Интернете», информация, содержащая персональные данные граждан Российской Федерации, удалена администратором сайта хххххх.хх.
Роскомнадзором активизирована работа по выявлению интернет-сайтов, незаконно распространяющих персональные данные субъектов. Так, на основании судебных решений, принятых по требованию уполномоченного органа, персональные данные удалены с пяти интернет-ресурсов. Еще с 31 сайта конфиденциальная информация о гражданах удалена администраторами в досудебном порядке. Деятельность 104 интернет-ресурсов регистраторами доменных имен прекращена полностью, поскольку данные сайты специализировались исключительно на публикации охраняемых законом персональных данных.
Выявлено также 13 сайтов, предлагающих доступ к персональным данным на возмездной основе путем оправки Бтв-сообщений. Материалы по этим сайтам направлены в правоохранительные органы с целью проверки на предмет мошенничества.
В вопросе защиты персональных данных, необходимо отметить особенность распространения персональных данных в сети Интернет за
пределами Российской Федерации, где действие законодательства Российской Федерации в области персональных данных не распространяется.
Российским законодательством установлены широкие возможности защиты прав субъектов персональных данных и сегодня они активно используются и гражданами, и Рос-комнадзором как уполномоченным органом.
Отмечу, что Роскомнадзор решает эту проблему в тесном сотрудничестве с иностранными коллегами — уполномоченными органами по защите прав субъектов персональных данных, а там где их нет — с регистраторами доменных имен. Уже имеется положительная практика. Для пресечения противоправной деятельности интернет-ресурсов, расположенных за пределами Российской Федерации, Роскомнадзором направлялись письма с просьбой о содействия в адрес уполномоченных органов Франция, Германии, Канады, Казахстана, Кыргызстана, Молдовы, Украины, Беларуси, а также регистраторов доменных имен, осу-
ществляющих деятельность на территории Франции, Индии, Китая, Австралии, Содружество Багамских островов и США. В общей сложности, на сегодняшний день по результатам рассмотрения материалов Роскомнадзора прекращено делегирование 34 доменных имен, зарегистрированных вне зоны ги, в 28 случаях информация, содержащая персональные данные, удалена.
В целях пресечения правонарушений законодательства Российской Федерации в области персональных данных пользователь сети Интернет всегда должен помнить о безопасности и защите своих персональных данных. При регистрации на интернет-сайтах пользователь сети Интернет сам несет персональную ответственность за предоставление своих персональных данных.
Библиографический список:
1. Серго А.Г. Доменные имена. Правовое регулирование» М.: ГОУ ВПО РГАИС, 2013. - 312 с.
2. Федотов Н. Форензика - компьютерная криминалистика // Николай Николаевич Федотов. - М.: «Onebook.ru», 2012. -420 с.
