Статья посвящена актуальным изменениям законодательства о персональных данных, обязывающие операторов при сборе персональных данных в том числе посредством информационно-телекоммуникационной сети «Интернет» обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Данное нововведение является крайне спорным и породило множество правовых проблем.
Ключевые слова: персональные данные, виртуальное право, локализация баз данных.
В последние годы одним из направлений государственной политики являются попытки государственного регулирования Интернета, которое сводится в основном к различным запретам и ограничениям. Все возможные «антипиратские» законы, призванные защищать результаты интеллектуальной деятельности в Интернете и механизмы блокировки сайтов, на которых размещаются материалы с нарушением авторских и смежных прав. Однако, с 1 сентября вступил в силу Федеральный закон от 21.07.2014 № 242-ФЗ (-далее ФЗ № 242-ФЗ), касающийся защиты персональных данных. ФЗ № 242-ФЗ вносятся изменения в два других Федеральных закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — Закон об информации) и от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных). Часть изменений носит технический характер и связана с введением реестра нарушителей прав субъектов персональных данных.
ФЗ № 242-ФЗ вносится спорное положение, обязывающие операторов при сборе персональных данных в том числе посредством информационно-телекоммуникационной сети «Интернет» обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением ряда случаев. Это продиктовано стремлением обеспечения национальной информационной безопасности и является частью общей политики по локализации отношений, возникающих при использовании информационно-телекоммуникационных сетей и информационных технологий, которая также проявляется и в требовании о хранении и совершении ряда операций с персональными данными российских граждан с использованием баз данных, расположенных на территории Российской Федерации.
При этом ряд исключений из этого правила вступает в противоречия с ранее принятыми изменениями ФЗ об информации. В соответствии с ч. 2.1 ст.13 ФЗ об информации было установлено требование о необходимости размещения технических средств, используемых в государственных и муниципальных информационных системах на территории Российской Федерации. Данное положение полностью запрещает использование ресурсов зарубежных хостингов и облачных провайдеров, в том числе и услуг отечественных компаний, которые используют зарубежные платформы для предлагаемых решений (например, облачные сервисы Microsoft Azure) в государственной и муниципальной сфере [1]. Однако в соответствии с исключениями указанными в ч.5 ст.18 ФЗ о персональных данных, существует исключение отсылающее к п. 4 ч. 1 ст. 6 — когда обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг. Возможно, появление данного исключения следует объяснить несогласованностью действий различных рабочих групп, вовлеченных в процесс разработки соответствующих законопроектов, и наличием различных ответственных лиц за их подготовку и согласование [2].
Так или иначе, требование о локализации всей технической инфраструктуры, используемой в государственных и муниципальных информационных системах, неизбежно влечет совершение действий по обработки содержащейся в них информации, в том числе персональных данных, с использованием баз данных, расположенных на территории РФ.
Следующей проблемой является дефиниция понятия «базы данных», которые должны находится на территории РФ в соответствии с ч.5 ст.18 ФЗ о персональных данных. В разъяснении Роскомнадзора от 19 января 2015 г. N 08АП-3572 дается понятие «база данных» — это упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки, в которой содержится информация о персональных данных граждан. При этом в качестве обоснования используется отсылка к Модельному закону о персональных данных, принятому на 14-м пленарном заседании Межпарламентской Ассамблеи государств — участников СНГ 16 октября 1999 г.
Правовая природа «баз данных» раскрывается в ч.4 Гражданского кодекса. В соответствии с пп.3 п.1 ст.1225 ГК РФ база данных является охраняемым результатом интеллектуальной деятельности и носит, как и информация, в ней размещенная, главным образом нематериальный характер, хотя она должна иметь материальный носитель (вещь), без которого не может быть воспринята третьими лицами. Интеллектуальные (в том числе исключительные) права на базу данных при этом не зависят от права собственности на материальный носитель (вещь) и могут обращаться отдельно от него (п. 1 ст. 1227 ГК РФ). Но в ч.5 ст.18 ФЗ о персональных данных указано, что именно базы данных должны находится на территории РФ, а не материальные носители. Несомненно, на территории РФ могут находиться и находятся только носители баз данных. В свою же очередь базы данных как нематериальные объекты не могут находиться на определенной территории. Территория всегда материальна, а базы данных, как объект интеллектуальных прав носят нематериальный характер [3].
Необходимо также решить вопрос о том, следует ли определять гражданство субъекта персональных данных. По мнению Роскомнадзора, приведенному в вышеупомянутом письме, необходимости в конкретизации данного вопроса на уровне правовых актов нет: законодатель предоставил возможность оператору персональных данных самостоятельно решать данный вопрос исходя из специфики его деятельности. Если же этот вопрос не был решен оператором самостоятельно, то возможно применение ч. 5 ст. 18 ФЗ «О персональных данных» ко всем персональным данным, сбор которых осуществляется на территории РФ. Данное положение является наиболее спорным, так как в случае нарушения ч.5 ст.18 ФЗ О персональных данных возможно применение административной ответственности и как в данном случае будет устанавливаться виновность, если оператор решит определять гражданство исходя из косвенных характеристик, с которыми не будут согласны представители Роскомнадзора.
Поэтому, говоря о нахождении баз данных на территории РФ, Закон N 242-ФЗ фактически имеет в виду запрет первоначальной обработки персональных данных в базы, размещенные на материальных носителях, находящихся за рубежом. Однако и Конвенция N 108, и Закон о персональных данных в целом разрешают трансграничную передачу персональных данных.
Ключевое значение для уяснения соотношения требования о локализации персональных данных и возможности их трансграничной передачи имеет понятие трансграничной передачи данных [4]. В соответствии с п. 11 ст. 3 ФЗ «О персональных данных» это не просто передача данных за пределы РФ, а передача персональных данных на территорию иностранного государства иностранному лицу: органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.. Первичный сбор персональных данных граждан РФ и актуализация таких данных должны осуществляться с использованием базы данных, расположенной на территории РФ. Впоследствии при соблюдении условий о трансграничной передаче персональных данных возможна передача данных из этой базы в базу данных, расположенную на территории иностранного государства и принадлежащую иностранному лицу. После такой передачи ответственность за действия над персональными данными будет нести иностранный оператор. Поскольку передача данных из российской базы данных в зарубежную, принадлежащую тому же оператору, не будет охватываться понятием трансграничной передачи данных (по причине отсутствия факта передачи информации иному лицу), то такое перемещение информации между базами данных будет противоречить положениям ч. 5 ст. 18, если только не имеет место одно из исключений, указанных в ней (п. п. 2, 3, 4, 8 ч. 1 ст. 6 ФЗ «О персональных данных»). Тем самым Закон о локализации данных в определенной степени стимулирует иностранные компании, в частности, интернет-сервисы, осуществляющие направленную деятельность на российский рынок, обеспечивать на территории России свое присутствие в различных формах, например, путем создания российской дочерней компании с собственными или арендованными вычислительными мощностями либо заключения договора на обработку персональных данных с российскими компаниями [5].
Таким образом, изменения, внесенные ФЗ № 242-ФЗ в законодательство о персональных данных имеют ряд неточностей, противоречий и спорных положений. Даже разъяснения компетентных органов, таких как Роскомнадзор и Минкомсвязь не дают четкие ответы на вопросы, возникающие при применении новых положений о размещении баз персональных данных на территории РФ. Поэтому, пока не сложится судебная практика привлечения виновных к административной ответственности и блокировке соответствующих сайтов и хостингов, данные вопросы останутся неурегулированными.
Литература:
- Петрыкина Н. И. Правовое регулирование оборота персональных данных. Теория и практика. М., 2011. С. 91.
- Трофимова И. А. Обработка и хранение персональных данных // Делопроизводство. 2015. N 3. С. 107–110.
- Ильина М. Защита персональных данных // Кадровый вопрос. 2015. N 4. С. 48–68.
- Скудутис М. Персональное нарушение // Расчет. 2015. N 11. С. 25–27.
- Елтовский В. Хранить и актуализировать — в России // ЭЖ-Юрист. 2015. N 38. С. 2.
