автордың кітабын онлайн тегін оқу Трансграничные отношения в киберпространстве: правовое регулирование, кибербезопасность, разрешение споров. Монография
Трансграничные отношения в киберпространстве
Правовое регулирование, кибербезопасность, разрешение споров
Монография
Информация о книге
УДК 341.9:004
ББК 67.412.2:32.81
Т65
Авторы:
Канашевский В. А., доктор юридических наук, профессор, заведующий кафедрой международного частного права Московского государственного юридического университета имени О. Е. Кутафина (МГЮА) – гл. I;
Шахназаров Б. А., доктор юридических наук, доцент, профессор кафедры международного частного права Московского государственного юридического университета имени О. Е. Кутафина (МГЮА) – гл. II;
Терентьева Л. В., доктор юридических наук, доцент, профессор кафедры международного частного права Московского государственного юридического университета имени О. Е. Кутафина (МГЮА) – гл. III;
Засемкова О. Ф., кандидат юридических наук, доцент, доцент кафедры международного частного права Московского государственного юридического университета имени О. Е. Кутафина (МГЮА) – гл. IV.
Рецензенты:
Стригунова Д. П., доктор юридических наук, доцент, профессор кафедры международного и интеграционного права Российской академии народного хозяйства и государственной службы при Президенте РФ;
Викторова Н. Н., кандидат юридических наук, доцент, доцент кафедры международного частного права Московского государственного юридического университета имени О. Е. Кутафина (МГЮА).
В монографии анализируются отдельные аспекты правового регулирования трансграничных частноправовых отношений в киберпространстве. Исследуются вопросы трансграничной передачи и оборота персональных данных, судебной юрисдикции при рассмотрении трансграничных споров в российских и зарубежных судах, арбитража и иных альтернативных способов разрешения споров, возникающих в метавселенной. Поднимается проблема переосмысления правовой охраны интеллектуальной собственности в киберпространстве, предлагается концепция реализации отношений по правовой охране интеллектуальной собственности в метавселенных и блокчейн-платформах.
Законодательство приведено по состоянию на сентябрь 2023 г.
Монография рассчитана на научных работников, преподавателей, аспирантов, студентов.
УДК 341.9:004
ББК 67.412.2:32.81
© Коллектив авторов, 2024
© ООО «Проспект», 2024
Глава I. ПРАВОВОЙ РЕЖИМ ПЕРСОНАЛЬНЫХ ДАННЫХ В ТРАНСГРАНИЧНЫХ ОТНОШЕНИЯХ
В настоящей главе будут проанализированы особенности правовой охраны персональных данных, в том числе при осуществлении их трансграничной передачи. Отдельное внимание автором уделяется обеспечению информационной безопасности данных при их передаче за рубеж, а также при обработке и хранении данной информации на территории России.
1.1. Трансграничная передача персональных данных
1.1.1. Понятие персональных данных. Обработка персональных данных
Правовой режим персональных данных (далее — «ПДн») в России регулируется ФЗ «О персональных данных» 2006 г. (в ред. 2023 г.)1 (далее — «Закон о ПДн»). Согласно этому акту персональными данными признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу — субъекту ПДн (ст. 3). Обычно к ПДн относят фамилию, имя, отчество, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы, другую информацию о физическом лице. Обработка ПДн (сбор, запись, систематизация, накопление, хранение, извлечение, использование, передача и др.) может осуществляться другим лицом (оператором) только с согласия субъекта ПДн.
Такое согласие не требуется в случаях, прямо предусмотренных Законом о ПДн (ст. 6), в частности если обработка осуществляется в целях исполнения договора, одной из сторон которого является субъект ПДн. Например, продавец по договору купли-продажи передает данные о покупателе (некоторые из которых относятся к ПДн) транспортной компании, поскольку это необходимо для доставки товара покупателю согласно заключенному договору. По аналогии с охраной коммерческой тайны, согласно Закону о ПДн операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законом (ст. 7).
В России основным регулятором отношений в сфере ПДн является Роскомнадзор2.
В случае поручения обработки ПДн другому лицу (обработчику) получение согласия субъекта ПДн на такую передачу ПДн является обязательным. При этом сами такие обработчики не должны получать согласие субъекта ПДн на обработку ПДн (п. 3 и 4 ст. 6 Закона о ПДн). В то же время нельзя рассматривать как поручение на обработку следующие варианты размещения информационных систем ПДн в дата-центрах и облачной инфраструктуре:
«1) Развертывание информационных систем ПДн на инфраструктуре третьего лица без права доступа персонала дата-центра (облачного сервиса) к этим данным.
2) Размещение ПДн в зашифрованном виде.
3) Размещение ПДн, прошедших процедуру обезличивания, когда они не могут быть соотнесены с конкретными субъектами (поскольку база данных, позволяющая установить связь между размещенными данными и субъектами, находится только у оператора и физически отсутствует в облачной инфраструктуре, предоставляемой для размещения информационной системы).
В этих случаях владельцу дата-центра (провайдеру облачного сервиса) ПДн не передаются, а все действия с ними выполняет оператор ПДн. Не требуется и согласие субъекта на такое размещение ПДн в странах, обеспечивающих адекватную защиту прав субъектов ПДн»3.
1.1.2. Территориальный характер норм законодательства о персональных данных
Важно отметить, что 14.07.2022 Закон о ПДн был дополнен важным разъяснением4. Согласно п. 1.1. нормы этого закона применяются к обработке ПДн граждан РФ, когда такая обработка осуществляется иностранными лицами. Таким образом, законодатель ясно и однозначно дает понять, что положения Закона о ПДн применяются императивно, если иностранные лица обрабатывают ПДн граждан РФ.
Здесь возникает вопрос о том, являются ли положения Закона о ПДн сверхимперативными нормами в контексте ст. 1192 ГК РФ. Такие нормы непосредственного действия, как известно, применяются независимо от подлежащего применению права. Полагаем, что оснований для такой квалификации нет. Нормы Закона о ПДн являются административными по своей природе и действуют территориально, о чем фактически прямо говорит вышепроцитированная ст. 1.1. Закона о ПДн. Вопрос о возможности применения норм российского Закона о ПДн иностранными судами, в частности, в результате их квалификации в качестве частноправовых, относится к компетенции судов соответствующего иностранного государства.
Отношения между субъектом ПДн и иностранным оператором по своей природе являются договорными:
а) согласие субъекта ПДн на обработку его данных и последующая фактическая передача таких данных оператору — это оферта;
б) фактическое принятие оператором таких ПДн к обработке — это акцепт.
К этим отношениям применяется право оператора: он осуществляет характерное исполнение (п. 1 ст. 1211 ГК РФ).
Отношения между российским оператором ПДн и иностранным обработчиком также договорные. Обычно они оформляются соглашением об уровне обслуживания (SLA — Services Level Agreement). Если стороны SLA не установили применимое право, то отношения регулируются правом иностранного обработчика: он осуществляет характерное исполнение (п. 1 ст. 1211 ГК РФ). Такое право регулирует:
а) возможность передачи ПДн оператору;
б) круг передаваемых на обработку ПДн;
в) способы и средства правовой защиты интересов субъекта ПДн;
г) круг операций обработки и др.
По общему правилу обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн (п. 1 ст. 6 Закона о ПДн). С учетом того, что нормы Закона о ПДн применяются и к отношениям, когда обработчиком является иностранное лицо, такое согласие должны получать и иностранные обработчики.
1.1.3. Трансграничная передача персональных данных
Трансграничной передачей ПДн признается передача ПДн на территорию иностранного государства властям этого государства либо иностранному физическому или юридическому лицу. В современных условиях трансграничная передача ПДн осуществляется, в частности, в случаях, когда стороны используют программное обеспечение, платформу или инфраструктуру, находящуюся на серверах в центрах обработки данных, расположенных за рубежом. В этом случае такие пользователи (заказчики) фактически передают за рубеж информацию о своих или чужих ПДн.
Операторами ПДн выступают работодатели, банки, вузы, больницы и т. д., т. е. все те субъекты, которые работают с ПДн своих работников, клиентов, контрагентов и т. д.
Закон о ПДн исходит из того, что передача ПДн может осуществляться только в те иностранные государства, в которых обеспечивается адекватная защита прав субъектов ПДн. Закон о ПДн прямо указывает, что к таким государствам относятся две группы стран:
1) государства, которые участвуют в Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных 1981 г.5 (далее — «Конвенция о ПДн»);
2) государства, которые не являются сторонами Конвенции о ПДн, но обеспечивают адекватную защиту прав субъектов ПДн. Перечень данных стран был утвержден Роскомнадзором6. Он включает 34 государства (Австралия, Израиль, Канада, Республика Корея, Мексика, Новая Зеландия, Сингапур и др.). Исключительная компетенция по установлению факта обеспечения иностранным государством адекватной защиты прав субъектов персональных данных принадлежит Роскомнадзору7.
До начала трансграничной передачи ПДн оператор обязан уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу ПДн. Уведомление должно содержать наименование и адрес оператора, наименование лица, ответственного за организацию обработки ПДн, и его контактные данные, цель передачи ПДн, перечень передаваемых ПДн, иностранные государства, куда планируется трансграничная передача ПДн и др.
Оператор до подачи уведомления обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача ПДн, следующую информацию:
1) сведения о принимаемых этими органами и лицами мерах по защите передаваемых ПДн и об условиях прекращения их обработки;
2) информация о правовом регулировании в области ПДн в соответствующем иностранном государстве (в случае, если предполагается передача ПДн в государства, не являющегося стороной Конвенции Совета Европы и не включенного в перечень, утвержденный Роскомнадзором);
3) сведения об органах иностранного государства и иностранных лицах, которым планируется трансграничная передача ПДн.
После направления уведомления оператор вправе осуществлять трансграничную передачу ПДн на территории указанных в таком уведомлении иностранных государств, являющихся сторонами Конвенции о ПДн или включенных в перечень Роскомнадзора, до принятия решения об ограничении или запрещении трансграничной передачи ПДн.
Что касается тех стран, которые не являются участниками Конвенции о ПДн и не входят в перечень стран, утвержденный Роскомнадзором, то трансграничная передача в указанные страны возможна не после направления уведомления в Роскомнадзор, а лишь при получении разрешения Роскомнадзора, которое должно быть принято в 10-дневный срок с момента получения уведомления.
Ранее (до 01.03.2023) необходимо было также получать согласие на трансграничную передачу ПДн в страны, которые не обеспечивали адекватной защиты ПДн. В частности, в одном из дел российский суд пришел к следующему заключению:
«Оператор (Общество) осуществляет трансграничную передачу ПДн работников на территорию США в отсутствие согласия в письменной форме работников на трансграничную передачу их ПДн, что нарушает положения ФЗ „О ПДн“. Для устранения выявленного нарушения Обществу необходимо разработать и использовать типовую форму письменного согласия субъекта ПДн на осуществление трансграничной передачи ПДн на территорию США»8.
После вступления в силу поправок в Закон о ПДн (01.03.2023)9 отдельного согласия субъекта ПДн на трансграничную передачу ПДн не требуется. С 01.03.2023 для такой передачи будет нужно уведомить Роскомнадзор, а при передаче в страны, не обеспечивающие адекватную защиту, — разрешение регулятора. Однако «в согласии на обработку ПДн все еще необходимо указывать, что ПДн будут передаваться третьим лицам в другие страны»10.
1.1.4. Запрет и ограничения на трансграничную передачу персональных данных
На основе анализа информации, содержащейся в уведомлении оператора о намерении осуществлять трансграничную передачу ПДн, Роскомнадзор может в течение 10 дней с момента получения уведомления принять решение о запрещении или об ограничении трансграничной передачи ПДн в целях защиты нравственности, здоровья, прав и законных интересов граждан.
Решение о запрещении или об ограничении трансграничной передачи ПДн принимается Роскомнадзором в следующих целях:
1) защиты основ конституционного строя РФ и безопасности государства (по представлению Федеральная служба безопасности РФ — ФСБ РФ);
2) обеспечения обороны страны (по представлению Министерства обороны РФ — Минобороны РФ);
3) защиты экономических и финансовых интересов РФ (по представлению иных федеральных органов исполнительной власти);
4) обеспечения дипломатическими и международно-правовыми средствами защиты прав граждан РФ, суверенитета и безопасности государства на международной арене (по представлению Министерства иностранных дел РФ — МИД РФ. Постановлением Правительства РФ от 10.01.2023 № 6 утверждены Правила принятия решения о запрещении или об ограничении трансграничной передачи ПДн11 (далее — «Правила № 6»).
Согласно Правилам № 6 в соответствующем представлении, которое в Роскомнадзор направляют ФСБ РФ, Минобороны РФ, федеральный орган исполнительной власти, МИД РФ, указываются:
а) наименование иностранного государства, в отношении которого предлагается принять решение о запрещении или об ограничении трансграничной передачи ПДн;
б) описание обстоятельств, свидетельствующих о необходимости принятия такого решения со ссылкой на нормы законодательства РФ;
в) заключение о содержании решения (о запрещении или об ограничении трансграничной передачи ПДн);
г) сведения об операторе, которому осуществление трансграничной передачи ПДн предлагается запретить или ограничить;
д) дата, с которой трансграничная передача ПДн должна быть запрещена или ограничена.
Представление рассматривается Роскомнадзором в течение пяти рабочих дней с даты его поступления. По результатам рассмотрения принимается решение о запрещении или об ограничении трансграничной передачи ПДн. Решение о запрещении или об ограничении трансграничной передачи ПДн должно содержать:
а) наименование соответствующего иностранного государства;
б) информацию о представлении, послужившем основанием для запрещения или ограничения трансграничной передачи ПДн;
в) сведения об операторе, которому осуществление трансграничной передачи ПДн предлагается запретить или ограничить;
г) дату, с которой трансграничная передача ПДн запрещена или ограничена.
В случае если на территории иностранного государства, на территорию которого запрещена или ограничена трансграничная передача ПДн, устранены причины, послужившие основанием для принятия решения о запрещении или об ограничении трансграничной передачи ПДн, уполномоченный орган, направивший представление, выносит представление о прекращении действия запрета или ограничения и направляет его в Роскомнадзор в течение пяти рабочих дней с даты вынесения такого представления.
В случае устранения оператором причин, послуживших основанием для принятия решения о запрещении или об ограничении трансграничной передачи ПДн, такой оператор вправе обратиться в уполномоченный орган, вынесший представление, о снятии такого запрета или ограничений с приложением подтверждающих материалов.
Решение о прекращении действия запретов или ограничений на трансграничную передачу ПДн, принятое на основании представления, направляется уполномоченному органу, направившему такое представление.
В случае принятия уполномоченным органом, вынесшим представление, решения об отмене представления, послужившего основанием для принятия Роскомнадзором решения о запрещении или об ограничении трансграничной передачи ПДн, представление о прекращении действия запретов или ограничений на трансграничную передачу ПДн направляется в Роскомнадзор в течение пяти рабочих дней с даты вынесения такого представления. Решение о прекращении действия запретов или ограничений, принятое на основании представления, принимается Роскомнадзором.
Постановлением Правительства РФ от 16.01.2023 № 24 утверждены Правила принятия Роскомнадзором решения о запрещении или об ограничении трансграничной передачи ПДн в целях защиты нравственности, здоровья, прав и законных интересов граждан (далее — «Правила № 24»)12. Согласно п. 23 Правил № 24 Роскомнадзор принимает решение о запрещении трансграничной передачи ПДН, в частности, в следующих случаях:
а) иностранным государством, иностранными физическими и юридическими лицами, которым планируется трансграничная передача ПДн, не принимаются меры по защите передаваемых ПДн;
б) иностранное юридическое лицо, которому планируется трансграничная передача ПДн, является организацией, деятельность которой запрещена на территории РФ или оно включено в перечень нежелательных организаций;
в) трансграничная передача и дальнейшая обработка переданных ПДн несовместима с целями сбора ПДн.
Согласно п. 26 Правил № 24 основаниями для ограничения трансграничной передачи ПДн в целях защиты нравственности, здоровья, прав и законных интересов граждан являются:
а) содержание и объем ПДн, планируемых к трансграничной передаче, не соответствуют цели трансграничной передачи;
б) категории субъектов ПДн, ПДн которых планируются к трансграничной передаче, не соответствуют цели трансграничной передачи.
Стоит отметить, что 01.07.2021 в России был принят специальный Федеральный закон № 236-ФЗ «О деятельности иностранных лиц в информационно-телекоммуникационной сети “Интернет” на территории РФ»13. Статья 16 данного Закона («Запрет на сбор и трансграничную передачу ПДн») предусматривает следующие положения.
1. В случае принятия Роскомнадзором решения о запрете сбора с использованием информационных ресурсов иностранного лица ПДн граждан Российской Федерации иностранное лицо, осуществляющее деятельность в сети «Интернет» на территории Российской Федерации, в отношении которого принято указанное решение, не вправе осуществлять сбор ПДн граждан Российской Федерации.
2. Иностранное лицо, осуществляющее деятельность в сети «Интернет» на территории РФ, вправе возобновить сбор ПДн граждан РФ с использованием своих информационных ресурсов с момента размещения Роскомнадзором информации о решении о прекращении меры понуждения в перечне иностранных лиц, осуществляющих деятельность в сети «Интернет» на территории РФ.
3. В случае принятия Роскомнадзором решения о запрете трансграничной передачи ПДн граждан РФ иностранному лицу, осуществляющему деятельность в сети «Интернет» на территории РФ, государственные и муниципальные органы, юридические или физические лица самостоятельно или совместно с другими лицами, организующими и (или) осуществляющими обработку ПДн, не вправе осуществлять трансграничную передачу ПДн иностранному лицу, осуществляющему деятельность в сети «Интернет» на территории РФ, в отношении которого принято указанное решение.
4. Запрет трансграничной передачи ПДн граждан РФ иностранному лицу, осуществляющему деятельность в сети «Интернет» на территории РФ, прекращается с момента размещения Роскомнадзором информации о решении о прекращении меры понуждения в перечне иностранных лиц, осуществляющих деятельность в сети «Интернет» на территории РФ.
1.1.5. Сложности с принятием организационных и технических мер при трансграничной передаче персональных данных
Нормативные требования, регулирующие порядок обработки ПДн, предусмотрены Постановлением Правительства РФ № 1119 от 01.11.201214, которое определяет критерии оценки и классификации операторов ПДн по уровню защищенности ПДн15.
Очевидно, что только российские организации могут соответствовать всем требованиям российского законодательства в области обеспечения информационной безопасности (в частности, только российские организации вправе получить лицензии ФСТЭК РФ и ФСБ РФ на работу со средствами криптозащиты и шифрования16). Однако это не означает, что иностранные субъекты не вправе участвовать в обработке ПДн российских граждан.
Во-первых, Закон о ПДн не запрещает трансграничную передачу ПДн. Во-вторых, цель Закона о ПДн состоит в защите ПДн, а не в том, чтобы создать невозможность передачи за границу ПДн российских граждан. Поэтому если иностранный обработчик ПДн предпринимает такие технические и организационные меры, которые предусматривают такой же уровень защиты информационных систем и такие же меры информационной защиты, которые соответствуют общим техническим и организационным требованиям российского законодательства (либо эти меры выше требований, предъявляемых в России), то такой иностранный обработчик вправе осуществлять деятельность по работе с ПДн российских граждан.
1.1.6. Письменная форма согласия на обработку персональных данных
Наибольшее затруднение на практике вызывает необходимость соблюдения требования о письменной форме согласия субъекта ПДн на обработку его данных.
По нашему мнению, норма п. 1 ст. 9 Закона о ПДн о том, что согласие на обработку ПДн может быть дано субъектом ПДн (или его представителем) в любой позволяющей подтвердить факт его получения форме, распространяется на ситуации, когда отсутствуют специальные требования закона о необходимости соблюдения письменной формы. В последнем случае применятся правило п. 4 ст. 9 Закона о ПДн о том, что в случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия субъекта ПДн, данного в письменной форме. К таким случаям, в частности, по Закону о ПДн относятся ситуации, когда субъект ПДн дает согласие на обработку ПДн специальной категории (подп. 1 п. 2 ст. 10), обработку биометрических ПДн (п. 1 ст. 11). Учитывая, что ПДн, которые зачастую передаются оператору, не относятся к ПДн специальной категории (подп. 1 п. 2 ст. 10) или биометрическим данным (п. 1 ст. 11), то согласие на обработку таких ПДн возможно получить в любой позволяющей подтвердить факт его получения форме.
Отношения между субъектом ПДн и оператором (в том числе иностранным оператором) могут быть квалифицированы как договорные17. Направление оператором формы согласия своим потенциальным контрагентам является офертой. Подписание субъектом ПДн формы, размещенной на сайте оператора в сети Интернет, сканирование подписанной формы и направление ее оператору по электронной почте рассматриваются как действия по акцепту оферты. Иными словами, действия субъекта ПДн по заполнению формы согласия и направление сканированной копии документа (через контрагента) оператору являются конклюдентными действиями субъекта ПДн по акцепту оферты (п. 4. ст. 434, п. 3 ст. 438 ГК РФ). При этом оператор должен проверить полномочия представителя (т. е. контрагента) на дачу согласия от имени субъекта ПДн. Направление субъектом ПДн (через его представителя — контрагента) на электронную почту оператора сканированной формы согласия на обработку ПДн позволяет оператору подтвердить факт его получения. Соответственно, требования п. 1 ст. 9 Закона о ПДн могут считаться выполненными.
Однако в случае спора оператору необходимо доказать, что оферта действительно была им получена и что она исходила именно от субъекта ПДн (его представителя), что может представлять известную сложность. Поэтому во избежание споров, а также требований к соблюдению письменной формы согласия со стороны регуляторов оператору рекомендуется разработать и внедрить порядок подписания и направления согласия на обработку ПДн с использованием простой электронной подписи.
Внедрение порядка подписания и направления согласия на обработку ПДн с использованием простой электронной подписи рекомендуется также вследствие того, что российские суды зачастую ориентируются лишь на прямое указание закона о письменной форме согласия, не исследуют порядок выражения согласия на обработку ПДн посредством конклюдентных действий. Примеры таких общих формулировок можно найти в судебной практике18.
Учитывая данные примеры из судебной практики, оператору настоятельно рекомендуется внедрить порядок подписания и направления согласия на обработку ПДн с использованием простой электронной подписи. Обычно решение данной задачи не представляет технических и организационных сложностей.
Оператору стоит также обратить внимание на требования п. 8 ст. 9 Закона о ПДн: «Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 настоящего Федерального закона». Специалисты отмечают: «Это положение не распространяется на случаи получения персональных данных от представителя субъекта персональных данных, поскольку действия представителя, совершенные в пределах его полномочий, являются действиями самого субъекта персональных данных»19.
Таким образом, по нашему мнению, в тех случаях, когда Закон о ПДн не устанавливает обязанность получать согласие именно в письменной форме, приобретение оператором не оригинала, а отсканированного документа (согласия), подписанного субъектом персональных данных и содержащего данные, позволяющие его идентифицировать, можно рассматривать в качестве получения согласия от субъекта персональных данных.
Во избежание споров оператору рекомендуется разработать и внедрить порядок подписания и направления согласия на обработку ПДн с использованием простой электронной подписи, предполагающий регистрацию субъекта ПДн на сайте оператора и направление согласия путем использования логина и пароля пользователя.
1.1.7. Общий регламент ЕС о защите персональных данных (GDPR)
В 2016 г. в Европейском союзе был принят Регламент № 2016/679 Общий Регламент о защите персональных данных (General Data Protection Regulation, далее — «GDPR»), вступивший в силу 25.05.201820. GDPR устанавливают принципы обработки ПДн: 1) законность, справедливость и прозрачность; 2) ограничение цели; 3) минимизация данных; 4) точность; 5) ограничение срока хранения; 6) целостность и конфиденциальность21.
Правила GDPR носят экстерриториальный характер. Они применяются ко всем компаниям, обрабатывающим ПДн резидентов и граждан ЕС, независимо от местонахождения такой компании — в ЕС или за его пределами.
Можно предложить следующий алгоритм действий российской компании для соответствия GDPR: а) определить категории физических лиц, ПДн которых обрабатываются; б) описать цели сбора ПДн; в) определить время использования и способ утилизации ПДн (удаление либо анонимизация); г) назначить инспектора по защите ПДн; д) назначить представителя в одной из стран ЕС, где осуществляется основная деятельность; е) опубликовать на сайте политику по защите и обработке ПДн; ж) разработать форму согласия на обработку ПДн и обеспечить подписание (например, кликом); з) в случае утечки ПДн необходимо в течение 72 часов уведомить об этом надзорный орган.
Согласно GDPR в каждой компании, на которую распространяются правила GDPR, должен быть назначен инспектор по защите ПДн. Он осуществляет контроль за соблюдением оператором GDPR и взаимодействует с надзорными органами ЕС. Инспектор не обязательно должен физически находиться на территории ЕС. Согласно GDPR оператор ПДн обязан:
а) документировать любые утечки ПДн; проводить оценку воздействия процесса обработки ПДн в компании на предмет защиты ПДн;
б) принимать меры для устранения возможных рисков;
в) сообщить субъекту в момент сбора у него ПДн свои контактные данные, а также данные инспектора по защите ПДн, цели и срок обработки ПДн, получателей ПДн, намерение передать ПДн в третью страну и др.;
г) взаимодействовать с надзорными органами ЕС в сфере обработки ПДн, в частности, уведомлять эти органы об утечке ПДн22.
Существенная особенность GDPR — крупные размеры штрафов за нарушение прав субъектов ПДн — до 20 млн евро либо 4 % от годового оборота компании (группы компаний) за соответствующий финансовый год. Вопрос о том, каким образом указанные штрафные санкции могут быть применены к компаниям — нерезидентам ЕС (в том числе российским), пока остается открытым. Особую пикантность вопрос применения штрафных санкций к российским компаниям обрел с момента начала Россией СВО 24.02.2022. После начала СВО сотрудничество со странами ЕС по правовым вопросам фактически поставлено на паузу.
1.1.8. Локализация персональных данных в России
В соответствии с п. 5 ст. 18 Закона о ПДн с 01.09.2015 при сборе ПДн, в том числе посредством сети Интернет, оператор ПДн обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан России с использованием баз данных, находящихся на территории России, за исключением случаев, указанных в ст. 6 Закона о ПДн.
Например, в 2019 г. компании Twitter Inc. и Facebook Inc. были привлечены к административной ответственности за непредставление сведений о выполнении требований о локализации ПДн по ст. 19.7 КоАП РФ, и с них был взыскан штраф в размере 3000 руб. Такая незначительная санкция не стимулировала компании чтить российский закон, и они продолжили свою деятельность в России, не производя локализацию ПДн. В связи с тем, что такая крайняя мера, как блокировка интернет-ресурсов Twitter и Facebook, могла бы вызвать в обществе неоднозначную реакцию, законодатель пошел по пути ужесточения санкций, и с 2020 г. действует новая редакция ст. 13.11 КоАП РФ, согласно которой невыполнение оператором ПДн требований локализации ПДн в России влечет наложение штрафа на юридические лица в размере от 1 до 6 млн руб., а при повторном нарушении — до 18 млн руб. Поскольку американские компании Twitter Inc. и Facebook Inc. не обеспечили локализацию ПДн российских пользователей на территории России, 13.02.2020 решениями мирового судьи Таганского района г. Москвы с каждой компании был взыскан штраф в размере 4 млн руб23. При этом вопрос о реальном исполнении решений российских судов остался открытым, поскольку Twitter Inc. и Facebook Inc. не имеют в России каких-либо филиалов, представительств, а также какого-либо имущества. Исполнение же данных российских решений на территории США в соответствии с местным законом представляется маловероятным сценарием. В марте 2022 г. по решению российского суда сайты Facebook, а также Instagram в России была заблокированы за нарушение принципов свободного распространения информации и нарушения доступа российских пользователей к российским СМИ на иностранных интернет-платформах. За распространение незаконного контента по требованию Генпрокуратуры в феврале 2022 г. был заблокирован сайт Twitter.
Другой пример привлечения иностранной компании к ответственности за нарушение законодательства о локализации ПДн.
В 2021 г. постановлением мирового судьи судебного участка № 422 Таганского района Москвы по делу об административном правонарушении, предусмотренном ч. 8 ст. 13.11 КоАП РФ («Нарушение законодательства Российской Федерации в области ПДн»), в отношении Googlе LLC назначено наказание в виде административного штрафа в размере 3 млн рублей», — сообщили в пресс-службе суда24. 16.06.2022 мировой суд Таганского района г. Москвы рассмотрел административные протоколы, составленные Роскомнадзором в отношении иностранных компаний, не локализовавших базы данных российских пользователей на территории РФ. Компания Google LLC вновь была оштрафована на 15 млн рублей за повторный отказ локализовать ПДн пользователей в
...
