Страница 7 из 22
Вторичные критерии
1) возможность заключения и исполнения договора с российским резидентом, в частности, осуществление доставки товара или цифрового контента на территорию России;
2) возможность осуществления расчетов в российских рублях;
3) использование контекстной или баннерной рекламы на русском языке, включающей ссылку на соответствующий интернет-ресурс;
4) иные обстоятельства, которые явно свидетельствуют о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию. Например, к ним может быть отнесено наличие на интернет-ресурсе способов обратной связи, касающихся территории РФ, например, номера телефона, на который можно бесплатно позвонить с территории России (общефедерального бесплатного номера (8-800…), или телефона с кодом российского города. Факты приобретения владельцем интернет-сайта соответствующих услуг связи, готовность оформлять документацию с отечественным оператором связи и нести расходы по оплате услуг, подобных использованию номера 8-800… и т.д., говорят о высокой заинтересованности владельца в российских потребителях.
Следует отметить, что схожие по существу критерии направленности деятельности также приведены в комментариях, размещенных на официальном сайте Роскомнадзора22.
3.3. Вышеуказанные критерии были применены на практике при рассмотрении спора о внесении интернет-сайта социальной сети LinkedIn в Реестр нарушителей прав субъектов персональных данных и блокировании доступа к нему на территории РФ в связи с нарушением обязанности по локализации отдельных процессов обработки персональных данных в соответствии с ч. 5 ст. 18 Закона о персональных данных (см. комментарий к ней). Удовлетворяя указанное требование, суд указал на то, что «о направленности интернет-сайта www.linkedin.com на территорию РФ свидетельствует наличие русскоязычной версии интернет-сайта. При этом интернет-сайт допускает возможность использования рекламы на русском языке, что дополнительно свидетельствует о включении российской аудитории в сферу бизнес-интересов владельца сайта» (Определение Московского городского суда от 10 ноября 2016 г. по делу № 33-38783/2016). Как видно, суд руководствовался вторым базовым критерием в совокупности с дополнительным критерием в виде наличия рекламы на русском языке. К этому следует добавить, что пользовательские соглашения указанного сервиса были доступны и на русском языке, а также что наличие факта использования географического доменного имени «linkedin.ru», с которого осуществлялась переадресация на сайт «linkedin.com», позволяло говорить о применении и первого базового критерия направленности деятельности на территорию России.
3.4. Критерий направленной деятельности как условие распространения законодательства о персональных данных на иностранное лицо, не имеющее присутствия на территории страны ‒ члена Европейского Союза, пришел на смену критерию местонахождения оборудования, содержащемуся в ст. 4 (1) Директивы 1995 г.23, и был имплементирован в европейское законодательство Регламентом 2016 г., в соответствии со ст. 3 (2) которого указанный Регламент распространяется на процессы обработки персональных данных, связанные c:
a) предложением товаров или услуг безотносительно к наличию встречной обязанности по их оплате лицам, проживающим на территории Европейского Союза, или b) мониторингом поведения таких лиц в той мере, в какой такое поведение имеет место на территории Европейского Союза (этот критерий касается различного рода интернет-сервисов, которые осуществляют сбор пользовательских данных в целях их последующего использования для предоставления таргетированной рекламы).
Таким образом, европейское законодательство о персональных данных приобретает в значительной степени экстерриториальный характер, в связи с чем в литературе отмечается, что единственным легальным способом не соблюдать положения Регламента 2016 г. является решение о неведении бизнеса в странах Европейского Союза24.
Из всего сказанного следует, что российский подход к определению территориальной сферы действия Закона о персональных данных находится в русле развития европейского законодательства и отражает специфику регулирования юрисдикционных аспектов отношений в сети «Интернет». Остается выразить надежду, что он рано или поздно перерастет рамки разъяснений правоприменительных органов, данных по результатам систематического толкования иных законодательных положений и доктрины, и будет формализован на уровне закона.
Статья 2. Цель настоящего федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1. Комментируемая статья обозначает цели, преследуемые законодательством о персональных данных, конкретизируя их через призму обеспечения реализации конституционных прав на неприкосновенность частной жизни, личную и семейную тайну, а также защиту иных прав и свобод человека и гражданина при обработке его персональных данных. Формулировка данной статьи представляет собой практически дословный перевод положения ст. 1 (1) Директивы 1995 г., а также весьма схожа с формулировкой ст. 1 Конвенции 1981 г. Фактически в центре законодательства о персональных данных стоит английское понятие «privacy» (фр. la vie privéе; нем. die Privatsphäre), наиболее адекватным эквивалентом которого в русском языке и является понятие «неприкосновенность частной жизни».
Право на неприкосновенность частной жизни, личную и семейную тайну предусмотрено в ст. 23 и 24 Конституции РФ. Согласно позиции Конституционного Суда РФ право на неприкосновенность частной жизни, личную и семейную тайну означает предоставленную человеку и гарантированную государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера; в понятие «частная жизнь» включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если не носит противоправный характер (Определение Конституционного Суда РФ от 24 декабря 2013 г. № 2128-О). Представляется, что более емко данные положения выразил М.В. Баглай, который понимает под частной жизнью «своеобразный суверенитет личности, означающий неприкосновенность его «среды обитания»»25.
2. В результате реформы гражданского законодательства в числе поправок в часть первую ГК РФ появилась ст. 152.2, посвященная охране частной жизни гражданина, согласно которой «если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни». При этом указанная статья предусматривает ряд исключений из данного правила: публичный интерес, общедоступность соответствующей информации, ее раскрытие по воле гражданина. Понятие частной жизни ГК РФ не раскрывает.
3. Поскольку право на уважение частной и семейной жизни также предусмотрено в ст. 8 Европейской конвенции о защите прав человека и основных свобод 1950 г., стороной которой является Российская Федерация26, при толковании понятий частной жизни, личной и семейной тайны необходимо учитывать практику ЕСПЧ по данному вопросу. В этой связи необходимо отметить следующие ее отличительные черты:
1) ЕСПЧ рассматривает положения Конвенции 1950 г. как «живой инструмент, который должен толковаться с учетом реалий сегодняшнего дня» (Постановление ЕСПЧ от 25 апреля 1978 г. по делу Тайрер против Соединенного Королевства, жалоба № 5856/72), в связи с чем ст. 8 достаточно легко применяется ЕСПЧ к современным технологиям (электронной почте, GPS-технологиям, видеонаблюдению и пр.)27;
22
См.: Комментарий к Федеральному закону от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». C. 15. URL: https://pd.rkn.gov.ru/library/p195/. К сожалению, этот документ не содержит указания на авторов данного комментария.
23
В соответствии со ст. 4 (1)(с) Директивы 1995 г. государство − участник ЕС применяет свое национальное законодательство о персональных данных, если «оператор учрежден не на территории ЕС и в целях обработки персональных данных использует оборудование, расположенное на территории такого государства − участника ЕС (если только такое оборудование не используется исключительно для целей транзита по территории Сообщества)». Данный подход был признан неудовлетворительным, поскольку: 1) достаточно много споров вызывает понятие «оборудование»; 2) распространение облачных сервисов со свойственным им динамическим распределением вычислительных мощностей в зависимости от конкретных потребностей заказчика и распределенным хранением данных в различных дата-центрах вызывает существенные трудности в применении этого критерия; 3) он создает условия для обхода обременительных требований Европейского Союза посредством искусственного подчинения правоотношения правопорядку другого государства, на территории которого находятся соответствующие мощности. См.: Opinion 8/2010 On Applicable Law. Article 29 Data Protection Working Party. 16 December 2010.
24
Calder Alan. EU General Data Protection Regulation (GDPR) аn Implementation and Compliance Guide. IT Governance Publishing. 2016. Kindle Edition (Kindle Locations 3-5).
25
Баглай М.В. Конституционное право Российской Федерации. М., 2005. С. 185.
26
Конвенция вступила в силу для Российской Федерации 5 мая 1998 г.
27
См. подробнее: Ефремов А.А. Новые информационные технологии в практике Европейского суда по правам человека // Прецеденты Европейского суда по правам человека. 2016. № 6. С. 10‒15.