На ежегодной конференции Роскомнадзора по персональным данным в ноябре 2015 года был даже озвучен «переходный период» примерно в один год, в течение которого с компаний договорились не спрашивать «по всей строгости». Кажется, его можно считать оконченным.
«Признать деятельность интернет-ресурсов www.linkedin.com и http://linkedin.com нарушающей требования Закона «О персональных данных» и права граждан на неприкосновенность частной жизни, личную и семейную тайну», — постановляет Таганский районный суд. Роскомнадзору поручено принять меры по ограничению доступа к ресурсам. Если решение устоит в апелляционной инстанции, доменные имена, указатели страниц сайтов linkedin.com и сетевые адреса в интернет появятся в Реестре нарушителей прав субъектов персональных данных, который ведет Роскомнадзор.
Несмотря на то, что LinkedIn Corporation является американской компанией, решение российского суда напрямую затронуло ее интересы. Оно может положить начало судебной и административной практике, формирования которой год назад боялись зарубежные операторы.
Судебной практики по 242-ФЗ и требованию локализации персональных данных россиян в России сложиться всего за год существования нормы еще не успело. Решение по делу linkedin.com станет не только громким, но и первым в своем роде. До этого основным аргументом судов по признанию обработки персональных данных незаконной служило отсутствие согласий граждан на обработку (Апелляционное определение Московского городского суда от 14 октября 2015 года по делу №33-37970 в отношении Tonga Network Information Center).
Отсутствие у LinkedIn представительства в России не спасает ее от угрозы блокировки сайта в России. Наоборот, американская корпорация, как и другие зарубежные операторы, которых проверит Роскомнадзор,фактически лишена возможности защитить свои интересы на том же уровне, что и российские компании.Для этого есть ряд причин.
Причина 1: компания может заранее не узнать о проводимой в отношении ее сайтов проверке
В плане проверок Роскомнадзора на 2016 год содержится перечень из чуть менее 500 организаций, в 132 из которых в 2016 году проводилась или будет проводиться проверка соблюдения требований законодательства о персональных данных. Как правило, это СМИ, банки, горсорганы, за редким исключением – российские компании из других отраслей. Но отсутствие упоминания компании в перечне плановых проверок не может быть гарантией того, что компания не будет проверена во внеплановом порядке.
Linkedin Corporation не упоминалась в перечне плановых проверок на 2016 год. Планы проверок издаются ежегодно во исполнение требований Федерального закона№ 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и касаются российских юридических лиц или филиалов и представительств иностранных компаний в России. Поэтому иностранная компания, обрабатывающая персональные данные россиян, не сможет заранее узнать, будет ли проведена проверка ее деятельности в будущем году. Кроме того, введение в законодательство риск-ориентированного подхода при проведении проверок пока не дает полной картины того, насколько часто будут проводиться проверки в конкретных компаниях и отраслях.
Представители Роскомнадзора сообщают в СМИ, что неоднократно направляли в LinkedIn уведомления с требованием дать информацию об исполнении закона по локализации баз данных в России. Но эти уведомления, а также судебные повестки LinkedIn могла и не получать: по информации из открытых источников, в России у компании нет зарегистрированных адресов.
Причина 2: компания не сможет защитить свои интересы в ходе проверки
Даже если информации о предстоящей проверке нет ни в плане проверок, ни в уведомлениях компании, возможности и основания по проведению внеплановых проверок у Роскомнадзора по-прежнему очень широкие.
Роскомнадзор вправе по своей инициативе в рамках регулярного мониторинга либо по заявлению граждан (доступна подача заявления через сайт) отслеживать нарушения в порядке обработки персональных данных в открытых источниках. При наличии сомнений Роскомнадзор проверяет, отправлял ли оператор уведомление об обработке данных в Роскомнадзор. Если такое уведомление Роскомнадзору не направлялось, он вправе предъявлять требования о предоставлении информации о соблюдении законодательства. Если и они останутся без ответа или ответ будет дан не по существу, Роскомнадзор обратится в суд с иском в защиту прав неопределенного круга граждан и будет представлять их интересы в суде. Как в случае с LinkedIn: представители Роскомнадзора сообщали, что причиной мониторинга интернет-сайта стали публикации в СМИ о неоднократных утечках данных пользователей сети.
Строго говоря, в подобных случаях Роскомнадзор проводит не проверку, правила которой регулируются законодательством и предполагают участие проверяемой организации, а мониторинг. Он проверяет информацию, опубликованную на сайтах потенциальных нарушителей, без возможности присутствия с их стороны и дачи каких-либо пояснений. Видимо, это связано с тем, что все необходимые пояснения компании предлагается дать либо в уведомлении, либо в последующих ответах на требования Роскомнадзора. Поэтому игнорирование этих писем, отсутствие диалога с надзорным органом могутт повлечь неблагоприятные последствия и возможность компании давать все пояснения только в суде.
Так, LinkedIn могла бы разъяснить проверяющим положения своих политик конфиденциальности и порядка работы с персональными данными, а также предоставить информацию о наличии всех необходимых согласий на обработку данных. Возможно, им бы удалось привести доводы в опровержение обработки данных тех, кто не пользуется сетью.
Причина 3: компания может не быть надлежащим образом уведомлена о судебном заседании
LinkedIn не присутствовала на судебных заседаниях в Таганском суде и не смогла опровергнуть доводы Роскомнадзора хотя бы по процессуальным основаниям. Судя по решению, незаконную обработку персональных данных непользователей Роскомнадзор доказывал скриншотами и данными исследования материалов сайта, что само по себе не является доказательством неприсоединения к пользовательскому соглашениюLinkedIn. При этом политики LinkedIn обеспечивают защищенность персональных данных своих пользователей. Регистрация возможна только после проставления согласия с политиками конфиденциальности; открытые профили участников могут быть полностью просмотрены только другими участниками; данные профиля, отражаемые в поисковых системах, могут быть ограничены самим пользователем.
Какие компании может затронуть новая практика?
Компаниям, осуществляющим обработку персональных данных россиян на зарубежных серверах, еще не поздно избежать мер ответственности. Иностранные организации без присутствия в России не могут быть привлечены к административной ответственности, но иные меры могут существенно отразиться на деятельности компании.
Размеры административных штрафов все равно пока незначительные даже с учетом регулярных предупреждений об их возможном повышении со стороны Роскомнадзора — до 10000 рублей за каждое выявленное нарушение. Есть законодательная инициатива о значительном увеличении штрафов, однако они все равно далеки от суровых санкций, принятых в ЕС и некоторых других юрисдикциях (вплоть до оборотных штрафов).
Волноваться необходимо, в первую очередь, иностранным компаниям, которые ведут бизнес через интернет. Причем, как показал случай с LinkedIn, факт официального отсутствия компании в России не имеет никакого значения для привлечения к ответственности. Главное, чтобы бизнес компании был направлен на российский рынок. Компания может иметь русскоязычную версию своего сайта, использовать домены .ru и .рф, предоставлять доставку товаров в Россию и возможность платить в рублях, а самое главное – обрабатывать персональные данные россиян.
По мнению Роскомнадзора, факт возможного привлечения к ответственности иностранных компаний не может расцениваться как нарушение юрисдикции стран их регистрации. Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28.01.1981) дает возможность странам-участницам обеспечивать гражданам большую степень защиты, чем та, которая предусмотрена документом. Закон не распространяется на иностранные компании, собирающие персональные данные россиян за границей, если они не ведут деятельность в интернете.
Также компаниям можно не беспокоиться, если персональные данные россиян не собираются ими целенаправленно, т.е. они не предпринимают никаких действий в отношении персональных данных граждан РФ, попавших к ним случайно. Компании, прекратившие сбор и обработку персональных данных россиян после 1 сентября 2015 г., также не обязаны размещать их на серверах в России при условии, что такие архивы больше не обновляются ими.
Что еще не поздно сделать?
Иностранным компаниям мы рекомендуем проанализировать процессы получения персональных данных россиян. Если такие данные целенаправленно собираются, обрабатываются и хранятся компанией не в России и в них существует дальнейшая потребность, следует оценить возможность их хранения на территории РФ. Для этого потребуется согласовать условия такого хранения с российскими дата-центрами. Трансграничная передача данных потребует отдельного согласия граждан, чьи данные обрабатываются.
Возможно, часть данных будет полезна компании и в обезличенном виде, который не позволяет однозначно идентифицировать лицо-владельца данных. Для всех остальных случаев компании потребуется организовать хранение данных в РФ и уведомить Роскомнадзор о месте нахождения серверов на территории России. Необходимо помнить, что закон не запрещает обработку данных россиян за границей как таковую. Обработка данных должна осуществляться с использованием «первичной» базы данных в РФ с возможностью дальнейшей трансграничной передачей данных.