ЮРИДИЧЕСКИЕ НАУКИ
КВАЛИФИКАЦИЯ ПРОВАЙДЕРА ОБЛАЧНОГО СЕРВИСА В РАМКАХ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ Батуева К.В. Email: [email protected]
Батуева Ксения Вадимовна - магистрант, направление подготовки: 40.04.01 Юриспруденция, кафедра предпринимательского права, социально-гуманитарный факультет,
Пермский филиал
Федеральное государственное автономное образовательное учреждение высшего образования Национальный исследовательский университет Высшая школа экономики, г. Пермь
Аннотация: в статье анализируются законодательство в области защиты персональных данных, мнения исследователей данной области, а также практика применения законодательства. Исследован принцип работы облачных сервисов, включая действия провайдера и пользователя. Квалифицированы действия провайдера и пользователя облачного сервиса. Предложен вариант совершенствования закона о персональных данных. Опыт проделанной работы позволяет оценить действующее законодательство в целом, как отвечающее основным требованиям ИТ-индустрии. При этом в существующем законодательстве есть некоторые недостатки, которые в первую очередь касаются запрета доступа граждан к востребованным интернет-ресурсам. Ключевые слова: персональные данные, провайдер облачного сервиса, пользователь облачного сервиса, оператор персональных данных.
THE QUALIFICATION OF A PROVIDER OF A CLOUDY SERVICE WITHIN THE PERSONAL DATA LEGISLATION Batueva K.V.
Batueva Kseniia Vadimovna - Master, MAIN FIELD(S) OF STUDY FOR THE QUALIFICATION 40.04.01 LAW, DEPARTMENT OF BUSINESS LAW, A FACULTY OF SOCIAL AND HUMANITIES,
PERM BRANCH
NATIONAL RESEARCH UNIVERSITY HIGHER SCHOOL OF ECONOMICS, PERM
Abstract: the article analyzes the legislation in the field of personal data protection, the opinions of scientists in this field, and the practice of applying legislation. The principle of cloud services, including the actions of the provider and the user, is analyzed. The actions of the provider and the user of the cloud service are qualified. A variant of improving the law on personal data is proposed. Experience gained in the process of work allows us to evaluate the current legislation in general, as meeting the basic requirements of the IT industry. At the same time, there are some shortcomings in the existing legislation, which primarily concern the prohibition of citizens' access to popular Internet resources. Keywords: personal data, a cloud service provider, a cloud service user, a personal data operator.
УДК 331.225.3 DOI: 10.20861/2304-2338-2017-103-002
За последнее десятилетие в Российской Федерации (РФ) возрастает спрос на использование облачного программного обеспечения в различных бизнес-процессах.
Предприниматели, под которыми мы также подразумеваем и коммерческие организации, помимо привычной всем электронной почты, активно используют: программы для анализа продаж (amoCRM), программы ведения кадрового и бухгалтерского учёта (Контур. Бухгалтерия, Эльба, Моё дело), сервисы хранения файлов (Dropbox), сервисы видеонаблюдения (Форпост, Ivideon), а также многие другие полезные продукты индустрии информационных технологий. В этих сервисах отражаются реквизиты организаций, а также данные граждан (ФИО, адреса регистрации, сведения о семейном положении, информация об образовании и др.). За годы работы предприниматели, использующие облачные сервисы, наращивают в информационных системах базы данных контрагентов, как организаций, так и граждан, особо не задумываясь о должной обработке и защите полученных данных. В свою очередь информация о гражданине, содержащая его идентифицирующие (персональные) данные, презюмируется как закрытая и охраняется на законодательном уровне, в отличие от идентифицирующей информации об организации, либо индивидуальном предпринимателе, доступ к которой в целях сбора и обработки свободен для любого лица.
В настоящее время основным законодательным актам, регулирующим деятельность в области защиты персональных данных, в том числе на просторах сети Интернет, является Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (ФЗ № 152-ФЗ). Помимо него, некоторые вопросы в области защиты персональных данных установлены Конституцией и Гражданским кодексом (ГК) РФ, а также Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Несмотря на существование нормативно-правовой базы в области защиты персональных данных, которая определяет, что попадает под понятие «персональные данные», устанавливает способы и порядок обработки персональных данных, вопрос квалификации провайдера облачного сервиса в рамках законодательства о персональных данных по-прежнему остаётся без ответа. Предприниматель, нарушивший требование законодателя, рискует быть привлечённым к ответственности. А, в связи с тем, что спрос на облачные продукты год за годом возрастает, возрастает и актуальность данного вопроса. Значимости также придают новые положения о мерах ответственности денежного характера, возросшие в несколько раз, и вступающие в законную силу 01.07.2017 [4].
Для того, чтобы разграничить предпринимателей-провайдеров (провайдеров) и предпринимателей-пользователей (пользователей) облачных сервисов, необходимо рассмотреть принцип работы в облаке.
В профессиональной среде облачное программное обеспечение именуют SaaS (Software-as-a-Service)
- программное обеспечение как услуга. В данной модели используются возможности программного обеспечения без необходимости установки его на компьютере, то есть программное обеспечение работает в облаке на серверах провайдера услуги. Пользователь получает доступ к облачному программному обеспечению с помощью веб-браузера или мобильных приложений. Действия пользователя по вводу и использованию персональных данных в информационной системе облачного сервиса точно классифицируются законодателем, как «обработка персональных данных с помощью средств вычислительной техники», что согласно ч. 4 ст. 3 ФЗ № 152-ФЗ именуется «автоматизированной обработкой персональных данных» [3]. При этом нельзя сказать, что провайдер облачного сервиса выполняет автоматизированную обработку внесённых (загруженных) в систему данных, так как фактически предоставляет только платформу для накопления, а сам процесс сбора, обработки осуществляет пользователь.
Описанный выше тип программного обеспечения, содержащий в себе персональные данные, с точки зрения законодательства о персональных данных именуется
«информационной системой персональных данных», то есть системой, которая «содержит персональные данные в своих базах данных и обеспечивает их обработку с помощью технических и технологических средств» (ч. 10 ст. 3 ФЗ № 152- ФЗ) [3]. Именно это определение законодателя наводит на мысль, что провайдер облачного сервиса тоже является оператором персональных данных. При этом провайдер облачного сервиса не ставит перед собой цель обрабатывать данные, размещённые в его информационных системах. Его целью является оказание услуги посредством предоставления доступа к сервису. В свою очередь пользователь облачного сервиса производит ввод (загрузку) и обработку данных в системе. Например, пользователь облачного сервиса вводит персональные данные покупателя для отражения факта реализации товара или услуги в целях выполнения условий договора, а данные работников - для ведения их учёта в целях сдачи отчётности в контролирующие органы; путём размещения систем видеонаблюдения пользователь организует контроль за рабочим процессом и организацией безопасности на предприятии, а при необходимости использует данные с видеокамер в качестве доказательства.
Исходя из вышеописанного, можно предположить, что именно пользователь, а не провайдер облачного сервиса является оператором персональных данных. Во-первых, его действия полностью соответствуют действиям оператора, установленных ч. 2 ст. 3 ФЗ №152-ФЗ. Во-вторых, пользователь имеет цель сбора и обработки персональных данных граждан в рамках его предпринимательской деятельности. В-третьих, провайдер облачного сервиса не имеет прямого доступа к данным, размещённым пользователем в информационной системе, так как зачастую они передаются по защищённым каналам связи и только пользователь имеет к ним доступ.
Некоторые исследователи сравнивают использование облачных сервисов с арендой помещений, отмечая, что «законодатель не требуют от арендодателя обеспечения безопасности персональных данных, хранящихся на жёстких дисках и бумаге в помещениях, используемых арендаторами» [7]. Данная точка зрения с одной стороны наиболее точно отражает принцип работы провайдера облачного сервиса и его пользователя, но с другой стороны её невозможно юридически обосновать по причине отсутствия у облачного сервиса ключевых признаков объекта аренды. Во-первых, объектом аренды в соответствии со ст. 607 ГК РФ выступают индивидуально-определенные и непотребляемые вещи, а вычислительные ресурсы, предоставляемые в рамках облачных сервисов, не имеют таких качеств [2]. Как отмечает А.И. Савельев, предоставляемые вычислительные ресурсы способны к динамическому перераспределению в соответствии с потребностями пользователя, то есть находятся в динамически изменяемом состоянии на протяжении срока действия договора. Во-вторых, невозможен и «возврат» облачного сервиса в том виде, в котором он был предоставлен с учетом нормального износа. Получается, что нормы об аренде фактически не пригодны для регулирования отношений, возникающих в связи с предоставлением облачных сервисов, так как предназначены для регулирования предоставления материальных объектов [6]. Подобной позиции придерживается В. Селиванов, утверждая, что «оборудование в облачном сервисе не может быть индивидуализировано, программное обеспечение также не является вещью в отличие от его носителя [8].
Тем не менее, существует ещё один аргумент в пользу разграничения понятий «оператор персональных данных» и «провайдер облачного сервиса». Так, Роскомнадзор даёт разъяснения в отношении обработки категории биометрических данных, согласно которым «материалы видеосъемки в публичных местах и на охраняемой территории до передачи их для установления личности снятого человека не являются биометрическими персональными данными до момента их обработки» [5]. Получается, что провайдер облачного сервиса, в котором содержатся данные фото/видеоизображения не занимается обработкой персональных данных, а,
следовательно, не попадает под определение оператора персональных данных, но ровно до того момента, пока не станет заниматься установлением личности на основании размещённых данных, то есть, до момента их обработки.
На основании вышеописанного можно сделать предположение в отношении провайдеров облачных сервисов, в информационных системах которых размещены другие категории персональных данных (общие и специальные), что такие провайдеры аналогично не попадают под определение оператора до момента обработки размещённых (загруженных) данных.
На практике уже существуют отрицательные последствия применения закона о защите персональных данных. Главным среди которых является ограничение доступа к некоторым сервисам, вплоть до полного запрета. Ярким примером является ограничение доступа к международной сети профессиональных контактов Ьшке^п. Основными причинами блокировки данного сервиса на территории РФ послужили: отсутствие положения об обработке персональных данных, отсутствие сведений в реестре операторов персональных данных, а также, что сервис по некоторой информации не получал согласие граждан на обработку их персональных данных [9]. То есть LinkedIn фактически признали оператором персональных данных, за что сервис и понёс наказание. При этом, вполне можно считать, что подобное правоприменение по отношению к гражданам РФ, использовавшим данный сервис, нарушает п. 4 ст. 29 Конституции РФ, в котором провозглашается «право свободно искать, получать, передавать, производить и распространять информацию любым законным способом» [1].
Проанализировав законодательство о персональных данных, можно сделать вывод, что провайдеру облачного сервиса необходимо закрепить положение в пользовательском соглашении о характере обработки персональных данных. В частности, если провайдер не занимается обработкой персональных данных, то ему следует добавить положение, в котором сформулировать, что облачный сервис не выполняет обработку размещённых в его информационной системе данных; а также, что провайдер не несёт ответственности за обработку и хранение данных, вносимых пользователем, в том числе, если пользователь занимается установлением личности на основании данных (например, на основании фото/видеоизображений). В свою очередь, сотрудники и клиенты пользователей облачных сервисов должны быть уведомлены о процессе и характере обработки их персональных данных, а также должны предоставить согласие на их обработку. Что касается посетителей публичных мест, где ведётся видеонаблюдение, они должны заранее предупреждаться администрацией о возможной фото-, видеосъемке соответствующими текстовыми или графическими предупреждениями [5].
Тем не менее, в случае, если провайдер облачного сервиса всё-таки является оператором персональных данных, то есть собирает и обрабатывает персональные данные, он должен разместить на сайте политику в области обработки персональных данных. Помимо информирования пользователей о целях и порядке обработки их персональных данных, провайдер должен получить согласие от каждого пользователя, данные которого планирует обрабатывать, до самого процесса обработки. Стоит обратить внимание на то, что условие о согласии на обработку персональных данных должно быть включено именно в текст политики обработки персональных данных, а не в качестве ссылки к тексту иного документа. В противном случае такое условие не позволит говорить о должном информировании пользователя и осознанном его согласии.
Положительным результатом совершенствования нормативно правовой базы законодательства о персональных данных будет закрепление описанных выше положений в законе о персональных данных. Также, чтобы упростить ведение деятельности всем интернет-сервисам, было бы логичным добавить пункт 6 в статью 6 «Условия обработки персональных данных» ФЗ № 152-ФЗ, со следующей
формулировкой: «в случае, если лицо - владелец информационной системы не занимается установлением личности на основании, размещённых в его базах данных персональных данных, не имеет прямого доступа к размещённым данным, следовательно, не выполняет обработку таких данных, это лицо не признаётся оператором персональных данных».
Список литературы /References
1. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 № 6-ФКЗ, от 30.12.2008 № 7-ФКЗ, от 05.02.2014 № 2-ФКЗ, от 21.07.2014 №11-ФКЗ) // Собрание законодательства РФ, 2014. № 31. Ст. 4398.
2. Гражданский кодекс Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ (ред. от 28.03.2017) // Российская газета. № 23, 06.02.1996.
3. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017) «О персональных данных» // Российская газета. № 165, 29.07.2006.
4. Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» // Официальный интернет-портал правовой информации. [Электронный ресурс]. Режим доступа: http://www.pravo.gov.ru, 07.02.2017/ (дата обращения: 28.04.2017).
5. Разъяснения Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» // Экономика и жизнь (Бухгалтерское приложение). № 36, 13.09.2013.
6. Савельев А.И. Правовая природа «облачных» сервисов: свобода договора, авторское право и высокие технологии // Вестник гражданского права, 2015. № 5.
7. Сервис подготовки документов по персональным данным № 1. [Электронный ресурс]. Режим доступа: https://b-152.ru/ (дата обращения: 20.04.2017).
8. IT-LEX. Юридическое обслуживание ИТ-проектов. [Электронный ресурс]. Режим доступа: http://www.it-lex.ru/ (дата обращения: 20.04.2017).
9. Дело № 2-3491/2016 Таганского районного суда города Москвы // Росправосудие. [Электронный ресурс]. Режим доступа: https://rospravosudie.com/ (дата обращения: 20.12.2016).