По данным сайта Домены России на сегодняшний день зарегистрировано более 5 миллионов доменных имен в зонах .ru, .рф, .su. Уверены, что среди наших читателей есть владельцы сайтов и те, кто связан с их разработкой. По этой причине мы продолжаем разбор темы персональных данных, но уже с конкертными примерами.

Исходная ситуация:

У предпринимателя имеется сайт в информационно-телекоммуникационной сети Интернет (далее — «сеть Интернет»). С помощью сайта предприниматель осуществляет обработку, в частности, сбор персональных данных пользователей сайта.

Вопрос:

Существует ли обязанность доносить до пользователей политику осуществления предпринимателем действий с помощью сайта в сети Интернет в отношении персональных данных пользователей сайта?

Ответ:

В п.п. 1–3 ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — Закон «О персональных данных») определено: «В целях настоящего Федерального закона используются следующие основные понятия:

1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».

В соответствии с ч. 1 ст. 18.1 Закона «О персональных данных»:

«1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

1. Назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2. Издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

4. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6. Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников».

Таким образом, из представленных законоположений следует, что предприниматель, осуществляющий обработку персональных данных пользователей сайта, обязан принимать необходимые и достаточные меры для обеспечения выполнения обязанностей, предусмотренных Законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. В частности, к таким мерам относится издание предпринимателем документа, определяющего его политику, как оператора в отношении обработки персональных данных пользователей сайта в сети Интернет.

Согласно ч. 2 ст. 18.1 Закона «О персональных данных»: «2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети».

В рассматриваемых законоположениях закреплены обязанности предпринимателя, как оператора, осуществляющего в отношении персональных данных действий по обработке и, в частности, сбору персональных данных с использованием сайта в сети Интернет.

Так, осуществляя обработку персональных данных, предприниматель обязан обеспечить пользователям сайта посредством соответствующей информационно-телекоммуникационной сети общий доступ к документу, содержащему сведения о реализуемых требованиях к защите персональных данных и определяющему политику в отношении обработки персональных данных.

Осуществляя сбор персональных данных, предприниматель обязан обеспечить пользователям сайта посредством соответствующей информационно-телекоммуникационной сети общий доступ к документу, определяющему политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных.

Неисполнение данной обязанности является административным правонарушением и влечёт административную ответственность согласно ч. 3 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (далее — «КоАП РФ»): «3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц — от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей».