Юридические аспекты оформления сайта
Цыганкова Яна Эдуардовна, юрист Департамента правового сопровождения проектов юридической фирмы "АВЕНТА"
На сегодняшний день многие предприниматели, юристы и обычные пользователи интернета задаются вопросом о необходимости размещения на сайтах документов, регулирующих правила пользования сайтом (сервисом), порядок и основания обработки персональных данных пользователей. После внесения поправок в КоАП, которые увеличили ответственность за нарушение законодательства в области персональных данных, эта тема приобрела особую актуальность. Разберемся, какие обязательства возникают у оператора-администратора сайта, какие документы необходимо размещать на его страницах и как избежать санкций.
В соответствии с Федеральным законом «О персональных данных» оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Здесь же логично привести определение понятию «обработка персональных данных» - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Итак, если на сайте имеется какая-либо форма запроса, регистрации или иная форма, подразумевающая ввод и предоставление персональных данных пользователем, то лицо осуществляющее их сбор (администратор сайта), признается оператором персональных данных.
В соответствии с ФЗ № 152 от 27.07.2006, персональные данные (сокращенно - ПДн) – это любая информация, относящаяся прямо или косвенно, определенному или определяемому физическому лицу (субъекту персональных данных).
Установленная законодателем формулировка очень расплывчата, в связи с чем в судебной практике имеется большое количество споров по вопросу отнесения тех или иных данных к персональным.
Например, самый актуальный вопрос на сегодня – является ли номер телефона, без предоставления имени, фамилии и иной конкретизирующей информации, персональными данными? В разъяснениях Роскомнадзора прослеживается позиция о непринадлежности номера телефона, без указаний на дополнительную информацию о субъекте, к персональным данным. При этом судебная практика говорит об обратном – суды подчеркивают, что даже если номер телефона размещен в интернете (находится в открытом доступе), использовать номер телефона в своих целях без согласия субъекта неправомерно (Апелляционное определение Нижегородского областного суда от 11.10.2016 по делу N 33-12355/2016).
Если говорить о предоставлении субъектом одного только имени (даже вымышленного), то здесь уместно вспомнить, уже ставшее известным, дело о возложении Роскомнадзором штрафа на юридическую компанию в связи с тем, что в форме запроса не была опубликована политика конфиденциальности, хотя пользователь мог предоставить только имя без указания на иные данные (Постановление № 4А-288/2016 от 4 октября 2016 г. по делу № 4А-288/2016).
В связи с тем, что законодатель не установил четкий перечень персональных данных, то имя, фамилия, номер телефона, адрес электронной почты и т.д., предоставленные по отдельности, по мнению судов, подпадают под определение понятия персональные данные и к нарушителям можно применять соответствующие меры ответственности. Поэтому, если администратор сайта собирает какие-либо данные, прямо или косвенно определяемые с лицом, стоит позаботиться об оформлении надлежащих документов на сайт, о которых расскажем ниже.
Итак, в случае создания сайта или его активного использования на просторах интернета, на что стоит обратить внимание:
1. Если на сайте существует какая-либо форма запроса – администратор является Оператором, и ему следует соблюдать определенные требования закона.
Предоставляя персональные данные, любой Пользователь должен получить непосредственный доступ к обязательному документу – политике конфиденциальности/обработки ПДн. Такую обязанность устанавливает уже упоминаемый Федеральный закон «О персональных данных». Документ должен содержать подробное описание порядка получения согласия пользователя на обработку его персональных данных (ФИО, телефон, адрес электронной почты и прочие), способы и цели обработки персональных данных, требования к обеспечению их конфиденциальности, сроки обработки и иную информацию, указанную в п.7 ст. 14, п.1 ст. 18 ФЗ «О персональных данных».
Значит, политика конфиденциальности размещается в обязательном порядке.
Далее законодатель устанавливает обязанность администратора сайта получать согласие субъекта на обработку его персональных данных.
Ст. 9 ФЗ «О персональных данных» устанавливает форму согласия в любой, позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Некоторые сайты, наряду с политикой, предоставляют текст согласия. Но чаще всего пользователь дает согласие путем проставления галочки в форме запроса или же нажимая кнопку «отправить/подтверждаю», что правильнее?
Обязательное условие для формы согласия субъекта о предоставлении персональных данных – возможность подтвердить факт его получения, поэтому целесообразно включить в форму запроса рамку для галочки. Размещение одного только текста согласия будет являться нарушением, хотя в дополнение к галочке не лишним.
Обращая внимание на проверки Роскомнадзора и назначения органом многочисленных штрафов за несоблюдение законодательства в области персональных данных, в форме запроса следует разместить в обязательном порядке:
- Ссылку на политику конфиденциальности;
- Фразу о том, что пользователь ознакомлен с соглашением и политикой и согласен с предлагаемыми условиями, осознанно дает согласие на обработку персональных данных: «Даю согласие на обработку моих персональных данных…»;
- Форму для галочки.
2. На сайте располагается сервис, предоставляющий пользователям, зарегистрированным в соответствующем порядке, доступ к его использованию / Сайт предоставляет личный кабинет.
Примером могут быть те же социальные сети, сайты с играми и иные сайты, содержащие личный кабинет и/или предоставляющие широкий функционал.
В данном случае целесообразно заключить с пользователем соглашение, которым будут устанавливаться права и обязанности сторон. Такой договор приобрел свое наименование «Пользовательское соглашение» и раскрывается как соглашение пользователя с условиями, предлагаемыми администратором сайта. По своей правовой природе пользовательское соглашение является договором присоединения, согласно ст. 428 ГК РФ. Размещение его в форме запроса/регистрации рассматривается как оферта (предложение заключить договор на определенных одной стороной условиях). Совершение пользователем конклюдентных действий (поставил галочку, нажал кнопку «отправить», прошел процедуру регистрации, предоставил данные), в зависимости от того, какой порядок установлен в соглашении, будет считаться акцептом (согласием).
В форме регистрации, обратной связи и иной форме, подразумевающей предоставление пользователем персональных данных, также, как и в первом случае должны располагаться политика, галочка, фраза и теперь еще соглашение.
Пользовательское соглашение для администратора сайта будет помощником в вопросе надлежащего использования сервиса/сайта пользователем. В соглашении можно определить каким образом пользователь использует сайт, запреты и ограничения использования, получение доступа в личный кабинет, блокировка, удаление пользователя, ответственность администратора/пользователя и иные условия.
На данном этапе развития судебной практики, суды признают пользовательские соглашения в качестве надлежащего доказательства, принимают во внимание его условия. Тем самым оно способно защитить интересы владельца/администратора сайта.
В качестве примера, можно привести судебное дело между ЗАО «ПравдаРу» и ЗАО «РУТЬЮБ». РУТЬЮБ осуществил воспроизведение и распространение фильма на своем сайте. Истец (ЗАО «ПравдаРу») потребовал взыскать с Ответчика компенсацию за нарушение авторских прав на фильм. Суды всех инстанций отказали во взыскании компенсации, обосновав тем, что в пользовательском соглашении, размещенном на сайте Ответчика, ответственность за противоправное распространение фильма несет пользователь (Постановление девятого арбитражного суда № 09АП-32374/11 от 27 декабря 2011 года).
Закон пока не устанавливает обязанности оператора по заключению и размещению подобного соглашения, но как показывает практика, его установление только поспособствует минимизации рисков оператора.
В новой редакции КоАП РФ увеличена ответственность лиц:
- осуществляющих обработку персональных данных несовместимую с целями их сбора влечет наложение штраф на граждан - до 3 000 рублей, на юридических лиц – до 50 000 рублей;
- обрабатывающих персональные данные без согласия в письменной форме субъекта, если такое согласие требуется в соответствии с законом, либо обработка персональных данных с нарушением к составу сведений, включаемых в согласие в письменной форме субъекта – штраф на граждан – до 5000 тысяч рублей, на юридических лиц – до 75 000 тысяч рублей;
- в случае неопубликования на сайте политики обработки персональных данных влечет наложение штрафа на граждан – до 1500 рублей, на юридических лиц – до 30 000 рублей, а также иные виды ответственности, размер штрафных санкций по которым может достигать для юридических лиц до 290 000 тысяч рублей (ст. 13.11 КоАП РФ от 30.12.2001 № 195-ФЗ).