Хранение персональных данных за рубежом с точки зрения российского права
Хотел бы представить вниманию читателей финальный фрагмент подготовленной мной статьи, которая касается оценки недавно принятого закона, установившего обязанность хранить персональные данные российских граждан в России.
"Конституция РФ не закрепляет права на персональные данные и даже не упоминает о них. Конвенция Совета Европы № 108 «О защите физических лиц в отношении автоматизированной обработки персональных данных» (далее - Конвенция № 108) и Закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных), напротив, говорят о праве субъекта на персональные данные. Анализ перечня персональных данных приводит к выводу о том, что они характеризуют личность, связаны и с ней и неотделимы от личности. Иными словами, персональные данные – личное неимущественное благо, а право на них относится к личным неимущественным правам. Право на персональные данные защищается в соответствии с гражданским законодательством всеми способами, предусмотренными ГК РФ (п. 2 ст. 150 ГК РФ).
Осуществляя право на персональные данные, его субъект вправе требовать, чтобы с этими данными обращались надлежащим образом – не получали их без согласия правообладателя, а получив – проводили предусмотренные операции с данными в установленном законом порядке (см. ст. 5 и 8 Конвенции № 108, ст. 5, 6, 9, 14 Закона о персональных данных). Трансграничная передача персональных данных также должна осуществляться в порядке, установленном законом, и, по общему правилу, с согласия субъекта данных.
Закон от 21.07.2014 № 252-ФЗ (далее - Закон № 252), устанавливая ограничения на передачу данных, лишает субъекта данных возможности по своему решению (согласию) сообщить данные лицу, которое использует их в базах данных, находящихся за рубежом. Поскольку это ограничение установлено законом, гражданско-правовая защита права на персональные данные должна осуществляться с его учетом. Иными словами, введенное законом ограничение будет считаться действующим, если только нормы Закона № 252 не будут признаны противоречащими Конституции РФ.
Конвенция № 108 в преамбуле к ней связывает право на персональные данные с такими правами и свободами человека и гражданина как право на уважение частной жизни и свобода информации. Закон о персональных данных в ст. 2, в свою очередь, отсылает к таким правам человека и гражданина как право на неприкосновенность частной жизни, на личную и семейную тайну (ст. 23 Конституции РФ). О свободе информации Закон о персональных данных в этой связи не упоминает, но она предусмотрена в Конвенции № 108 и в части 4 ст. 24 Конституции РФ. Поскольку нормы Конвенции № 108 являются частью внутреннего законодательства, а нормы Конституции РФ – непосредственно действующими, отсутствие упоминания о свободе информации в Законе о персональных данных значения не имеет.
Иными словами, право субъекта на его персональные данные непосредственно вытекает из конституционных прав на неприкосновенность частной жизни, на личную и семейную тайну, а также на свободу информации. И обсуждая ограничения, предусмотренные для субъекта персональных данных Законом № 252, даже если он дал свое согласие на трансграничную передачу данных, следует оценивать их соответствие ст. 23 и части 4 ст. 24 Конституции РФ.
Право на неприкосновенность частной жизни, на личную и семейную тайну предполагает, в частности, что сведения о частной жизни, а значит, и персональные данные, находятся в свободном распоряжении гражданина. Он может решать, сообщать кому-либо сведения о своей жизни (персональные данные) или нет. Раскрыв эти сведения (данные), он вправе рассчитывать на то, что их дальнейшее обращение будет происходить по правилам, установленным законом. Гражданин вправе самостоятельно определить, как раскрытые им сведения (данные) будут обращаться в дальнейшем. В частности, давая согласие на трансграничную передачу персональных данных, гражданин осуществляет принадлежащее ему право на неприкосновенность частной жизни.
Свобода информации, в числе прочего, содержит и возможность гражданина сообщать любую информацию (персональные данные) о себе или не сообщать, а также возможность иных лиц, получивших такую информацию, транслировать ее дальше, в том числе за границу, если только на это имеется согласие гражданина.
Таким образом, Закон № 252, ограничивая право гражданина на трансграничную передачу персональных данных, в случае, если он дал свое согласие на такую передачу, вступает в противоречие со ст. 23 и частью 4 ст. 24 Конституции РФ. В силу части 3 ст. 56 Конституции права и свободы, предусмотренные частью 1 ст. 23 и ст. 24 Конституции, не подлежат ограничению даже в условиях чрезвычайного положения. Тем более они не подлежат ограничению в условиях обычной жизни.
Значит, не имеют юридической силы те положения Закона о персональных данных, которые устанавливают запреты и ограничения на трансграничную передачу персональных данных (п. 1 ст. 12), если такая передача осуществляется с согласия гражданина. Эти запреты и ограничения могут действовать лишь тогда, когда данные передаются без согласия гражданина.
С учетом сказанного выше, имеются неплохие перспективы признания неконституционным Закона № 252 в той мере, в какой он ограничивает возможность гражданина давать согласие на передачу своих персональных данных, в том числе за границу. Такие же, если не большие, перспективы существуют и в части подачи жалоб в Европейский суд по правам человека. Вопрос же о конкретных процессуальных действиях и их последствиях подлежит обсуждению отдельно.
И наконец, жестко применяя Закон № 252, можно запретить российским пользователям доступ к подавляющему большинству Интернет-ресурсов, происходящих из иностранных государств. Однако на практике этого никто делать не будет. Запретят доступ лишь к отдельным ресурсам, что будет означать избирательное применение закона. Такое избирательное применение извращает смысл закона и нарушает конституционный принцип равенства всех перед законом. Проще было бы прямо запретить доступ к определенным Интернет-ресурсам, не прибегая к сомнительному тезису о том, что ограничения конституционных прав и свобод граждан вводятся для их же блага".
Похожие материалы
-
16.02.2016 Евгений Панфилло«Семейное» банкротство // Какова судьба совместного...0
-
16.02.2016 Максим АлиНасколько верны представления Роскомнадзора о персональных...0
-
16.02.2016 Российский...Студент юридического факультета РЭУ им. Г.В. Плеханова...0
-
16.02.2016 Антон СтарокоровСтатистика по банкротствам1
-
16.02.2016 Владимир ГореликЕсли закон не писан...0
Новые блоги
-
16.02.2016 Vladimir Makaevскрытый0
-
16.02.2016 Евгений Панфилло«Семейное» банкротство // Какова судьба совместного...0
-
16.02.2016 Тамерлан УрусовЗнаковые изменения в арбитражном процессе0
-
16.02.2016 Максим АлиНасколько верны представления Роскомнадзора о персональных...0
-
16.02.2016 Российский...Студент юридического факультета РЭУ им. Г.В. Плеханова...0
Комментарии(30)
Почему-то сомневаюсь, что в существующих реалиях это возможно.
Вообще, иногда читая Постановления КС РФ вспоминается иностранное слово сервильность.
Даже наличие согласия гражданина на трансграничную передачу персональных данных не обязывает отечественного оператора осуществлять такую трансляцию.
К тому же следует учитывать, что в состав персональных данных могут входить сведения, оказывающие влияющие на обеспечение безопасности государства.
Интересная формулировка. Попытался представить, что под нее можно подвести. Пришел к выводу, что все, что угодно.
Хотя есть вполне конкретный перечень сведений, определённый законодательно.
Соответствует ли ответам на вопросы выше текущая практика по блокированию на территории РФ сайтов, через которую осуществляется преступная деятельность (н.п. наркоторговля)?
Если передача гражданином данных напрямую иностранному оператору никак не ограничена, как планируется блокировать Интернет-ресурсы, которые имелись в виду в последнем абзаце?
Что касается отдельных сфер деятельности, в отношении которых приняты международные конвенции, например, о противодействии отмыванию денежных средств, порядок привлечения к ответственности может быть иным.
Некоторые государства пытаются применять принудительные меры в отношении иностранных лиц, однако их исполнимость, если эти лица не действуют на территории России, сомнительна.
С учетом принципа взаимности, если государство хочет, чтобы в отношении его граждан и огранизаций, находящихся на его территории, не применялись принудительные меры, оно само не должно вводить аналогичные принудительные меры.
Именно поэтому блокирование доступа к иностранным Интернет ресурсам - это, скорее, ограничение прав российских граждан и организаций.
Ст. 3 Закона о защите конкуренции:
Положения настоящего Федерального закона применяются к достигнутым за пределами территории Российской Федерации соглашениям между российскими и (или) иностранными лицами либо организациями, а также к совершаемым ими действиям, если такие соглашения или действия оказывают влияние на состояние конкуренции на территории Российской Федерации.
Вы не путаете российское законодательство с американским Sherman Antitrust Act?
Любые законы государства по общему правилу имеют территориальное действие. Цель конвенций о противодействии отмыванию преступных доходов и проч. - согласовать национальное регулирование так, чтобы некуда было спрятаться. А разве условия привлечения к гражданско-правовой ответственности, определенные российским законодательством, по общему правилу не будут действовать только на территории РФ?
В ней есть оговорка "любым законным способом". Эта конструкция напоминает еще одну статью:
Статья 121
1. Судьи несменяемы.
2. Полномочия судьи могут быть прекращены или приостановлены не иначе как в порядке и по основаниям, установленным федеральным законом.
Благодарю за заметку и мнение.
Редакция имеет честь пригласить Вас стать автором журнала "Корпоративный юрист" и написать нам статью.
Например, апрельский номер журнала «Корпоративный юрист» будет посвящен практике применения самого распространенного на практике договора - аренды.
Вы можете выбрать любую актуальную проблему применения договора аренды/финансовой аренды (лизинг), осветить один из насущных вопросов тесно связанных с арендой налоговых последствий или взять любую другую тему по правовой тематике.
Искренне надеюсь Вы откликнитесь на мое обращение!
С уважением, Алексей Каширин
kashirinlawyer@gmail.com
Понятно, что данные положения ФЗ о персональных данных направлены не на обеспечение удобства конечных потребителей, но на обеспечение физического господства компетентных органов над носителями информации и предприятиями, которые осуществляют их эксплцатацию. Поэтому обжалование в КС приведет только к ссылке на ограничение прав в угоду безопасности.
Главный вопрос, на мой взгляд - кто в данном случае выступает адресатом положений закона. Разве закон запрещает гражданам передавать свои персональные данные за рубеж? Вовсе нет. Он обязывает тех, кто получает эти персональные данные (в терминологии закона - "операторы ПД"), "обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации". Разве это как-то ограничивает граждан? Граждане никак не ограничены в праве хоть отправлять свои персональные данные в незашифрованном виде в другие планеты и галактики. Для них никакой ответственности не предусматривается!
А вот для операторов - другое дело. Здесь очевидная не частно-правовая составляющая (право на получение ПД), а публично-правовая составляющая - обеспечение гарантий граждан на то, чтобы их данные не стали предметом несанкционированного доступа помимо их воли. Поскольку государство российское может контролировать безопасность и устанавливать стандарты и требования только в пределах своей территориальной юрисдикции - вот и вводится такое требование.
Совершенно согласен со Станиславом Кучеровым в существовании проблемы
Требование установить можно, но действовать оно будет только в пределах российской юрисдикции - до кого удастся "дотянуться". В этом специфика Интернета. очень рекомендую на эту тему обзор национальных подходов посмотреть в Transnational Jurisdiction In Cyberspace (www.kentlaw.edu/cyberlaw/docs/rfc/priv2.doc)
Мы тут недавно в СПбГУ проводили большое исследование по проблемам конфликтов юрисдикций, в результате чего я пришел к выводу, что законодательную юрисдикцию-то распространить несложно (например, с помощью известной американской доктрины "минимальных контактов"), а вот реализовать ее конкретными мерами исполнения - гораздо сложнее. Но так не только в России, так везде. Только у других стран (прежде всего США) больше инструментов контроля за финансовыми и имущественными операциями, а отсюда - больше возможности реализовать свою юрисдикцию в реальности.
Кстати, есть еще рекомендации ОЭСР (OECD Recommendation Concerning and Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data), а в ЕС - директива 95/46/EC (the “EU Data Protection Directive”, в частности, ст. 25), которые предполагают, что государство должно заботиться о сохранении и безопасности персональных данных своих граждан, потому что с конституционно-правовой точки зрения именно государство обеспечивает своим гражданам защиту их прав. И если происходит утечка ПД от какого-то оператора,которому гражданин добровольно передал свои ПД, то гражданин предъявляет претензии о необеспечении защиты его права на частную жизнь к... государству!
Очень часто приходится сталкиваться с этим толкованием ст. 56 Конституции, которое, на мой взгляд, совершенно необоснованно. Специфика чрезвычайного положения состоит в том числе в совершенно особенном механизме управления и соответственно особом порядке принятия решений об ограничениях прав. Такие решения, предусмотренные законодательством о чрезвычайном положении, вводятся фактически административными решениями - Указами Президента (стст.11-13 Закона о ЧП). Вот почему в условиях чрезвычайного положения требуются особые конституционные гарантии, они-то и содержатся в ст. 56 Конституции. Ст. 56 - lex specialis по отношению к общей норме ст. 55. Нельзя утверждать, что любое ограничение прав, перечисленных в ст. 56, на основании ст. 55, будет неправомерным. И свидетельство тому - широкая практика толкования ст. 55 Конституционным Судом РФ.
Кстати, в номере анализируемого закона опечатка - это закон No. 242-ФЗ, а не 252-ФЗ.
А во-вторых, предложенное Вами толкование соотношения ст. 55 и 56 Конституции РФ не оставляет "камня на камне" от прав человека и гражданина. По смыслу этого толкования можно ограничивать законом любое право человека, даже предусмотренное международными конвенциями о правах и свободах человека. Главное - принять соответствующий закон, придав ему определенную целевую направленность! Возьмем, к примеру, право на жизнь, упомянутое в ст. 56 Конституции. В условиях чрезвычайного положения это право нельзя ограничивать, а в обычное время, получается, можно. Мне кажется это нелогичным!
Каким образом? Вот текст закона №242-ФЗ: "При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", ОПЕРАТОР обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона"
Ни слова о гражданах. Каким образом эти требования могут распространяться на граждан, если они регламентируют обработку ПД?
Все же, если быть ближе "к гражданам" и их интересам - приведенная норма означает следующее: российский пользователь такого иностранного сервиса, который не хранит данные в РФ - не может воспользоваться его услугами, т.к. иностранец нарушает права российского владельца ПДн (в итоге либо закроет доступ гражданам РФ, либо произведет расходы на хранение, либо будет заблокирован). И это при живом, формально не убитом праве на распоряжение своими данными, в т.ч. на трансграничную их передачу. В итоге мнимая защита моих паспортных данных (которые государство еще даже не научилось/захотело искать и уничтожать на горбушках) приводит к нарушению моих прав на свободный доступ к услугам (даже если я согласен свои данные хранить на Луне).
Граница же символизирует элемент суверенности государства, которое, будучи дееспособным, не позволяет иностранцам нарушать свою независимость.
Это длинная история. Если кратко, то права не могут существовать в неограниченном виде,поскольку государство вынуждено их ограничивать в целях защиты других лиц и общих интересов. Даже право на жизнь - в самой Европейской конвенции перечислены ситуации правомерного ограничения права на жизнь: подавление вооруженного бунта или мятежа, задержание преступника при оказании им вооруженного сопротивления и т.п. Конечно, в философии прав человека есть мнения об абсолютизации прав, наиболее известным из которых, пожалуй, можно считать мнение Рональда Дворкина о правах как "козырях". Но это очень далеко от практической юриспруденции.
Один известный конституционалист, Войцех Садурский, сформулировал идею о различных подходах к правам человека в США и в Европе. В США, предложил он считать, подход к правам более абсолютный: права заранее считаются ограниченными некими внешними рамками: "никакая свобода слова не может оправдать человека, который в переполненном театре крикнет 'пожар'" (Оливер У. Холмс - мл.). В Европе же права становятся предметом "балансировки" в рамках концепции "пропорционально" допустимого ограничения прав. Так вот, в США тоже балансируют права, еще как (самая известная публикация на эту тему - Aleinikoff Alexander, ‘Constitutional Law in the Age of Balancing’ 96 Yale Law Journal (1987) 943-1005). Балансирование - это поиск пределов допустимых и разумных пределов ограничений. В доктрине конституционного права только одно право считается абсолютным - это право на достоинство личности. Все остальные могут ограничиваться, и ст. 56 никак не может быть основанием для признания таких ограничений неконституционными.
- Представляется, что если бы законодатель хотел принципиально ограничить обработку ПД граждан РФ за рубежом, то изменения претерпели бы и нормы о трансграничной передаче данных. Как минимум, тогда должна была возникнуть норма, что трансграничная передача данных допускается лишь в случаях, предусмотренных законом (пункты-исключения - 2, 3, 4, 8 части 1 ст. 6 Закона "О персональных данных").
- Кроме того, возможность трансграничной передачи данных предусмотрена Конвенцией Совета Европы от 1981 г., которую Россия ратифицировала в 2005 году. Конвенция запрещает ее участникам обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой стороны, с единственной целью защиты частной жизни.
В соответствии со ст. 15 Конституции РФ, если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора.
Таким образом, статья 2 Закона №242 просто не должна применяться при толковании, не допускающем параллельное хранение и обработку данных на зарубежных серверах.