Правовая природа политики приватности: практический аспект
магистр права,
Самарский национальный исследовательский университет
им. академика С.П. Королева (г. Самара),
ведущий специалист-эксперт отдела контроля и надзора
за соблюдением законодательства в сфере персональных данных
Управления Роскомнадзора по Самарской области
Для цитирования:
Матвеев Е.В. Правовая природа политики приватности: практический аспект//Журнал Суда по интеллектуальным правам. Декабрь 2023. N 4 (42). С. 137-144.
DOI: 10.58741/23134852_2023_4_12
Matveev E.V. The legal nature of privacy policy: practical aspect//Zhurnal Suda po intellektual'nym pravam. December 2023. N 4 (42). Pp. 137-144. (In Russ.).
DOI: 10.58741/23134852_2023_4_12
Встречаются случаи, когда документ, определяющий политику оператора в отношении обработки персональных данных, имеет такие наименования, как «Политика обработки персональных данных» или «Политика конфиденциальности», однако в рамках настоящей статьи будет использоваться наименование «Политика приватности», поскольку оно обладает наиболее широкой практикой международного использования («Privacy Policy»).
Правовая природа Политики приватности будет раскрыта посредством отражения ее комплексной правовой характеристики, включающей установление цели её разработки, функционального назначения, правового содержания, а также места в системе иных правовых документов.
По своему содержанию Политика приватности позволяет донести до субъекта персональных данных (работника, контрагента, пользователя информационного ресурса и т. д.) информацию, касающуюся установочных сведений об операторе, целей и состава обработки персональных данных, порядка реагирования на инциденты с персональными данными, места и условий хранения персональных данных, а также иных сведений, необходимых для защиты прав и законных интересов соответствующих субъектов персональных данных.
В числе основных целей разработки оператором Политики приватности, в том числе утверждения и обеспечения к ней неограниченного доступа, возможно отметить следующие:
1)
соблюдение требований Федерального закона «О персональных данных» в целях недопущения принятия в его отношении каких-либо мер государственного принуждения;
2)
донесение до субъекта персональных данных информации, необходимой для защиты его прав и законных интересов;
3)
формирование доверительных отношений с субъектами персональных данных, а помимо прочего, развитие внутриорганизационной «Культуры приватности».
Функциональное назначение Политики приватности возможно рассмотреть в следующем контексте:
1)
предоставление субъекту персональных данных установочных сведений об операторе, включая сведения о его наименовании и реквизитах (установочные сведения об операторе необходимы как субъекту персональных данных, например, в целях самостоятельной защиты своих прав и законных интересов, так и регулятору, например, в целях направления писем информационного характера, принятия мер государственного принуждения, а также реализации иного типа взаимодействия);
2)
предоставление субъекту персональных данных сведений о цели обработки персональных данных, составе персональных данных, а также действиях, совершаемых с персональными данными (подобная информация необходима в целях обеспечения прозрачности операций с персональными данными, реализации должного уровня контроля субъектом персональных данных за правовой судьбой обработки персональных данных, а также предоставления субъекту персональных данных свободного и сознательного выбора относительно вхождения / не вхождения в контакт с оператором);
3)
предоставление субъекту персональных данных сведений о способах взаимодействия с оператором (подобная информация необходима в целях реализации субъектом персональных данных «Права на доступ» и (или) права на уточнение, блокировку и уничтожение персональных данных, а также реализации любого иного контакта с оператором).
Принимая во внимание то, что Политика приватности представляет собой локальный (внутренний) акт оператора, такой документ безусловно должен обладать письменной формой и быть утвержденным внутри организации оператора вне зависимости от содержания основной деятельности оператора (в оффлайн- или онлайн- пространстве).
Обеспечение неограниченного доступа к Политике приватности является неуклонной обязанностью оператора (см. ч. 2 ст. 18.1 Федерального закона «О персональных данных»), а также составной частью предмета проводимых Роскомнадзором контрольных (надзорных) мероприятий (в том числе мероприятий без взаимодействия с контролируемым лицом1).
Ранняя редакция Федерального закона «О персональных данных»2 не предусматривала положений относительно содержания Политики приватности, а Роскомнадзор ограничивался только рекомендациями по ее составлению3, однако последние нововведения дополнили п. 2 ч. 1 ст. 18.1 Федерального закона «О персональных данных» конкретными положениями, которые должны быть предусмотрены в Политике приватности, а именно:
-
цели обработки персональных данных;
-
категории и перечень обрабатываемых персональных данных;
-
категории субъектов персональных данных;
-
способы и сроки обработки персональных данных;
-
порядок уничтожения персональных данных при достижении целей их обработки.4
В свою очередь, рекомендации Роскомнадзора по составлению Политики приватности по настоящее время содержат более объемное количество положений, в числе которых также выделяются:
-
основные понятия;
-
права и обязанности оператора и субъекта персональных данных;
-
правовые основания обработки персональных данных;
-
сведения о соблюдении оператором требований конфиденциальности персональных данных, а также информация о принятии им мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных»;
-
регламенты реагирования оператора на запросы / обращения субъектов персональных данных и их представителей, уполномоченных органов по вопросам неточности персональных данных, неправомерности их обработки, отзыва согласия на обработку персональных данных, предоставления доступа субъекту персональных данных к своим данным, а также соответствующие формы запросов / обращений.
Однако подавляющее число отечественных операторов, прежде всего осуществляющих обработку персональных данных в онлайн- пространстве, по настоящее время не приняли во внимание актуальные нововведения в законодательстве и не привели свои «Политики» в соответствие новым правилам.
В качестве примеров неправильного (ненадлежащего) оформления содержания Политики приватности возможно выделить следующие:
-
https://conf.msu.ru/rus/policy (отсутствуют категории и перечень обрабатываемых персональных данных, способы и сроки обработки персональных данных, порядок уничтожения персональных данных) (дата обращения: 1 сентября 2023 г.);
-
https://www.mos.ru/dit/documents/informatcionnaia-bezopasnost/view/274898220 (отсутствуют категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных, способы и сроки обработки персональных данных, порядок уничтожения персональных данных) (дата обращения: 1 сентября 2023 г.);
-
https://satire.ru/confidential-policy (отсутствуют категории и перечень обрабатываемых персональных данных, способы и сроки обработки персональных данных, порядок уничтожения персональных данных) (дата обращения: 1 сентября 2023 г.).
Наоборот, в качестве правильных и образцовых примеров оформления содержания Политики приватности следует выделить:
-
http://www.sberbank.ru/privacy/policy (дата обращения: 1 сентября 2023 г.);
-
https://fondpotanin.ru/upload/documents/privacy_policy.pdf (дата обращения: 1 сентября 2023 г.);
-
https://b-152.ru/politika (дата обращения: 1 сентября 2023 г.).
Следует отметить, что в подавляющем числе случаев ознакомление с Политикой приватности происходит именно в онлайн -пространстве, в связи с чем, обеспечение к ней неограниченного доступа обязательно в случае реализации оператором любых электронных форм сбора персональных данных и (или) сбора аналитики действий пользователей информационного ресурса посредством метрических программ (cookie-файлов).
Согласно европейскому подходу, неограниченный доступ к Политике приватности на информационном ресурсе должен быть обеспечен оператором на всех страницах сайта в сети «Интернет» таким образом, чтобы субъект персональных данных мог получить всю необходимую информацию посредством одного клика.5
К слову, подход иностранных регуляторов по донесению до операторов информации о правильном соблюдении требований законодательства в области персональных данных посредством издания соответствующих руководств или инструкций следует принять во внимание отечественным правоприменительным институтам.
Обеспечение неограниченного доступа к Политике приватности также должно быть реализовано владельцем мобильного приложения, однако ввиду ограниченности его внешнего интерфейса прежде всего такой доступ должен быть предусмотрен в элементах электронных форм сбора персональных данных (если таковые вообще реализованы).
Кроме того, в отличие от сайтов в сети «Интернет», возможность ознакомления с Политикой приватности должна быть обеспечена маркетплейсами до принятия владельцем мобильного устройства решения об установке мобильного приложения (например, указанное требование предусмотрено магазином мобильных приложений «Google Play»6).
Отсутствие Политики приватности на информационном ресурсе оператора может повлечь его включение в Реестр нарушителей прав субъектов персональных данных (см. Апелляционное определение Московского городского суда от 26 февраля 2019 г. по делу № 33-8756/2019), а также привлечение к административной ответственности согласно ч. 3 ст. 13.11 КоАП РФ7 (см. Постановление Восьмого кассационного суда общей юрисдикции от 31марта 2023 г. по делу № 16-1661/2023, Постановление Пятого кассационного суда общей юрисдикции от 18 февраля 2021 г. по делу № 16-355/2021).
Помимо прочего, оператор обязан ознакомить с положениями Политики приватности каждого своего работника (см. п. 8 ст. 86 ТК РФ8), а несоблюдение указанной обязанности влечет возможность вынесения регулятором предписания об устранении выявленных нарушений (см. Постановление Четвертого арбитражного апелляционного суда от 01 октября 2012 г. № 04АП-3907/12).
Между тем, Политика приватности является единственном документом, связанным с вопросами обработки персональных данных, отсутствие которого в распоряжении оператора может повлечь его привлечение к административной ответственности в соответствии с положениями ч. 3 ст. 13.11 КоАП РФ (например, в отличие от локальных актов, определяющих порядок осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных, а также порядка оценки вреда, который может быть причинен субъектам персональных данных).
Стоит отметить, что несоблюдение требований по содержанию Политики приватности в настоящее время не влечет административной ответственности в отличие от ее отсутствия.
Также необходимо учесть, что Политика приватности должна быть написана ясным и кратким языком и не содержала какой-либо объемной информации, способной оказаться трудной для правильного понимания среднестатистическим субъектом персональных данных.
Однако принимая во внимание внешний вид большинства информационных ресурсов, как правило Политика приватности является незаметной, запутанной и непонятной для большинства пользователей такого ресурса, что свидетельствует о формальном отношении операторов к ее разработке и публикации.
Например, вряд ли представляется возможным принятие пользователем сети «Интернет» рациональных решений относительно правовой судьбы обработки персональных данных при совокупном посещении в день пяти новых (не посещаемых ранее) сайтов в сети «Интернет», а также изучения пяти разных Политик приватности, состоящих в среднем из 7 тысяч слов.
При таких обстоятельствах правильным подходом к разработке и публикации Политики приватности будет являться обеспечение удобства ее прочтения, в том числе посредством использования разных цветов заголовков и подзаголовков, приемлемого размера шрифта, а также контраста между цветом текста и фоном страницы сайта в сети «Интернет».
Подавляющее большинство Политик приватности отечественных операторов выглядят следующим образом (на примере разделов о составе обработки персональных данных):
см. https://vk.com/privacy
(дата обращения: 1 сентября 2023 г.)
см. https://help.rambler.ru/legal/1142
(дата обращения: 1 сентября 2023 г.)
Однако в целях обеспечении наглядного отображения состава обработки персональных данных правильным подходом будет являться его реализация при помощи таблицы:
см. https://data-privacy-office.com/privacy-policy
(дата обращения: 1 сентября 2023 г.)
см. https://rppa.ru/privacy/policy
(дата обращения: 1 сентября 2023 г.)
Также для облегчения процессов разработки Политик приватности существуют специальные конструкторы (генераторы), позволяющие посредством заполнения некоторых электронных форм получить готовую Политику приватности в течение нескольких минут (например, https://www.termsfeed.com/privacy-policy-generator, https://tilda.cc/ru/privacy-generator), что в свою очередь не означает, что автоматически сконструированная Политика приватности будет полностью соответствовать требованиям п. 2 ч. 1 ст. 18.1 Федерального закона «О персональных данных».
В настоящее время правовая конструкция Федерального закона «О персональных данных» не содержит каких-либо требований относительно оформления Политики приватности ясным и кратким языком, однако подобное требование предусмотрено в п. 1 ст. 12 GDPR9, предусматривающего необходимость изложения Уведомления о сборе персональных данных («Privacy Notice») в краткой, прозрачной, понятной и легкодоступной форме, используя ясный и понятный язык.
К слову, правовая конструкция GDPR не содержит понятий «Уведомление о сборе персональных данных» («Privacy Notice») или «Политика приватности» («Privacy Policy»), ограничиваясь исключительно обязанностями оператора при обработке (прежде всего, сборе) персональных данных, в связи с чем на практике такие документы являются взаимозаменяемыми.10
Вместе с тем, следует отметить результаты проведенного среди студентов одного из университетов восточного побережья США исследования, согласно которому группе учащихся программы бакалавриата предложили зарегистрироваться в придуманной для такого исследования социальной сети «NameDrop» в целях оценки скорости прочтения участниками эксперимента текста Политики приватности и Правил предоставления услуг.11
Согласно результатам исследования, среднее время прочтения текста Политики приватности составило 74 секунды, а Правил предоставления услуг – 51 секунду, хотя на полное и детальное прочтение текста Политики приватности у вменяемого человека должно было уйти не менее 30 минут, а Правил предоставления услуг - не менее 15 минут.
Кроме того, некоторые из участников эксперимента ознакомились с текстами Политики приватности и Правил предоставления услуг за две и три секунды соответственно, несмотря на то, что основным направлением их академической подготовки являлось изучение вопросов конфиденциальности информации и BigData-технологий.
Исследование доказало, что пользователи сети «Интернет» скорее легкомысленно пропустят объемные тексты Политики приватности либо при помощи быстрой прокрутки страницы, либо посредством автоматического проставления «галочки» об ознакомлении с ее положениями.
В свою очередь, фактическое нежелание пользователей сети «Интернет» читать тексты Политик приватности не исключает обязанность оператора по предоставлению субъектам персональных данных полной и прозрачной информации об обработке персональных данных.
Неоднократно встречаются случаи, когда операторы, осуществляющие обработку персональных данных в сети «Интернет», ошибочно подменяют положения Политики приватности условиями Пользовательского соглашения.
По своему содержанию Пользовательское соглашение представляет собой гражданско-правовой договор присоединения (ст. 428 ГК РФ12) («публичную оферту»), условия которого определяют порядок пользования информационным ресурсом, и как правило, сопряжены с осуществлением его владельцем предпринимательской деятельности.
Включение в Пользовательское соглашение положений о порядке и условиях обработки персональных данных пользователей хоть и не противоречит положениям Федерального закона «О персональных данных», однако не исключает обязанность оператора опубликовать и обеспечить неограниченный доступ именно к Политике приватности.
Следовательно, Пользовательское соглашение также не следует путать с локальными актами оператора, определяющими порядок осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных, а также порядка оценки вреда, который может быть причинен субъектам персональных данных.
Кроме того, в отличие от положений Политики приватности условия Пользовательского соглашения могут быть оспорены заинтересованными пользователями информационного ресурса в гражданско-правовом порядке как самостоятельно, так и посредством удаленного обращения в специальные правозащитные организации.13
На основании изложенного, в целях повышения эффективности защиты прав и законных интересов субъектов персональных данных предлагается:
1)
введение административной ответственности за ненадлежащее оформление оператором содержания Политики приватности, не соответствующее требованиям п. 2 ч. 1 ст. 18.1 Федерального закона «О персональных данных» (реализация указанного предложения возможна посредством дополнения положений ч. 3 ст. 13.11 КоАП РФ);
2)
обеспечение соответствия требований, предъявляемых к оформлению содержания Политики приватности положениями п. 2 ч. 1 ст. 18.1 Федерального закона «О персональных данных» и рекомендациями Роскомнадзора по составлению Политики приватности (реализация указанного предложения возможна посредством переноса положений, предусмотренных в рекомендациях Роскомнадзора по составлению Политики приватности, в правовую конструкцию п. 2 ч. 1 ст. 18.1 Федерального закона «О персональных данных»);
3)
дополнение ст. 18.1 Федерального закона «О персональных данных» положениями об обязанности оператора обеспечить оформление Политики приватности в краткой, прозрачной, понятной и легкодоступной форме (реализация указанного предложения возможна посредством заимствования некоторых положений из п. 1 ст. 12 GDPR);
4)
разработка официального конструктора (генератора) Политик приватности Роскомнадзора (реализация указанного предложения возможна посредством использования интерфейса, аналогичного форме подачи уведомления об обработке персональных данных14 или функционала, позволяющего оператору сформировать шаблон формы согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения15).
1 За соответствием обработки персональных данных // Официальный сайт Роскомназора. URL: https://clck.ru/34rHq2 (дата обращения: 1 сентября 2023 г.).
2 Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» // СПС «ГАРАНТ». URL: https://clck.ru/34U2Kr (дата обращения: 1 сентября 2023 г.).
3 Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» // Официальный сайт Роскомнадзора. URL: https://clck.ru/Wnkcr (дата обращения: 1 сентября 2023 г.).
4 Федеральный закон от 14июля 2022 г. № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» // СПС «ГАРАНТ». URL: https://clck.ru/33namc (дата обращения: 1 сентября 2023 г.).
5 Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0. Adopted on 20 October 2020 // European Data Protection Board (EDPB). P. 15. URL: https://clck.ru/34UVid (дата обращения: 1 сентября 2023 г.).
6 Как подготовить приложение к проверке // Официальный сайт справочного центра Google. URL: https://clck.ru/34sE2u (дата обращения: 1 сентября 2023 г.).
7 Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ // СПС «ГАРАНТ». URL: https://clck.ru/34UV4b (дата обращения: 1 сентября 2023 г.).
8 Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ // СПС «ГАРАНТ». URL: https://clck.ru/SqTUp (дата обращения: 1 сентября 2023 г.).
9 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (GDPR) // Publications Office of the EU. URL: https://clck.ru/34U2FN (дата обращения: 1 сентября 2023 г.).
10 Masha Komnenic. Privacy Notice vs. Privacy Policy: What’s The Difference? // «Termly», 2022. URL: https://clck.ru/34UpZu (дата обращения: 1 сентября 2023 г.).
11 Jonathan A. Obar, Anne Oeldorf-Hirsch. The Biggest Lie on the Internet: Ignoring the Privacy Policies and Terms of Service Policies of Social Networking Services // Social Science Research Network, 2022. P. 9-15. URL: https://clck.ru/35eKYK (дата обращения: 1 сентября 2023 г.).
12 Гражданский кодекс Российской Федерации (часть первая) от 30 ноября 1994 г. № 51-ФЗ // СПС «ГАРАНТ». URL: https://clck.ru/FGsiQ (1 сентября 2023 г.).
13 Вебинар Роскомнадзора от 1 марта 2023 г. «Защита персональных данных» // Социальная сеть «ВКонтакте», 2023. Период 09.40 – 11.35. URL: https://clck.ru/34UXK8 (дата обращения: 1 сентября 2023 г.).
14 Форма уведомления // Официальный сайт Роскомнадзора. URL: https://clck.ru/MJERu (дата обращения: 1 сентября 2023 г.).
15 Получение рекомендаций Роскомнадзора по форме согласия на обработку ПД, разрешенных для распространения // Официальный сайт Роскомнадзора. URL: https://clck.ru/34sP4c (дата обращения: 1 сентября 2023 г.)
Список литературы
1. За соответствием обработки персональных данных // Официальный сайт Роскомназора. URL: https://clck.ru/34rHq2 (дата обращения: 1 сентября 2023 г.).
2. Как подготовить приложение к проверке // Официальный сайт справочного центра Google. URL: https://clck.ru/34sE2u (дата обращения: 1 сентября 2023 г.).
3. Masha Komnenic. Privacy Notice vs. Privacy Policy: What’s The Difference? // «Termly», 2022. URL: https://clck.ru/34UpZu (дата обращения: 1 сентября 2023 г.).
4. Jonathan A. Obar, Anne Oeldorf-Hirsch. The Biggest Lie on the Internet: Ignoring the Privacy Policies and Terms of Service Policies of Social Networking Services // Social Science Research Network, 2022. P. 9-15. URL: https://clck.ru/35eKYK (дата обращения: 1 сентября 2023 г.).
5. Вебинар Роскомнадзора от 01.03.2023 «Защита персональных данных» // Социальная сеть «ВКонтакте», 2023. Период 09.40 – 11.35. URL: https://clck.ru/34UXK8 (дата обращения: 1 сентября 2023 г.)/
6. Форма уведомления // Официальный сайт Роскомнадзора. URL: https://clck.ru/MJERu (дата обращения: 1 сентября 2023 г.).
7. Получение рекомендаций Роскомнадзора по форме согласия на обработку ПД, разрешенных для распространения // Официальный сайт Роскомнадзора. URL: https://clck.ru/34sP4c (дата обращения: 1 сентября 2023 г.).