Законодательство ЕС и сбор персональной информации владельцами веб-сайтов в России: важные изменения

Авторы рассматривают вопрос о том, в каких случаях владельцы российских веб-сайтов должны учитывать новый порядок сбора информации о посетителях, установленный законодательством Европейского Союза. Статья предназначена для руководителей и юристов филиалов и дочерних обществ европейских компаний в России, а также тех российских предприятий, чьи веб-ресурсы адресованы организациям и гражданам ЕС.

В последние годы в нормативных документах Евросоюза о защите персональных данных произошли значительные изменения в части регулирования порядка получения владельцами веб-сайтов согласия пользователей на сбор информации с помощью файлов cookies и аналогичных им инструментов, передающих информацию о статусе сессии посетителя сайта, его местонахождении, предпочтениях и другую персональную информацию пользователей. Формально Директивы Евросоюза и внутреннее законодательство стран ЕС не являются источником права в Российской Федерации, однако трансграничный характер перемещения информации с помощью сети Интернет и недостаточно четкое описание в принятых европейских актах круга лиц, на которых они распространяются, порождают вопросы, связанные с распространением указанных норм на владельцев российских сайтов.

Первоначально в 2002 г. на уровне Директивы 2002/58/ЕС «О персональных данных и электронных коммуникациях», принятой в развитие основного нормативного документа Евросоюза, регулирующего порядок доступа и обработки персональных данных в ЕС – Директивы 95/46/ЕС от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных», был закреплен принцип, согласно которому владельцы сайтов могли на законном основании получать персональную информацию с помощью файлов cookies до тех пор, пока сам посетитель не уведомит их о своем намерении отказаться от сбора своих персональных данных в рамках посещения конкретного веб-ресурса.

В 2009 г. в Директиву 2002/58/ЕС были внесены изменения Директивой 2009/136/ЕС, вступившей в силу в мае 2011 г. По новым правилам владелец веб-ресурса должен при первой возможности запрашивать у посетителя сайта предварительное согласие на сбор персональных данных и настроек и информировать его о действующих на сайте инструментах сбора информации, к которым относятся, в частности, файлы cookies.

В настоящее время идет процесс имплементации указанных правил, установленных Директивой 2009/136/ЕС, в национальное законодательство стран Евросоюза. На сегодняшний день государств, которые фактически уже привели свое внутреннее законодательство о персональных данных в соответствие с нормами Директивы, не так много. Одним из таких примеров стали принятые в Великобритании в 2011 г. поправки в национальный закон 2003 г. № 2426 «Электронные коммуникации: частная жизнь и электронные коммуникации (Правила ЕС)» (далее – Закон Великобритании), вступившие в силу 26 мая 2012 г.

Представляется, что в связи с отсутствием четкого регулирования в Директивах ЕС и Законе Великобритании вопроса о круге лиц и территории, на которые распространяются их нормы, российским компаниям следует обратить внимание на некоторые положения указанных документов.

1. По смыслу п. 1 (a) ст. 4 Директивы 95/46/ЕС филиал компании не признается отдельным учреждением (establishment), которое может быть квалифицировано в качестве оператора данных (controller of processing data), тогда как самостоятельное юридическое лицо, контролирующее использование персональных данных в электронной форме, должно следовать новым правилам обработки данных посетителей сайта, если речь идет о гражданах ЕС.

Ответственным за получение согласия на использование файлов cookies является так называемый оператор данных (controller), который в соответствии со ст. 2 (d) Директивы 95/46/ЕС «является физическим или юридическим лицом, официальным органом, агентством или иным органом, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных». В сфере Интернета это понятие близко к понятию администратора доменного имени, которых является лицом, ответственным за всю обрабатываемую и публикуемую на сайте информацию. Администратором домена, собирающего персональные данные граждан ЕС, может быть как европейская компания и ее филиал или представительство в России, так и российская дочерняя компания европейской фирмы.

Принимая во внимание положения Директивы 95/46/ЕС, следует признать, что если администратором домена является, например, филиал британской компании в России, то, поскольку в правовом смысле филиал не является самостоятельной единицей – юридическим лицом, оператором данных с учетом п. 1 (a) ст. 4 Директивы 95/46/ЕС в такой ситуации с большей вероятностью будет считаться основная компания, учрежденная в Великобритании. Таким образом, несмотря на то, что такой сайт ориентирован, прежде всего, на российский рынок, факт его принадлежности компании из Евросоюза наряду с потенциальной возможностью обработки данных граждан ЕС (ввиду доступности сайта для граждан всего мира) будет иметь значение при определении необходимости соблюдения правила о предупреждении пользователей об использовании файлов cookies.

В противоположной ситуации, если администратором домена является дочернее общество британской компании, учрежденное как юридическое лицо по российскому праву, такой субъект формально не подпадает под действие указанных норм ввиду отсутствия связи с Евросоюзом по признаку принадлежности домена. В данном случае вопрос о применении к нему норм Директивы и Закона должен решаться исходя из всех обстоятельств функционирования сайта, в том числе указанных далее.

2. При выяснении необходимости применения европейских актов имеет значение расположение технических средств (equipment), используемых при обработке данных, на территории стран Европейского Союза.

Согласно п. 1 (с) ст. 4 Директивы 95/46/ЕС, посвященному применению национального законодательства о регулировании порядка обработки и использования персональных данных, «национальное законодательство применяется, если оператор данных учрежден не на территории Сообщества и в целях обработки персональных данных использует оборудование, автоматизированное или иное, расположенное на территории указанного государства-участника, если такое оборудование не используется только для целей транзита по территории Сообщества». Поскольку оборудование многих хостинг-провайдеров, с которыми сотрудничают владельцы российских сайтов, фактически располагается на территории ЕС, вопрос о том, должны ли владельцы сайтов – российские компании в указанной ситуации соблюдать требования европейского законодательства о персональных данных, представляется спорным. Из приведенной формулировки следует, что окончательный вывод, скорее всего, будет зависеть от характера использования оборудования, расположенного на территории Евросоюза. Если через территорию ЕС осуществляется только транзит данных в процессе их сбора, а обработки и хранения таковых не происходит, то российскому администратору домена новыми требованиями Директивы, с большей вероятностью, можно будет пренебречь.

3. Если на территории Европейского Союза распространяется реклама или локальная информация в отношении российского веб-ресурса, на котором происходит обработка персональных данных граждан ЕС, то к такому ресурсу может быть применена Директива 95/46/ЕС.

Поскольку Интернет является глобальной сетью, каждый сайт на планете, независимо от места его регистрации и расположения используемого при его функционировании оборудования, доступен для посещения гражданами ЕС, на защиту прав которых направлены рассматриваемые акты. Теоретически европейские граждане могут посетить любой российский веб-ресурс, на котором осуществляется сбор персональной информации с помощью файлов cookies. Накладывает ли это какие-то обязательства на владельцев ресурсов в России? Данный вопрос представляется спорным, однако некоторые исследователи считают необходимым при определении того, обязан ли владелец сайта придерживаться норм, например, вступившего в силу Закона Великобритании, принимать во внимание наличие в ЕС источника информации о таком российском сайте: рекламы, иных упоминаний, а также гиперссылок на российский сайт с других европейских ресурсов. Примерами подобных случаев могут служить сайты европейских международных фирм, которые содержат гиперссылки на подразделы о своих региональных офисах, тогда как последние, в свою очередь, являются фактически самостоятельными веб-сайтами филиалов и дочерних компаний, в том числе российских.

Из рассмотренных документов следует, что территория действия правил и ограничений по использованию файлов cookies, установленных законодательством ЕС, ввиду глобального характера самих Интернет-ресурсов может простираться за пределы Европейского Союза. Сейчас сложно прогнозировать, как будет складываться судебная практика в этой сфере и насколько трансграничным будет характер таких дел ввиду предпосылок, заложенных в принятых в ЕС документах. Однако на основании изложенного можно рекомендовать действующим на территории России компаниям, на чьих веб-ресурсах с помощью инструментов cookies и аналогичных им фактически осуществляются сбор и обработка данных о посетителях, обеспечить соблюдение соответствующего требования о предупреждении пользователей, если деятельность компании при этом подпадает под один из случаев, рассмотренных в настоящей статье.