Суть вопроса

25 октября из сообщений в СМИ стало известно, что социальная сеть LinkedIn может быть заблокирована в России. Таганский суд постановил ограничить доступ к сайту по требованию Роскомнадзора еще в августе.

10 ноября Мосгорсуд рассмотрел апелляцию компании и подтвердил решение нижестоящей инстанции. Таким образом, LinkedIn станет первой западной социальной сетью, которую заблокируют в РФ.

Надзорное ведомство обвиняет социальную сеть в нарушении закона «О персональных данных». В соответствии с принятыми в сентябре 2015 года поправками, операторы персональных данных должны при сборе и обработке обеспечить обработку персональных данных на территории России — чтобы данные россиян не хранились за пределами страны.

Отраслевая позиция: 

Еще в процессе принятия изменений в законодательство о Персональных данных в 2014 году РАЭК и ряд других отраслевых ассоциаций высказывали опасения в связи с возможными трудностями при правоприменении по данному закону, в особенности в отношении категории данных, подпадающих под требования об обязательном хранении, влияния согласия субъекта на процедуры обработки данных, вопросов трансграничной передачи данных и сферы действия законодательства в отношении зарубежных юридических лиц.

1. В связи с принятым судебным решением эксперты Ассоциации вынуждены констатировать, что определение гражданства пользователя и критериев распространения национальной юрисдикции на тот или иной сайт в части требований о локализации данных остаются размытыми.
   
   Согласно разъяснениям Минкомсвязи РФ, язык не может быть основополагающим критерием для выдвижения таких требований. На русском языке говорят и работают люди в самых разных странах, не только в Российской Федерации. Необходимо, как минимум, наличие коммерческих интересов в РФ и доменного имени в зоне .RU\РФ. На наш взгляд является абсурдной такая ситуация, когда самым простым способом соблюдения законодательства будет удаление русскоязычной версии сайта.

2. Одним из основополагающих принципов законодательства о персональных данных является то, что согласие субъекта всегда считается достаточным для осуществления любых действий с его данными.
   
   Субъект персональных данных должен обладать автономией воли в своих волеизъявлениях и должен иметь право и возможность самостоятельно распоряжаться своими данными.
   
   До сих пор надзорное ведомство руководствовалось этим принципом в тех случаях, когда пользователи добровольно предоставили свои данные в публичный доступ согласно пользовательскому соглашению, в данном конкретном случае -  для расширения деловых контактов, что аналогично раздаче визитных карточек в реальном мире.
   
   С учетом высказываний представителей надзорного ведомства в ходе судебного процесса о том, что с их точки зрения персональными данными могут являться также файлы cookie, IP-адреса и др. техническая информация об устройстве, а не человеке, на наш взгляд необходимы официальные разъяснения по категоризации персональных данных, подпадающих под действие закона. Расширительное толкование закона не приведет к ясности для добросовестных компаний и будет и дальше нести в себе риски для многих.

3. Остается неясным механизм правоприменения законодательства в отношении иностранных юридических лиц, например:

• как происходит выявление ответственного юрлица (в данном случае к ответственности была привлечена американская компания LinkedIn Corporation, тогда как обработку данных европейских пользователей производит компания LinkedIn Ireland Unlimited Company);
• каков регламент осуществления проверок иностранных юрлиц;
• каким образом иностранное юрлицо может эффективно представлять собственные интересы в судах РФ по данному вопросу.

Предложения и рекомендуемые дальнейшие шаги 

За последние несколько лет требования о локализации персональных данных в том или ином виде были приняты в ряде стран мира. В течение этого года мы наблюдали за сложным процессом создания международного режима охраны данных при трансграничной передаче между государствами ЕС и США (так называемый Privacy Shield).

При всей строгости европейского законодательства в этой сфере, такие международные соглашения помогают расширить сферу регулирования с учетом трансграничной природы интернета и огромного количества глобальных сервисов, работающих по всему миру.

По мнению экспертов РАЭК для эффективного правоприменения необходимо сотрудничество зарубежными органами по защите персональных данных, в том числе в рамках международных соглашений, и выработка общих критериев юрисдикции, с применением уже существующих принципов международного частного права и европейского опыта.

В условиях трансграничности сервисов определенная унификация и единые подходы будут являться условием соблюдения суверенитета государств, и уменьшения числа конфликтов правовых систем и юрисдикций.