Владелец сайта – лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети Интернет, в том числе порядок размещения информации на таком сайте (п. 17 ст. 2 Закона об информации). Фактически владельцем сайта является лицо, зарегистрировавшее на себя доменное имя. Такой вывод делают суды, указывая на то, что использование ресурсов сайтов невозможно без участия администратора домена, владеющего паролем для размещения информации по соответствующему доменному имени.
На сайте должны быть сведения о том, кто распространяет информацию. Частью 2 ст. 10 Закона об информации прямо предусмотрено, что владелец сайта обязан разместить на сайте следующие сведения: свое наименование, место нахождения и адрес, адрес электронной почты.
Напомним, что обязанность владельцев сайтов указывать данные о себе предусмотрена и другими актами, и они могут содержать более подробный круг сведений. Так, при дистанционном способе продажи в рекламе товаров должны быть указаны сведения о продавце: наименование, место нахождения и государственный регистрационный номер записи о создании юридического лица; Ф. И. О., ОГРН записи о государственной регистрации физического лица в качестве ИП (ст. 8 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе»). Положения законодательства о защите прав потребителей также предусматривают обязанность продавца (исполнителя) представлять информацию о себе, указав наименование, местонахождение организации (ст. 9, часть 2 ст. 26.1 Закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»).
С 1 января 2018 года для сайтов, зарегистрированных в качестве СМИ (сетевых изданий), начнут действовать требования об обязательном размещении выходных данных (Федеральный закон от 29.07.2017 № 239-ФЗ). Это в том числе сведения об учредителе (соучредителях); фамилия, инициалы главного редактора.
Ответственность. Помимо специальных норм об ответственности – за нарушение законодательства о рекламе (ст. 14.3 КоАП РФ), за нарушение законодательства о защите прав потребителей (ст. 14.8 КоАП РФ), за отсутствие выходных данных на сайте (ст. 13.22 КоАП РФ), – возможно наступление ответственности за непредставление (представление заведомо недостоверной информации) гражданину (ст. 5.39 КоАП РФ).
Возможность идентификации пользователя порождает обязанность владельца сайта обеспечить соблюдение Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон).
Согласно п. 1 ст. 3 Закона персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
К персональным данным, в частности, относятся: Ф. И. О., номер телефона, адрес электронной почты, которые указывает пользователь, например, в том случае, когда на сайте требуется регистрация; номер банковской карты при оплате товаров и услуг онлайн.
Ответственным за соблюдение Закона является оператор – лицо, которое самостоятельно или совместно с другими лицами организует или осуществляет обработку персональных данных. Оператором персональных данных на сайте будет владелец сайта.
Такой вывод был сделан, в частности, при рассмотрении спора между Роскомнадзором и Linkedin Corporation. Спор возник из-за нарушения требований о хранении персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (часть 5 ст. 18 Закона).
Закон о персональных данных ограничивает возможность обработки персональных данных других лиц наличием конкретных, заранее определенных и законных целей (ст. 5 Закона). Кроме того, такая обработка возможна только при определенных условиях (ст. 6 Закона).
В связи с ограничениями, установленными Законом, на операторов персональных данных возлагаются широкий круг обязанностей, а также конкретные меры, которые они должны предпринять во исполнение этих обязанностей.
Основное требование – получение согласия пользователя на обработку персональных данных или наличие иных оснований обработки, исчерпывающе перечисленных в части 1 ст. 6 Закона.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие может быть дано в любой форме, которая позволяет подтвердить факт его получения (ст. 9 Закона). В отдельных случаях согласие может быть дано только в письменной форме. Например, если обрабатываются данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни; биометрические персональные данные (ст. ст. 10, 11 Закона).
Ответственность. Согласно новой редакции части 1 ст. 13.11 КоАП РФ, вступившей в силу с 01.07.2017, обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных (ст. ст. 6, 10 Закона), либо обработка персональных данных, несовместимая с целями сбора персональных данных, влекут штраф для юрлиц от 30 000 до 50 000 рублей.
Неполучение письменного согласия пользователя, когда оно требуется по закону, является самостоятельным составом правонарушения, за которое предусмотрен штраф до 75 000 рублей для юридических лиц (часть 2 ст. 13.11 КоАП РФ).
Распространенный и приемлемый способ получения согласия пользователя сайта – проставление галочки при регистрации или оформлении заказа.
Обработка персональных данных в отсутствие согласия пользователя возможна, в частности, в следующих случаях:
Законом прямо предусмотрено, что оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опуб-ликовать в соответствующей сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (часть 2 ст. 18.1 Закона).
В целях выработки единого подхода к форме такого документа Роскомнадзор выпустил рекомендации, в которых приведен перечень сведений (структурных компонентов), рекомендуемых для включения в политику оператора в отношении обработки персональных данных.
Ответственность. Нарушение требования об опубликовании политики конфиденциальности влечет штраф для юрлиц до 30 000 рублей (часть 3 ст. 13.11 КоАП РФ).
Согласно части 5 ст. 18 Закона при сборе персональных данных оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ. Закон содержит некоторые исключения из данного правила (пп. 2, 3, 4, 8 части 1 ст. 6).
Ответственность. Ограничение (на основании судебного акта) доступа к информации в сети Интернет, обрабатываемой с нарушением законодательства о персональных данных (ст. 15.5 Закона об информации).
За исключением определенных частью 2 ст. 22 Закона случаев, оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.
Так, уведомление не требуется, если оператор обрабатывает данные: своих работников, своих контрагентов по договорам; если данные носят общедоступный характер; если данные ограничены исключительно фамилией, именем и отчеством субъекта.
Ответственность. Непредставление уведомления об обработке персональных данных, его несвоевременное представление (т.е. уже после начала обработки персональных данных) либо представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением, ответственность за которое установлена ст. 19.7 КоАП РФ.
Отметим, что в ст. 18.1 Закона приводится неисчерпывающий перечень мер, направленных на обеспечение соблюдения оператором законодательства о персональных данных. В том числе предусматривается необходимость применения технических мер по обеспечению безопасности персональных данных (например, путем использования сертифицированных средств защиты информации).
В этом случае владелец сайта может быть признан организатором распространения информации в сети Интернет.
Согласно части 1 ст. 10.1 Закона об информации организатор распространения информации в сети Интернет – лицо, осуществляющее деятельность по обеспечению функционирования информационных систем или программ для ЭВМ, которые предназначены или используются для приема, передачи, доставки или обработки электронных сообщений пользователей сети Интернет. Роскомнадзор ведет Реестр организаторов распространения информации. В настоящий момент в Реестр включены как популярные социальные сети («ВКонтакте», «Одноклассники» и т.п.), почтовые сервисы («Яндекс», Mail.ru), так и различные новостные и информационные сайты.
Уведомление может быть направлено как по инициативе организатора распространения информации, так и после того, как Роскомнадзор пришлет соответствующее требование.
Внесение в Реестр означает возникновение у владельца сайта дополнительных обязанностей. В частности, к ним относится необходимость хранения информации о фактах приема, передачи сообщений пользователей, а с 1 июля 2018 года – необходимость хранения самих сообщений.
Ответственность. Неисполнение обязанностей организатором распространения информации в сети Интернет влечет ответственность по ст. 13.31 КоАП РФ. Максимальная сумма штрафа по указанной статье – 500 000 рублей.
Предусматривается также возможность ограничения доступа к информационному ресурсу организатора распространения информации (ст. 15.4 Закона об информации).
С 1 июля 2017 года дополнительные обязанности могут также возникнуть, если на сайте размещается видеоконтент. В этом случае владелец сайта может быть признан владельцем аудиовизуального сервиса. Для этого необходимо наличие следующих условий:
Не являются аудиовизуальными сервисами:
Роскомнадзор включает сайт в реестр аудиовизуальных сервисов, если он соответствует установленным признакам и уведомляет об этом владельца сайта.
Владелец аудиовизуального сервиса должен представить в Роскомнадзор документы, свидетельствующие о соблюдении требований, ограничивающих иностранный контроль над организаторами таких сервисов (части 6, 7 ст. 10.5 Закона). Владелец аудиовизуального сервиса обязан соблюдать требования законодательства РФ, в том числе не допускать использование аудиовизуального сервиса в целях совершения уголовно наказуемых деяний, разглашения сведений, составляющих государственную тайну, распространения материалов, содержащих публичные призывы к осуществлению террористической деятельности и т.п.
Ответственность. Специальные нормы об ответственности предусмотрены ст. ст. 13.35, 13.36, 13.37, 19.7.10-2 КоАП РФ.
Неисполнение обязанностей владельца аудио- визуального сервиса может также привести к ограничению доступа к аудиовизуальному сервису (часть 14 ст. 10.5 Закона об информации).