|
Читайте также: |
Любой интернет-магазин или иной веб-ресурс, который ориентирован на пользователя, будет так или иначе иметь дело с информацией, позволяющей его идентифицировать. Это может быть логин и пароль, адрес электронной почты, иные сведения, которые пользователь указывает о себе при регистрации на веб-сайте или оформлении заказа. В условиях высокой конкуренции, существующей в сети Интернет, а также дефицита внимания со стороны пользователей, обусловленного беспрецедентным многообразием информации, размещенной в ней, любой клиент, что называется, на вес золота. В данном случае в качестве "золота" выступает информация о нем, которая может быть использована для различных коммерчески значимых целей (например, для адресной рекламы). Современные технологии сбора и обработки информации позволяют составлять достаточно детальные профайлы пользователей, которые содержат данные о предпочтениях и текущих потребностях отдельно взятого пользователя, его индивидуальных характеристиках и позволяют делать предположения о его финансовой состоятельности и платежеспособности. При составлении подобных профайлов могут активно использоваться данные, размещенные пользователем в социальных сетях, информация о нем, размещенная его друзьями в таких сетях, информация о сделанных им запросах в поисковых системах, посещенных сайтах, комментариях в форумах, и любое иное действие, совершенное им в сети Интернет. Очевидно, что все это создает уникальные возможности для субъектов электронной коммерции, как, впрочем, и традиционных офлайновых компаний, которыми они до этого не обладали: возможность вести "прицельный огонь" по пользователям, а также восполнить недостаток информации, необходимый для принятия коммерчески значимых решений в отношении конкретного клиента. Однако не менее очевидно и то, что сбор и последующее использование информации, связанное с личностью лица и отражающее его индивидуальные характеристики, неразрывно связаны со вторжением в его личную сферу, которое такое лицо, имея возможность, постаралось бы максимально минимизировать. В качестве правового инструмента, направленного на поиск баланса между легитимным стремлением субъектов электронной коммерции к взаимодействию со своими контрагентами на условиях "индивидуального подхода" и стремлением последних к ограничению бесконтрольной циркуляции их личной информации в цифровой среде, выступает законодательство о персональных данных. Имеет смысл остановиться на рассмотрении его положений, учитывая, что с их действием приходится сталкиваться любому лицу, ведущему предпринимательскую деятельность в сети Интернет, заботящемуся о своей клиентской базе, равно как и любому пользователю, который делится своими данными с окружающим миром.
§ 1. Законодательство о персональных данных.
Основные понятия и сфера действия
Законодательство о персональных данных появилось в 70-х гг. XX в. и представляет собой развитие в технологическую эпоху права на неприкосновенность личности. До появления информационных технологий сбор, обработка и хранение персональных данных были крайне дорогостоящим занятием как для компаний, так и для государства, что служило своего рода "естественным барьером" личного пространства физического лица <1>. Появление возможности автоматизированной обработки таких данных в значительной степени снизило данный барьер и обусловило появление альтернативного "правового барьера", который бы позволил защитить личное пространство физического лица.
--------------------------------
<1> Войниканис Е. Указ. соч. С. 199.
Специальные положения, посвященные проблематике автоматизированной обработки персональных данных, сначала появились в Европе, впоследствии они распространились по всему миру. По состоянию на начало 2012 г. законы о персональных данных были приняты в 89 странах мира <1>.
--------------------------------
<1> Greenleaf G. Global Data Privacy Laws: 89 Countries, and Accelerating // Privacy Laws & Business International Report. N 115. February 2012; Queen Mary School of Law Legal Studies Research Paper N 98/2012 // http://www.ssrn.com/abstract=2000034.
Основополагающим актом в данной сфере стала Конвенция о защите физических лиц при автоматизированной обработке персональных данных, принятая Советом Европы 28 января 1981 г., впоследствии дополненная протоколом по вопросам полномочий наблюдательных органов и трансграничной передачи данных. На основе положений данной Конвенции на национальном уровне страны Европы приняли отдельные законы, посвященные регулированию персональных данных. Впоследствии национальное законодательство было гармонизировано рядом директив ЕС, в числе которых следует упомянуть Директиву от 24 октября 1995 г. N 95/46/ЕС о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных <1> и Директиву от 12 июля 2002 г. N 2002/58/ЕС <2>, касающуюся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций. Также немалую роль играет Директива N 2006/24/ЕС "О сохранении данных" <3>, предусматривающая обязанности провайдеров телекоммуникационных услуг по сохранению данных о коммуникациях по телефону или электронной почте (время, место, продолжительность, личность участников) в течение срока от 6 месяцев до 2 лет. Целью Директивы является содействие в предупреждении, выявлении и расследовании "серьезных" преступлений, перечень которых конкретизируется в национальном законодательстве. Данная Директива не распространяется на гражданско-правовые и иные споры, но, даже несмотря на весьма узкую сферу применения, вызвала немало споров и нареканий в Европе <4>.
--------------------------------
<1> Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data.
<2> Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector [as amended by Directive 2009/136/EC].
<3> Directive 2006/24/EC on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks.
<4> См. подробнее: Loideain N. The EC Data Retention Directive: Legal Implications for Privacy and Data Protection // Personal Data Privacy and Protection in a Surveillance Era: Technologies and Practices / Ed. by C. Akrivopoulou and A. Psygkas. N.Y., 2011. P. 256 ff.
Указанные Директивы были имплементированы в национальное законодательство государств - членов ЕС. Несмотря на то что в общем и целом национальные законы содержат схожие положения, по мере углубления в детали регулирования выявляются различия в подходах <1>. В настоящее время идет работа над унификацией европейского законодательства в этой области посредством введения Общего регламента о защите персональных данных (General Data Protection Regulation, GDPR), который, помимо всего прочего, учел бы произошедшие изменения в сфере компьютерных технологий, существенным образом повлиявших на процесс обработки данных (например, широкое распространение социальных сетей, облачных вычислений и т.п.) <2>. Наиболее важные новеллы проекта указанного регламента будут рассмотрены далее.
--------------------------------
<1> Подробный компаративный анализ см.: Data Protection Laws in the EU. European Commission Working Paper. 20 January 2010. N 2 // http://www.ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_working_paper_2_en.pdf.
<2> Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). Brussels. 25.01.2012. COM(2012) 11 Final // http://www.ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf.
США, как ни странно, не могут похвастаться наличием единого и структурированного подхода к защите персональных данных (именуемых обычно personal identifiable information). Вопросы, связанные с регламентацией порядка использования таких данных, разбросаны по множеству актов, касающихся вопросов здравоохранения <1>, проката видеофильмов <2>, финансовых услуг <3>, защиты данных автовладельцев <4>, защиты персональных данных малолетних лиц в сети Интернет <5> и ряда иных тематических законов, принятых как на федеральном уровне, так и на уровне отдельных штатов <6>. Немалую роль играют и акты рекомендательного характера <7>.
--------------------------------
<1> The US Health Insurance Portability and Accountability Act of 1996.
<2> The US Video Privacy Protection Act of 1988.
<3> The US Financial Services Modernization Act of 1999.
<4> The US Drivers Privacy Protection Act of 1994.
<5> The Children's Online Privacy Protection Act of 1998.
<6> См., например: the California Online Privacy Protection Act of 2003 (OPPA); the Massachusetts General Law Chapter 93H & 201 CMR 17.00 Regulations of 2010.
<7> NIST Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) NIST Special Publication 800-122. April 2010 // http://www.csrc.nist.gov/publications/nist-pubs/800-122/sp800-122.pdf.
Как отмечается, причиной особого подхода США к вопросам регулирования персональных данных является отношение к ним как к составной части права на неприкосновенность частной жизни (privacy), которое, в свою очередь, рассматривается через призму свободы слова и права на невмешательство государства в частную жизнь <1>. Не последнюю роль в отсутствие целостного восприятия в США проблематики защиты персональных данных на законодательном уровне сыграла и вера в возможности саморегулирования и в то, что рынок "все расставит по местам". Федеральная торговая комиссия, которая длительное время осуществляла роль регулятора по вопросам использования персональных данных в сети Интернет, стимулировала компании к выработке политики конфиденциальности и использованию Принципов справедливых информационных практик (Fair Information Practice Principles) для обеспечения информированности пользователя о судьбе его персональных данных <2>.
--------------------------------
<1> Metille S. Swiss Information Privacy Law and the Transborder Flow of Personal Data // Journal of International Commercial Law and Technology. 2013. N 8. P. 71.
<2> Soma J. et al. An Analysis of the Use of Bilateral Agreements Between Transnational Trading Groups: The U.S./EU E-Commerce Privacy Safe Harbor // Texas International Law Journal. 2004. N 39. P. 183 - 184.
Неудивительно, что в условиях столь "лоскутного" законодательства существует большой разнобой в дефинициях и подходах к персональным данным, в результате чего субъект не может предсказать заранее с высокой степенью достоверности, как его данные будут собираться и использоваться <1>. Как следствие, США не рассматривается в качестве страны, обеспечивающей надлежащий уровень защиты персональных данных, с точки зрения европейского законодательства, что потребовало выработки специальных принципов (safeharbor), присоединение к которым обеспечивает соответствующей американской компании статус обеспечивающей должный уровень защиты для целей европейского законодательства о защите персональных данных.
--------------------------------
<1> Tennis B. Privacy and Identity in a Networked World // Personal Data Privacy and Protection in a Surveillance Era: Technologies and Practices / Ed. by C. Akrivopoulou and A. Psygkas. N.Y., 2011. P. 8.
Очевидно, что в части законодательства о защите персональных данных США не являлись хорошим примером для подражания. К тому же в 2005 г. Россия ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. <1>, поэтому вопроса о том, чьи правовые нормы взять в качестве источника вдохновения, не возникло. В результате был принят Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).
--------------------------------
<1> Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных". Процесс ратификации был завершен 15 мая 2013 г. Конвенция вступила в силу в отношении России с 1 сентября 2013 г.
Закон о персональных данных регулирует отношения, связанные с обработкой персональных данных, осуществляемой как государственными и муниципальными органами власти, так и юридическими и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях <1> (ст. 1).
--------------------------------
<1> Сфера действия Закона о персональных данных также охватывает отношения по обработке персональных данных без использования автоматизированных средств, если она соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, т.е. позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. Однако данная сфера не представляет собой интереса в контексте проблематики электронной коммерции, поэтому не будет рассматриваться далее.
Поскольку, как следует из законодательной дефиниции, под автоматизированной обработкой понимается любая обработка персональных данных с помощью средств вычислительной техники, любые действия с персональными данными пользователей, осуществляемые в цифровой среде, будут охватываться понятием автоматизированной обработки. Те немногие исключения из сферы действия Закона (обработка персональных данных физическими лицами для личных и семейных нужд; для использования документов в соответствии с законодательством об архивном деле; обработка персональных данных, отнесенных к государственной тайне) вряд ли могут быть применимы в процессе осуществления предпринимательской деятельности в сети Интернет. Поэтому можно с уверенностью утверждать, что любая обработка персональных данных в сфере электронной коммерции потенциально подпадает под действие Закона о персональных данных.
При этом понятие "обработка персональных данных" включает в себя практически любое действие с ними, как то: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Подобный всеобъемлющий перечень не дает возможности представить себе действие, совершаемое с персональными данными, которое не являлось бы их обработкой.
Поэтому ключевым понятием, которое может повлиять на применимость Закона о персональных данных к тем или иным данным, получаемым от пользователя или связанным с ним, является само понятие персональных данных. В соответствии с законодательной дефиницией под ними понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Первое, что необходимо отметить, - это то, что субъектами персональных данных могут выступать только физические лица. Контактные данные и реквизиты юридического лица, а также иные сведения, по которым можно его определить, не подпадают под понятие персональных данных.
Во-вторых, соответствующие сведения должны обладать определенным идентифицирующим потенциалом для того, чтобы признаваться персональными данными. Некоторые виды сведений являются уникальными в своем роде, что позволяет однозначно установить на их основе определенное физическое лицо, например паспортные данные <1>, ИНН, сведения паспорта транспортного средства.
--------------------------------
<1> Следует отметить, что существуют судебные решения, в которых серия и номер паспорта, по мнению суда, относятся не к личности гражданина, а к бланку документа, удостоверяющего его личность, вследствие чего такая информация не может быть отнесена к персональным данным. См., например: Определение Московского городского суда от 29 февраля 2012 г. N 33-6709; Постановление Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу N А56-4788/2010. Представляется, что такой подход не выдерживает никакой критики. Во-первых, он противоречит здравому смыслу: идентифицировав по номеру бланк документа, удостоверяющего личность, можно без труда определить личность, на имя которой этот бланк был выдан. Во-вторых, такой подход не соответствует дефиниции персональных данных, включающей в их состав информацию, в том числе и косвенно относящуюся к лицу. Для сравнения: в Латвии паспортные данные признаются персональными данными, и требование работодателем копии паспорта у сотрудника является нарушением Закона о защите персональных данных физических лиц, за которое работодателю может грозить административный штраф до 10000 латов // http://www.telegraf.lv/news/kopiya-pasporta-obernetsya-shtrafom.
Однако нередко данные могут быть отнесены к определенному индивиду только в сочетании с другими данными. Так, например, одной только фамилии или имени обычно недостаточно для идентификации физического лица, если они носят распространенный характер (скажем, Иванов Иван). Необходимо нечто большее, что бы позволило привязать их к конкретной личности (например, адрес проживания или места работы, возраст и т.п.).
Или иной пример. IP- адрес сам по себе не идентифицирует физическое лицо, выступая средством идентификации компьютерного устройства, подключенного к сети Интернет. Однако в сочетании с иными данными, например временем сеанса и данными log- файлов интернет-провайдера, он может служить способом идентификации пользователя в сети Интернет. То же самое можно сказать о сведениях о посещаемых веб-сайтов. Они потенциально могут характеризовать интересы пользователя, а следовательно, и его определенные индивидуальные характеристики, но статус персональных данных они обретут только в связке с дополнительными данными, позволяющими "привязать" их к определенной личности <1>.
--------------------------------
<1> Малеина М.Н. Право на тайну и неприкосновенность персональных данных // Журнал российского права. 2010. N 11.
Следует иметь в виду, что дефиниция персональных данных включает в себя в том числе информацию, косвенно относящуюся к определяемому лицу. Если соответствующие фрагменты данных, из совокупности которых можно идентифицировать определенное лицо, находятся в распоряжении одного и того же лица (оператора), то каждый фрагмент таких данных подпадает под понятие "персональные данные" <1>. Если же такие фрагменты данных находятся во владении различных операторов, то говорить о том, что они являются персональными, вряд ли возможно: непонятно, как статистика посещения определенного веб-сайта, которой обладает провайдер хостинга, может иметь характер персональных данных без наличия дополнительных данных, позволяющих "привязать" данные посещения к конкретным пользователям, которыми обладает другое лицо - интернет-провайдер доступа. Нельзя отрицать возможную ценность соответствующих фрагментов информации самих по себе, но эта ценность не будет предопределена наличием у нее статуса персональных данных. Скорее данные фрагменты можно рассматривать в качестве своего рода обезличенных данных.
--------------------------------
<1> Данного подхода придерживается зарубежная практика, и, как представляется, он вполне применим и у нас, учитывая сходство дефиниций "персональные данные", используемых в России и в Европе. См., например: Carey P. Data Protection. A Practical Guide to UK and EU Law. Oxford University Press. 2004. P. 15; Data Protection Principles in the Personal Data (Privacy) Ordinance from the Privacy Commissioner's perspective (2nd Edition). Hong Kong, 2010. P. 21 // https://www.pcpd.org.hk/tc_chi/publications/files/Perspective_2nd.pdf.
Представляется, что именно признание наличия подобного рода взаимосвязей между различного рода фрагментами информации, совокупность которых позволяет отнести ее к определенному физическому лицу, и послужила основанием для изменения законодательной дефиниции персональных данных. Ранее, до 27 июля 2011 г., она звучала иначе: "...любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация". Как видно, основным отличием современной формулировки является исключение из дефиниции перечня возможных видов персональных данных, что было компенсировано включением оговорки о том, что информация может относиться к субъекту прямо или косвенно. Представляется, что данный подход хотя и привносит дополнительную неопределенность, превращая вопрос о квалификации информации в качестве персональных данных в вопрос факта, зависящего от конкретных обстоятельств, но является более адекватным. Ведь очевидно, что сами по себе ни дата рождения, ни адрес, ни составляющие имени не имеют достаточных идентификационных характеристик для того, чтобы их безусловно считать персональными данными, как это следовало из ранее действовавшей дефиниции.
В-третьих, не имеет значения, соответствуют данные действительности или нет, являются они точными или полными, вымышленными или достоверными. Даже недостоверные или неточные сведения могут прямо или косвенно указывать на определенное лицо, что является достаточным основанием для признания их персональными данными <1>. Данный вывод следует не только из широко сформулированной дефиниции персональных данных, но и из предусмотренного в п. 1 ст. 14 Закона о персональных данных правомочия субъекта персональных данных требовать от оператора уточнения, блокирования или уничтожения неполных, устаревших или неточных персональных данных, что предполагает возможность существования сведений, обладающих статусом персональных данных, даже в случае, если они некорректно отражают действительное положение вещей.
--------------------------------
<1> Opinion 4/2007 Article 29 Data Protection Working Party // http://www.ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf.
На практике нередко возникает вопрос, можно ли отнести адрес электронной почты к категории персональных данных? Представляется, что ответ на данный вопрос будет зависеть от характера обозначения, использованного в адресе электронной почты, а также принадлежности такого почтового ящика.
Если почтовый ящик является корпоративным и его название включает в себя фамилию и имя его владельца, то совокупность указанных данных вполне позволяет определить его владельца - физическое лицо.
Напротив, если почтовый ящик зарегистрирован на публичном сервисе электронной почты, где в отличие от корпоративной почты получить адрес может любой желающий, условия признания адреса такого почтового ящика персональными данными должны быть более жесткими. Если имя такого почтового ящика включает в себя достаточно идентификационных сведений (например, фамилию и инициалы лица с указанием года рождения), то вряд ли есть основания не считать такой электронный адрес разновидностью персональных данных. С другой стороны, если название такого почтового ящика не содержит в себе сведений, которые могли бы быть квалифицированы в качестве персональных данных, то такой электронный адрес может быть отнесен к категории персональных данных только при наличии дополнительных сведений, позволяющих его привязать к определенному лицу. Например, если пользователь при регистрации на веб-сайте или оформлении заказа указал свой почтовый адрес вроде powerboy1234@mail.ru, такой адрес должен считаться персональными данными, поскольку в распоряжении оператора имеются иные сведения, позволяющие определить физическое лицо. При этом, как отмечалось выше, достоверность таких сведений не имеет значения: лицо может указать вымышленное имя и иные данные, что не лишает такие данные характера персональных. В связи с этим на практике субъектам электронной коммерции целесообразно придерживаться строгого подхода к природе адресов электронной почты: велика вероятность, что база данных таких адресов будет включать как адреса, которые вполне точно могут идентифицировать определенное физическое лицо, так и анонимные адреса. Однако наличия в базе данных хотя бы одного электронного адреса, подпадающего под дефиницию персональных данных, достаточно для применения соответствующих положений законодательства о персональных данных ко всей базе данных <1>.
--------------------------------
<1> Carey P. Op. cit. P. 233.
В связи с возможностью квалификации адреса электронной почты в качестве персональных данных целесообразно достаточно осторожно подходить к массовым рассылкам сообщений, на копии которых указано множество физических лиц, а также к использованию функций "переслать" и "ответить всем" с сохранением указанных лиц в рассылке, поскольку подобные действия формально подпадают под понятие обработки персональных данных, которая должна осуществляться с соблюдением соответствующих требований. Гораздо разумнее воспользоваться функцией Blind copy.
Наконец, возникает вопрос, должно ли физическое лицо, к которому относятся сведения, представляющие собой "любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу", являться живым? Некоторые зарубежные акты о защите персональных данных, например Великобритании <1>, содержат указание на то, что соответствующие сведения могут относиться только к living individual, т.е. к живущему физическому лицу. Если лицо является умершим, то данные о нем не могут относиться к категории персональных данных <2>. Российский Закон о персональных данных не делает никаких оговорок относительно статуса физического лица в дефиниции персональных данных, однако положения его ст. 9 ("в случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни") позволяют сделать вывод о том, что информация об умершем лице может являться персональными данными. Правда, Закон о персональных данных не содержит специальных положений о том, что наследники могут требовать удаления или блокировки доступа к персональным данным умершего. В то же время на практике нередко возникают вопросы о судьбе профайлов умерших пользователей в социальных сетях. Очевидно, что в ряде случаев наследники и иные близкие родственники предпочли бы удалить такой аккаунт. Автору известно немало случаев, когда продолжение существования аккаунта в социальных сетях после смерти его владельца причиняло боль его близким. Особенно это касается случаев, когда на стене такого аккаунта начинается обсуждение обстоятельств смерти, хамство или злые шутки на сей счет.
--------------------------------
<1> UK Data Protection Act 1998. Article 1 (1).
<2> § 2.2.2. Data Protection Act 1998: Legal Guidance. Version 1. 2001 // http://www.ico.org.uk/upload/documents/library/data_protection/detailed_specialist_guides/data_protection_act_legal_guidance.pdf.
Представляется, что на такие случаи за наследниками должно быть предусмотрено право требования удаления профайлов умерших пользователей. В связи с этим сложно согласиться с мнением отдельных авторов, что соответствующие интересы могут быть обеспечены введением в Закон о персональных данных положения о том, что "в случае, если незаконная обработка персональных данных лица после его смерти привела к причинению морального вреда его наследникам, в том числе посредством умаления чести, достоинства или деловой репутации, его компенсация производится в порядке, предусмотренном гражданским законодательством" <1>. Во-первых, не всегда можно говорить об умалении чести и достоинства во всех случаях, когда близкие хотят удаления из Интернета персональных данных умершего лица. Во-вторых, компенсация как таковая не способна удовлетворить интерес близких в таких случаях, да и размеры морального вреда, обычно взыскиваемые российскими судами, являются скорее издевательством, чем компенсацией как таковой, и сами по себе способны причинять моральный вред.
--------------------------------
<1> Кучеренко А.В. Особенности обработки персональных данных лица в случае его смерти // Информационное право. 2011. N 2.
§ 2. Требования к обработке персональных данных
Если те или иные сведения подпадают под понятие персональных данных, их обработка должна осуществляться в соответствии с установленными требованиями. Лицом, ответственным за обеспечение такого соответствия, является оператор. Под оператором (в англоязычной терминологии - data controller) понимается любое лицо, которое "самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными". Иными словами, под оператором понимается лицо, которое использует персональные данные других лиц для достижения определенных целей, которое оно само и определяет.
Дата добавления: 2015-08-02; просмотров: 188 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Баннерная реклама. | | | Глава 9. ПЕРСОНАЛЬНЫЕ ДАННЫЕ В СФЕРЕ ЭЛЕКТРОННОЙ КОММЕРЦИИ 2 страница |