В Аппарате Уполномоченного по правам человека в Российской Федерации рассмотрен проект федерального закона № 217352-4 "О персональных данных", принятый Государственной Думой в первом чтении 25 ноября 2005 года.
Принятие закона, устанавливающего порядок сбора и обработки информации о персональных данных граждан и гарантии защиты их прав, связанное с ратификацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, обусловлено необходимостью правового регулирования прав человека, гарантированных статьями 24 и 29 Конституции Российской Федерации.
Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, Федеральный закон о ратификации которой принят Государственной Думой 25 ноября 2005 года, направлена на обеспечение права каждого лица на неприкосновенность частной жизни при автоматизированной обработке его персональных данных.
Конвенция устанавливает, что персональные данные собираются на законных основаниях и хранятся для законных целей (то есть цели и основания должны быть определены законом), а операции с персональными данными могут производиться компетентными органами и лицами. При этом основным предметом правового регулирования являются не операции с персональными данными, а защита права человека на неприкосновенность его частной жизни.
Ссылки в Конвенции на внутреннее законодательство означают, что государство, присоединившееся к ней, обязано своими законодательными актами определить, какие данные могут собираться и обрабатываться, в каких случаях, для каких целей и какими органами и лицами. Определения должны быть четкими и недвусмысленными и содержаться в законах, а не в иных нормативных правовых актах. Таким образом, принятый проект федерального закона должен конкретизировать положения настоящей Конвенции, в связи с чем в целях приведения его в соответствие с общепризнанными принципами и нормами международного права полагаю необходимым учесть в нем следующие замечания.
Законопроект не содержит конкретных указаний, какие данные, кто и для каких целей вправе собирать и обрабатывать, а отсылает к другим нормативным правовым актам.
В частности, он предусматривает, что согласие лица на передачу его персональных данных не требуется, если такая передача необходима для выполнения задач, возложенных на органы государственной власти в сфере обороны, безопасности и охраны правопорядка, в случаях, определенных не только федеральными законами, но и указами Президента Российской Федерации, и постановлениями Правительства Российской Федерации (статья 10 законопроекта), что противоречит части 3 статьи 55 Конституции России, в соответствии с которой любые ограничения прав и свобод человека могут быть установлены только федеральным законом.
Аналогичное замечание относится и к статье 1 законопроекта, которой установлено, что цели, содержание и применение результатов обработки персональных данных определяет оператор. Из этого следует, что фактически он самостоятельно может изменять и дополнять цели сбора и обработки персональных данных. Пункт 1 статьи 6 предусматривает, что оператор может осуществлять обработку персональных данных при наличии согласия субъекта, а также при других условиях, но при этом не говорится об ограничениях в части сбора им персональных данных. Таким образом, если оператор будет устанавливать цели и способы сбора информации по своему усмотрению, то не имеет смысла ограничивать законом выбор целей и условий последующей обработки этих данных.
Статья 6 законопроекта устанавливает условия обработки персональных данных, однако конкретных условий, допускающих их сбор, он не устанавливает. Не говорится о сборе данных и в статье 8 законопроекта, устанавливающей необходимость получения согласия лица на обработку его персональных данных. Вместе с тем статья 24 Конституции Российской Федерации запрещает сбор и распространение информации о частной жизни лица без его согласия.
В законопроекте практически не затронут вопрос о распространении информации личного характера. Между тем чаще всего права человека нарушаются именно незаконным сбором и распространением информации о нем. В связи с этим законопроект следует дополнить положением, запрещающим распространение персональных данных без согласия субъекта персональных данных. Необходимо включить в него также определение понятия "распространение персональных данных" и перечислить в нем случаи, когда передача персональных данных не является их распространением.
Пункт 2 статьи 6 законопроекта противоречит пункту 1 этой же статьи, поскольку пункт 1 устанавливает право оператора обрабатывать данные при соблюдении хотя бы одного из условий, изложенных в этом пункте, а пункт 2 предусматривает, что обработка персональных данных должна осуществляться собственником информационной системы персональных данных или по его поручению оператором. Кто является собственником информационной системы, какова его роль в регулируемых правоотношениях, распространяется ли его право собственности на персональные данные, собранные в этой системе и как это право соотносится с правами человека - на эти вопросы законопроект ответа не дает.
Пункт 6 статьи 5 проекта распространяет его действие на физиологические особенности человека (биометрические персональные данные). Это предполагает обязательное (добровольное или принудительное) участие человека в создании базы данных либо возможность негласного сбора данных о гражданах без их согласия. В любом случае исполнение закона будет нарушением конституционных прав граждан, установленных статьями 23 (каждый имеет право на личную и семейную тайну) и 24 (сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются) Конституции Российской Федерации. Например, сбор, хранение и обработка данных о результатах анализа ДНК настолько глубоко затрагивают права человека, включая право на семейную тайну, тайну усыновления, медицинскую тайну, неприкосновенность личности, что распространение на эти данные обычных правил сбора, обработки, хранения и использования данных является недопустимым.
Предполагается, что создание централизованных баз данных о результатах анализа ДНК будет, в частности, способствовать повышению раскрываемости преступлений. Однако это может повлечь и существенные трудности при установлении невиновности лица, в случае обнаружения на месте преступления любого биологического материала человека, лишь подозреваемого в совершении преступления. Кроме того, нет гарантии того, что указанные данные не будут использованы в криминальных целях, что приведет к крайне тяжелым последствиям для субъектов персональных данных, вплоть до нарушения их права на жизнь.
Статья 9 законопроекта запрещает обработку особых категорий персональных данных о человеке, касающихся его расового или этнического происхождения, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, сексуальных наклонностей или судимости. При этом законопроект не содержит ограничений на сбор таких данных и не определяет целей, для которых он был бы допустим в соответствии с частью 3 статьи 55 Конституции Российской Федерации.
Этот запрет не применяется, в частности, если человек дал письменное согласие на обработку своих персональных данных, или если обработка персональных данных осуществляется для достижения законных целей некоммерческих организаций и их объединений в отношении членов этих организаций при условии недопущения передачи данных третьим лицам. Однако согласно статье 24 Конституции Российской Федерации согласие человека на сбор информации о его частной жизни требуется во всех случаях без исключения.
Обработка особых категорий персональных данных, относящихся к состоянию здоровья, допускается без согласия субъекта персональных данных также в случае необходимости защиты его жизни и здоровья, либо иного лица или группы лиц. Однако в законопроекте отсутствуют критерии оценки подобной необходимости.
Законопроект устанавливает, что операции с "общедоступными персональными данными" могут осуществляться без ограничений. При этом понятие общедоступных персональных данных в нем не раскрывается, чем допускается возможность его расширительного и произвольного толкования.
Статья 24 законопроекта предусматривает создание государственного регистра всего населения Российской Федерации. Вместе с тем наличие глобальной централизованной базы данных нарушает конституционный принцип информационной приватности личности, поскольку любое лицо, имеющее доступ к такому регистру, может получить информацию о каждом человеке. Кроме того, централизация персональных данных увеличивает риск для физических лиц в недобросовестном использовании персональных данных, включая криминальные цели.
Принимая во внимание, что законопроект вызвал большой общественный резонанс, поскольку затрагивает права и законные интересы всего населения Российской Федерации, полагаю целесообразным до его рассмотрения во втором чтении провести парламентские слушания с участием заинтересованных общественных объединений и религиозных организаций.
С уважением,
В.П.Лукин
http://ombudsman.gov.ru/doc/vistup5/pp021.shtml
Предложения Уполномоченного по правам человека в Российской Федерации к проекту федерального закона № 217352-4 "О персональных данных"
В статье 1 законопроекта:
В подпункте 5 пункта 1 слова "и определяющим цели, содержание и применение результатов обработки персональных данных" исключить.
Обоснование: Данное положение устанавливает, что оператор определяет цели, содержание и применение результатов обработки персональных данных. Из этого следует, что фактически оператор может самостоятельно изменять и дополнять цели сбора и обработки персональных данных, что противоречит части 3 статьи 55 Конституции России, в соответствии с которой любые ограничения прав и свобод человека могут быть установлены только федеральным законом и только в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
В статье 5 законопроекта:
Пункт 2 изложить в следующей редакции:
Сбор и обработка персональных данных допускаются только с согласия субъекта персональных данных.
При отсутствии согласия субъекта персональных данных сбор и обработка персональных данных допускаются только в случаях, если:
сбор и обработка персональных данных осуществляются в целях расследования преступлений;
сбор и обработка персональных данных необходимы в целях защиты прав и законных интересов субъекта персональных данных или других лиц;
персональные данные относятся к общедоступной информации;
в других случаях, предусмотренных федеральным законом.
Персональные данные не должны обрабатываться способом, не совместимым с указанными целями.
Цель обработки персональных данных должна соответствовать полномочиям и компетенции оператора.
Сбор и обработка персональных данных для статистических, научных и иных аналогичных целей допускаются только с согласия субъекта персональных данных и при условии обеспечения его права на неприкосновенность частной жизни, личную и семейную тайну.".
Обоснование: Законопроект не содержит указаний, какие данные, кто и для каких целей вправе собирать и обрабатывать. Термин "обработка персональных данных" не включает в себя такие операции, как сбор и распространение. Статья 6 законопроекта, устанавливает, например, условия обработки персональных данных, однако конкретных условий, допускающих сбор персональных данных, не предусматривает. В статье 8 законопроекта, устанавливающей необходимость получения согласия лица на обработку его персональных данных, также не говорится о сборе данных, тогда как статья 24 Конституции Российской Федерации запрещает сбор и распространение информации о частной жизни лица без его согласия При отсутствии ограничений на сбор данных установление необходимости согласия на их обработку не имеет смысла.
Примечание: необходимо дополнить статью 1 проекта определением понятия "общедоступная информация", поскольку в законопроекте оно не раскрыто, в связи с чем возможно его расширительное толкование.
Дополнить статью 5 законопроекта новым пунктом 7 следующего содержания:
"7. Распространение персональных данных без согласия субъекта персональных данных не допускается."
Обоснование: В законопроекте речь идет в основном об обработке персональных данных. Недостаточно внимания уделено процессу сбора информации, и практически не затронут вопрос о ее распространении. Между тем чаще всего права человека нарушаются незаконным сбором и распространением информации.
Примечание: В связи с этим следует дополнить статью 1 законопроекта определением понятия "распространение" информации, в котором оговорить случаи, когда передача информации не является ее распространением.
Статью 6 законопроекта исключить.
Обоснование: Если в статье 5 законопроекта будут в качестве принципиальных положений закреплены условия сбора и обработки персональных данных, то пункт 1 статьи 6 становится излишним. Пункт 2 статьи 6, предусматривая, что обработка персональных данных должна осуществляться собственником информационной системы персональных данных, не устанавливает, кто может быть собственником такой системы и на каких основаниях. Это создает условия для нарушения конфиденциальности, потому что собственник информационной системы может и не являться государственным органом, в компетенцию которого входит работа с персональными данными для целей, определенных настоящим федеральным законом или иными федеральными законами.
В статье 9 законопроекта:
Слово "обработка" в соответствующем падеже по всему тексту статьи заменить словами "сбор и обработка" в соответствующем падеже.
В подпункте 2 пункта 2 после слов "необходима для" дополнить словами "расследования преступлений".
В подпункте 4 пункта 2 слово "обрабатываются" заменить словами "собираются и обрабатываются".
Обоснование: см. обоснование к поправке в статью 5 законопроекта.
Подпункт 3 пункта 2 статьи 9 законопроекта исключить.
Обоснование: запрет на обработку особых категорий персональных данных не применяется, если она осуществляется для достижения законных целей некоммерческих организаций и их объединений в отношении членов этих организаций и при условии недопущения передачи данных третьим лицам. Однако в силу статьи 24 Конституции Российской Федерации согласие лица на сбор и обработку его персональных данных требуется во всех случаях без исключений.
В статье 10 законопроекта:
В подпункте 1 пункта 2 слова "указами Президента Российской Федерации и постановлениями Правительства Российской Федерации" исключить.
Обоснование: установление нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации, в каких случаях согласие субъекта на передачу его персональных данных не требуется, противоречит части 3 статьи 55 Конституции Российской Федерации, в соответствии с которой ограничения прав человека могут быть установлены только федеральным законом.
Статью 24 законопроекта исключить.
Обоснование: Создание глобальной централизованной базы данных нарушает конституционный принцип информационной приватности личности, поскольку любое лицо, имеющее доступ к такому регистру, может получить информацию о каждом человеке. Кроме того, централизация персональных данных увеличивает риск для физических лиц в недобросовестном использовании персональных данных, включая криминальные цели, чего нельзя исключить даже при низком уровне преступности и коррупции.